테크레시피

공공 충전 단자 탈취…주스재킹은 정말 가능할까

주스 재킹(Juice Jacking)은 카페나 열차 안 등 공공 충전 단자에 악의가 있는 인물이 세공해 스마트폰이나 노트북과 충전 단자를 접속하는 케이블을 통해 해킹하는 수법을 말한다. 미연방수사국 FBI와 연방통신위원회 FCC가 경고해 화제를 모으기도 한 주스 재킹은 정말 실행 우려가 있는 것일까.

외출 중 기기 충전을 위해 카페나 패스트푸드점 충전 단자를 이용한 경험이 있는 사람이 있을 것이다. 그런데 이런 충전 단자를 조작해 케이블로 장치를 해킹하고 데이터를 훔치는 멀웨어를 넣을 위험이 있다고 FBI나 FCC는 반복 경고하고 있다.

공공 충전 단자를 악용한 장치에 대한 공격을 주스 재킹이라고 하지만 실제로 주스 재킹이 발생할 가능성은 낮다고 지적한다. 지금까지 주스 재킹이 발생한 사례는 개념 실증 데모 외에선 확인되지 않았다는 것.

주스 재킹이 처음 제창된 건 2011년 열린 사이버 보안 콘퍼런스 데프콘에서엿다. 당시 USB 충전이 잠재적 취약성임을 입증하기 위해 데프콘 장소에 충전기를 설치하고 참가자가 장치 충전을 시작한 인원수를 조사했다. 그 결과 데프콘 참가자 대부분은 경험이 풍부한 해커와 사이버 보안 전문가였음에도 360명 이상이 별다른 경계 없이 기기를 충전한 것으로 나타났다. 이에 따라 전 세계 최고 전문가 수백 명이 속았다는 점을 고려하면 평균적인 일반인은 더 쉽게 속일 수 있을 것이라고 주장했다.

주스 재킹은 USB 단자 하나로 충전이나 데이터 전송이 가능하다는 점에 주목한 공격이다. 하지만 2011년 시점 많은 장치에서 케이블 연결과 동시에 충전, 데이터 전송이 가능해졌지만 현재 사용되는 대부분 장치는 케이블을 연결할 때 데이터 교환을 허용할지 여부를 사용자에게 묻는다. 이 때문에 악의가 있는 인물이 공공 USB 충전 단자에 손을 댔다고 해도 사용자 측이 허용하지 않으면 케이블을 거쳐 데이터를 교환할 수 없다.

데프콘이 실시한 시연 이후 종종 주스 재킹 경고가 화제가 되면서 일부에선 주스 재킹이 실제로 일어났다고 착각하는 사람도 있다. 2023년 FBI가 경고를 했을 때에도 많은 지자체와 언론은 이 경고를 심각하게 받아들였다.

경고를 받은 미시간주 측은 미시간주에서 주스 재킹에 관한 보고를 받지 않았지만 피해자는 자신의 폰이 어떤 경로로 침해당했는지 모를 것이라고 말한다. 또 FBI 관계자는 여행 중 미국민 안전을 위한 것이었다고 설명한다.

최근 몇 년간 보조 배터리를 들고 다니는 사람도 늘었기 때문에 주스 재킹이 현실적 위협이 될 가능성은 상당히 낮다고 할 수 있다. 따라서 언뜻 보면 공공 충전 기기를 통해 주스 재킹이 여전히 일어날 수 있는 위험이라고 말할 수도 있다. 공항 충전 단자가 그 중에서도 특히 위험할 수 있다. 어쨌든 주스 재킹이 발생할 가능성은 낮지만 앞으로 결코 일어나지 않을 것이라고 말할 수는 없다. 주스 재킹을 경계하는 사람이라면 먼저 공공 충전 기기를 사용하지 말고 만일 배터리가 부족해질 것 같으면 보조 배터리를 들고 다니고 공공 장소에서 기기를 충전하려면 USB 단자가 아닌 전기 콘센트 충전을 이용하는 게 좋다. USB 케이블에도 손을 댈 수 있기 때문에 충전할 때에는 신뢰할 수 있는 자신의 USB 케이블을 사용하는 게 좋다. 충전할 때에는 케이블을 거쳐 데이터 전송을 기술적으로 막는 USB 케이블용 차단기를 사용하는 게 좋다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사