지난 4월 미국 연방수사국 FBI와 연방통신위원회 FCC가 공공 충전기를 이용해 스마트폰이나 PC를 해킹하는 주스 재킹(juice jacking)에 대해 경고했다. 하지만 실제로 스마트폰에 주스 재킹이 이뤄질 가능성이 낮으며 이런 반응은 과도하다는 지적이 나왔다.
주스 재킹이란 악의가 있는 인물이 역이나 카페 등에 있는 스마트폰이나 PC용 충전 단자를 이용해 기기와 포트에 접속하는 케이블을 공유, 기기를 해킹하는 공격 기법을 말한다. 보통 USB나 라이트닝 단자에는 충전용 단자와 데이터 통신용 단자가 존재하고 있어 충전용 단자에 접속했을 때 충전용 단자만 사용되는 구조다. 하지만 악의적 공격자에 의해 조작된 충전기나 케이블을 이용하면 충전용 단자 뿐 아니라 데이터 통신용 단자도 사용되어 악성코드가 장치로 전송될 위험이 있다는 것이다.
기기 충전을 위해 공공 충전기를 이용한 경험이 있다면 충전기를 통해 해킹이 될 수 있다는 경고는 자신도 공격 표적이 될지 모른다는 우려로 이어진다. 하지만 FBI나 FCC 같은 정부 기관이 주스 재킹에 대해 경고하지만 사이버 보안 전문가 대부분은 주스 재킹 위험에 대해 경고하지 않는다. 이유는 지금까지 주스 재킹을 이용한 해킹 공격이 공식적으로 보고되지 않았고 해커가 주스 재킹을 실행하는 건 상당히 어렵기 때문이다.
한 보안 연구자에 따르면 대체로 공공 장소에서 실제로 일어나는 실례를 아무도 지적할 수 없다면 이는 일반인에게 강조할 가치는 없다며 주스 재킹은 제한적인 상황에서만 실행 가능한 기술이라고 지적한다. 더구나 공공 충전기에 관해 상정해야 할 리스크로는 전원 품질이나 커넥터 파손이 더 중요도가 높다고 주장하고 있다.
주스 재킹은 2011년 제창된 공격 개념. 이후 몇 년간 보안 연구자는 주스 재킹 실증 실험에 성공해 주스 재킹이 심각하게 받아들여질 우려라는 걸 부각시켰다. 하지만 운영체제 개발자 측도 가만히 있던 게 아니며 계속 운영체제 보안을 강화해온 결과 주스 재킹은 최신 운영체제에선 거의 실행 불가능한 수법이 되고 있다고 한다.
지난 5년간 최신 버전 iOS나 안드로이드를 실행하는 기기에 대해 실행 가능한 주스 재킹을 입증한 사람은 아무도 없다고 지적한다. 보안 전문가 중에도 이런 공격을 알고 있는 사람은 없다는 것. 주스 재킹이 실제로 발생했다는 기록도 없다.
물론 실제 기록이 없다고 해서 주스 재킹이 불가능하다는 건 아니다. 일부 기업은 법집행기관 등에 대해 스마트폰에 꽂은 케이블을 통해 해킹을 하고 데이터를 추출하는 등 조작을 실시하는 기기를 판매하고 있다. 하지만 이 장치는 값비싸고 공격에는 상당한 시간이 걸리며 아직 패치가 적용되지 않은 제로데이 취약성을 악용할 필요가 있다.
보통 제로데이 취약성 정보는 비싸고 케이블을 통해 스마트폰 데이터를 훔치는 등 중요한 제로데이 취약성은 입수하려면 100만 달러 이상 보상이 필요하다. 해커에게는 공항에서 우연히 스마트폰을 충전한 일반인을 표적으로 하기에는 이런 비용 소비는 의미가 없으며 가능하면 특정 중요도가 높은 타깃에 해킹하는 경우로 볼 수 있다.
또 USB 케이블을 위장한 해킹 툴(O.MG Cable)도 판매되고 잇지만 이런 해킹 툴은 표적 기기에 맞춰 조정할 필요가 있기 때문에 불특정 다수를 표적으로 한 기회적인 공격에는 적합하지 않다고 한다.
외출할 때에는 보조 배터리와 케이블을 갖고 다니는 게 좋다. 하지만 배터리를 깜박했다면 공공 충전기를 이용해도 문제없이 주스 재킹 같은 이론상 있지만 현실적으론 거의 있을 수 없는 위험을 걱정할 필요가 없다는 주장이다. 이번 경고보다 더 중요한 건 비밀번호 취약점이나 보안 업데이트를 설치하지 않는 것 같은 더 큰 보안 위협이라며 이번 경고는 불필요한 불안과 불편을 주고 안전성을 확보하는 걸 포기해 버릴 위험성이 있다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.