공공장소에서 스마트폰을 충전하는 것만으로도 개인 정보가 유출될 수 있는 새로운 사이버 위협이 등장했다. ‘주스잭킹(Juice Jacking)’의 진화형인 ‘초이스잭킹(Choicejacking)’이 바로 그것이다. 스마트폰과 태블릿 제조사들이 다양한 보안 장치를 통해 주스잭킹을 방지해 왔지만, 사이버 범죄자들은 이를 우회하는 신종 공격 기법을 고안해냈다.

초이스잭킹은 악성 충전 장치가 일반 충전기처럼 위장해, 사용자의 명시적 동의 없이 스마트폰을 데이터 전송 모드로 전환시키는 방식이다. 이 과정에서 공격자는 사진, 문서, 연락처 등 스마트폰 내부의 민감한 정보에 접근할 수 있게 된다.

사이버 보안 기업 NordVPN의 자문 담당 Adrianus Warmenhoven은 “초이스잭킹의 위험성은 사용자가 전혀 의도하지 않은 결정을 기기가 스스로 내리도록 유도한다는 점에 있다”며 “데이터 접근 권한 부여부터 악성코드 다운로드까지, 이러한 공격은 우리가 일상적으로 신뢰하는 스마트폰 사용 행위를 악용한다”고 설명했다.

스마트폰 보안 기능 우회하는 악성 장치 등장

2011년 주스잭킹의 위험성이 처음 제기된 이후, 안드로이드와 iOS 운영체제 개발사들은 이를 방지하기 위한 기능들을 도입해 왔다. 대표적으로 스마트폰이 MTP(Media Transfer Protocol) 또는 PTP(Picture Transfer Protocol) 방식의 장치에 연결될 경우, 사용자가 명확히 데이터 전송 여부를 선택할 수 있도록 설정돼 있다.

하지만 오스트리아의 그라츠 공과대학교(Graz University of Technology) 연구진은 이러한 보안 기능을 우회하는 방법을 발견했다. 연구에 따르면, 악성 충전 장치는 USB 또는 블루투스 입력장치로 위장하여, 스마트폰을 몰래 데이터 전송 모드 또는 디버그 모드로 전환시킬 수 있다.

이 과정에서 사용자의 인식 없이 키보드 입력을 시뮬레이션하거나 입력 버퍼 오버플로우, 프로토콜 악용 등의 기술이 동원된다. 특히 공격이 단 133밀리초 만에 실행되기 때문에, 사용자가 이를 눈치채는 것은 거의 불가능하다. 이는 사람의 눈 깜빡임보다도 빠른 속도다.

Warmenhoven은 “초이스잭킹은 공공 충전기의 보안 위협이 더욱 정교해졌음을 보여준다”며 “단 한 번의 속임수로 사용자가 데이터 전송을 허용하게 만들고, 그 결과 민감한 정보가 유출될 수 있다”고 강조했다. 이어 “공공 USB 포트를 안전하다고 생각해서는 안 되며, 스스로의 경각심이야말로 피해를 예방하는 가장 강력한 방어 수단”이라고 덧붙였다.

초이스잭킹을 막기 위한 5가지 실천법

이처럼 일상적인 충전 행위조차 보안 위협이 될 수 있는 만큼, 사용자 스스로가 주의를 기울여야 한다. NordVPN은 다음과 같은 보안 수칙을 권장하고 있다.

1. 운영체제 및 보안 패치 최신화: 스마트폰 운영체제와 보안 업데이트를 항상 최신 상태로 유지해야 한다. 이는 대부분의 공격을 차단하는 기본적인 전제 조건이다.

2. 긴급 충전 상황 피하기: 배터리가 10% 이하로 자주 떨어지지 않도록 평소 관리하고, 급하게 공공 충전기를 사용할 필요가 없도록 한다.

3. 휴대용 보조배터리 활용: 개인이 직접 소지한 보조배터리를 사용하는 것이 가장 안전하고 간편한 충전 방법이다.

4. 개인 충전기 사용 권장: 가능하다면 공공 충전기 대신, 개인 USB 어댑터와 케이블을 사용해 벽면 콘센트에서 충전하는 것이 좋다. 특히 호텔, 공항 등 다중 이용 시설의 충전 포트는 피하는 것이 바람직하다.

5. 안드로이드의 ‘충전 전용’ 모드 설정: 일부 안드로이드 기기에서는 USB 연결 시 ‘충전 전용(Charge only)’ 모드로 설정할 수 있다. 이를 활성화하면 데이터 접근을 보다 효과적으로 차단할 수 있다.

초이스잭킹은 사용자의 선택권을 무력화시키는 방식으로 기존 보안 체계를 교묘히 우회한다. 평소 익숙하게 사용하는 충전 행위가 새로운 보안 위협이 되고 있는 만큼, 이용자들의 각별한 주의가 요구된다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지