비행기가 블루투스 이름 때문에 돌아왔다고요?
얼마 전 뉴어크 공항에서 출발한 유나이티드 항공의 보잉 767기가 이륙한 지 얼마 되지 않아 다시 공항으로 돌아오는 일이 있었어요. 엔진 고장도 아니고 기상 악화도 아니었습니다. 이유는 정말 황당하게도 누군가의 블루투스 기기 이름 때문이었어요. 기내에서 승객 중 한 명이 자기 휴대폰이나 이어폰의 블루투스 이름을 폭발물을 연상시키는 문구로 설정해 두었고, 다른 승객의 기기에서 그 이름이 검색되면서 보안 경보가 발동된 거죠.
조종사는 즉시 회항을 결정했고, 비행기는 다시 뉴어크로 돌아와 모든 승객이 내린 뒤 기내를 샅샅이 수색했어요. 다행히 실제 위협은 없었지만, 수백 명의 승객이 몇 시간을 지연됐고 항공사는 막대한 비용을 떠안게 됐습니다. 농담 한마디가 부른 결과치고는 너무 컸죠.
블루투스 이름이 왜 그렇게 쉽게 노출될까
이게 뭐냐면, 블루투스 기기 이름은 사실 "방송"되는 정보예요. 우리가 휴대폰의 블루투스 설정 화면을 열면 주변 기기들이 쭉 뜨잖아요? 그게 가능한 이유는 각 기기가 자기 이름을 주변에 계속 알리고 있기 때문이에요. 이걸 어드버타이징(advertising)이라고 부르는데, 페어링되지 않은 상태에서도 누구나 그 이름을 볼 수 있어요.
문제는 이 이름을 사용자가 자유롭게 바꿀 수 있다는 점이에요. 아이폰의 경우 "설정 → 일반 → 정보 → 이름"에서 한 번 바꾸면 블루투스, 에어드롭, 와이파이 핫스팟 이름이 한꺼번에 바뀝니다. 그래서 "홍길동의 아이폰"이 그대로 노출되는 거예요. 누가 장난삼아 자기 기기 이름을 "폭탄"이나 "hijack" 같은 단어로 설정해 두면, 좁은 공간인 비행기 안에서 그게 다른 사람 눈에 띄는 건 시간 문제예요.
특히 비행기 안에서는 에어드롭으로 사진을 받거나, 무선 이어폰을 연결하려고 블루투스 목록을 여는 사람이 많거든요. 이때 위협적인 이름이 보이면 신고가 들어오고, 항공사는 "진짜 위협이 아닐 확률 99%"라는 걸 알면서도 절대 무시할 수 없어요. 만에 하나라는 게 있으니까요.
비슷한 사건들과 항공 보안의 딜레마
사실 이런 일이 처음은 아니에요. 2019년에는 에어드롭으로 폭탄 사진을 다른 승객에게 보낸 사람 때문에 비행기가 지연된 적이 있고, 호주에서도 비슷한 블루투스 이름 사건으로 항공편이 회항한 사례가 보고됐어요. 미국 TSA는 이런 사건이 발생할 때마다 강하게 경고하고 있고, 실제로 장난친 사람에게 벌금이나 형사 처벌이 내려지는 경우도 많아요.
항공 보안의 가장 큰 딜레마는 "무시할 수 없다"는 거예요. 9.11 이후 항공 업계는 아주 작은 가능성도 그냥 넘기지 못하도록 프로토콜이 짜여 있어요. 한 번 회항하면 연료비, 공항 사용료, 승객 보상비까지 수억 원이 그냥 날아가지만, 그래도 "혹시 진짜였다면?"이라는 가능성 앞에서는 모두 무력해지는 거죠.
기술적으로는 이런 문제를 막기 위해 블루투스 LE(저전력)에서는 랜덤 주소 기능을 도입했어요. 기기 이름이나 MAC 주소가 주기적으로 바뀌어서 추적이 어려워지는 건데요. 다만 이건 "누가 누구를 추적하느냐"의 프라이버시 문제를 해결하기 위한 거지, 사용자가 직접 입력한 이름이 노출되는 문제까지 해결해주진 않아요.
개발자라면 한 번쯤 생각해볼 지점
이 사건은 단순한 해프닝 같아 보여도, 사용자 입력을 어떻게 다뤄야 하는지에 대한 흥미로운 케이스 스터디예요. 블루투스 기기 이름은 일종의 "사용자 제공 문자열"인데, 이게 의도치 않은 맥락에서 노출되면서 문제가 생긴 거잖아요. 우리가 만드는 서비스에서도 비슷한 함정이 있어요. 닉네임, 프로필 이름, 그룹채팅 제목 같은 자유 입력 필드가 알림이나 푸시 메시지로 다른 사람에게 노출될 때, 의도치 않은 단어가 표시될 수 있거든요.
또 한국에서도 비행기 안에서 에어드롭 장난을 치다가 처벌받은 사례가 있었어요. 우리나라 항공보안법상 "항공기 내에서 폭발물 등 위해물품을 휴대한 것처럼 가장한 행위"는 5년 이하 징역에 처해질 수 있는 무거운 범죄예요. 단순한 농담이라고 생각해도 법적으로는 그렇지 않다는 거죠.
실무적으로 모바일 앱을 만든다면, 사용자 디바이스 이름을 가져와서 화면에 표시할 때 한 번 더 생각해봐야 해요. 예를 들어 블루투스 페어링 UI를 만들면서 디바이스 이름을 그대로 보여주는 경우, 부적절한 이름이 다른 사용자에게 노출될 수 있거든요. 콘텐츠 필터링이나 신고 기능을 함께 고려하는 게 좋습니다.
마무리
블루투스 이름 하나로 비행기가 회항하는 시대예요. 우리가 무심코 설정해 둔 디바이스 이름이 좁은 공간에서는 모두에게 "방송"되고 있다는 사실, 그리고 그게 의외로 큰 파장을 일으킬 수 있다는 점을 기억해 두면 좋겠어요.
여러분 휴대폰의 블루투스 이름은 지금 뭐로 설정돼 있나요? 그리고 이런 "사용자 입력 문자열이 의도치 않은 곳에 노출되는" 케이스를 본인 프로젝트에서 겪어본 적 있으신가요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공