글로벌 사이버 보안 기업 노드VPN이 추석 연휴를 앞두고 국내외 여행객과 일반 사용자들에게 스마트폰 해킹과 도난 위험에 대한 각별한 주의를 당부했다. 여행과 이동이 늘어나는 시기에는 단순 분실보다 훨씬 심각한 피해를 불러오는 해킹 공격과 도난 사례가 증가하고 있다는 분석이다.

다크웹에서 활발히 거래되는 여행 데이터

노드VPN과 여행용 eSIM 앱 세일리(Saily)의 공동 조사 결과, 해커들은 여권 스캔본, 항공사 마일리지 계정, 호텔 예약 정보, 신분증 사본 등 여행 관련 데이터를 최소 수 달러에서 수천 달러까지 다크웹에서 거래하는 것으로 나타났다. 익숙한 국내 여행이라도 방심하기 쉽지만 해커들은 언제든 개인 데이터를 노릴 수 있으며, 유출된 정보는 불법 시장에서 곧바로 범죄에 활용될 수 있다.

신종 해킹 기법 ‘초이스재킹’ 확산

최근 보안 업계가 주목하는 스마트폰 해킹 방식은 초이스재킹(choicejacking)이다. 이는 충전기처럼 위장한 악성 장치가 사용자의 동의 없이 자동으로 데이터 전송 모드를 활성화해 사진, 문서, 연락처 등을 단 133밀리초 만에 빼돌릴 수 있는 기법이다. 탐지가 거의 불가능한 것이 특징이다.

2011년 등장한 주스재킹(juice jacking)이 사용자의 선택을 유도했다면, 초이스재킹은 사용자가 눈치채지 못하는 사이 데이터를 탈취한다는 점에서 훨씬 위협적이다. 악성 충전기는 USB나 블루투스 입력 장치로 위장해 키 입력 주입, 입력 버퍼 오버플로우, 프로토콜 오용 등 다양한 공격 방식을 활용하며, 안드로이드와 일부 iOS 기기에 영향을 미친다.

일상 속 위협, 철저한 대비 필요

해커들은 피싱 이메일, 문자 메시지, 가짜 모바일 앱, 공용 Wi-Fi, 소프트웨어 취약점, 블루투스 취약점 등 다양한 방법으로 스마트폰을 공격한다. 공격 기법이 점점 정교하고 복합적으로 진화하고 있어, 보안 관리의 중요성이 어느 때보다 커졌다.

노드VPN은 운영체제와 앱을 최신 보안 패치로 유지, 공공 충전기 사용 최소화, 개인 충전기나 보조배터리 사용, 충전 전용 모드 활성화 등 간단한 보안 수칙을 지키는 것만으로도 초이스재킹 위험을 줄일 수 있다고 권고했다.

도난 사고 시 48시간 내 대응 중요

스마트폰 도난도 해킹 못지않게 큰 피해를 초래한다. 사고 발생 시에는 48시간 내에 원격 잠금 및 초기화, 계정 비밀번호 변경, 통신사 서비스 정지, 경찰 신고 등 신속한 조치가 필수다. 여행 전에는 데이터 백업, ‘내 기기 찾기’ 기능 활성화, 강력한 생체 인증, 최소 정보만 담은 여행용 휴대폰 준비, 전자기기 보험 가입 등 사전 대비가 권장된다.

“공공 USB 포트는 절대 안전하지 않다”

노드VPN 한국 지사장 황성호는 “초이스재킹은 공공 충전 위협이 진화한 형태로, 단 하나의 속임수 메시지로도 사용자가 모르게 데이터 전송을 허용할 수 있다”며 “개인 파일과 민감한 정보가 쉽게 노출될 수 있는 만큼, 공공 USB 포트를 절대 안전하다고 생각해서는 안 된다. 해킹과 도난에 대한 인식과 대비가 곧 첫 번째 방어선”이라고 강조했다.

이번 경고는 추석 연휴를 맞아 여행객들이 무심코 사용하는 공공 충전기나 Wi-Fi가 예상치 못한 보안 위협이 될 수 있다는 점을 다시금 환기시킨다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지