|
|
|
|
최근 진화된 형태의 '초이스 재킹'도 등장…국내 실제 피해 확인 사례는 없어
(서울=연합뉴스) 구정모 기자 = 배터리가 방전돼 지하철이나 공항 등 공공장소의 개방형 충전 시설을 무심코 사용했다간 스마트폰 속 중요한 정보가 해킹당할 수 있다는 뉴스가 최근 화제가 됐다.
이른바 '주스 재킹'의 위험성을 알리는 뉴스였다.
주스 재킹(juice jacking)은 모바일 기기를 공공장소에 설치된 충전시설의 USB 포트에 연결할 때 발생할 수 있는 데이터 유출 위협을 의미하는 용어다.
영어 단어 주스(juice)에는 '전기'라는 의미로 쓰이기도 하는데 여기에 '강탈하다'라는 뜻의 '하이재킹'(hijacking)을 더해 '주스 재킹'이라는 용어가 만들어졌다.
실제 주스 재킹은 어느 정도 가능성이 있을까. 그리고 실제 피해 사례는 얼마나 될까.
주스 재킹의 위험성이 처음 제기된 미국에서 벌어진 논의를 바탕으로 이를 검증해봤다.
◇ 2011년 USB 포트 해킹위험 경고 활동 계기로 주스 재킹 가능성 제기
주스 재킹은 보안 전문 기자 브라이언 크렙스가 2011년 8월 세계 최대 해킹대회인 '데프 콘'에서 벌어진 한 '소동'을 다룬 기사의 제목 "주스 재킹에 주의하세요"에서 유래했다.
당시 한 프로젝트팀이 행사장 내에 여러 규격의 충전 케이블을 갖춘 무료 휴대전화 충전 키오스크를 설치했다.
누군가 이 충전 키오스크를 이용하려고 스마트폰을 연결하면 충전 키오스크의 액정표시장치(LCD) 화면에 "공공장소에 스마트폰을 맡기면 안 됩니다. 귀하의 동의 없이 정보를 열람하거나 다운로드할 수 있습니다"라는 내용의 경고문이 떴다.
충전 USB 포트를 이용한 해킹 가능성을 알리는 일종의 '캠페인'이었다.
이런 일이 가능한 것은 USB 포트가 전력 공급뿐 아니라 데이터 전송 기능도 가지고 있기 때문이다.
어떤 장치를 USB로 스마트폰에 연결하면 양 기기 간 일종의 신뢰 관계가 형성돼 스마트폰은 이 장치에 데이터 접근을 허용하는 상태가 된다.
주스 재킹은 바로 이런 점을 노려 전력을 공급하는 척하면서 악성 프로그램을 심는다.
당시 데프 콘에 참석한 내로라하는 보안 전문가들도 이런 위험성을 깨닫지 못해 360명 이상이 무료 충전 키오스크를 이용하다가 경고문을 받게 됐다.
하지만 이는 '이런 위험이 있다'는 경고성 활동이었을 뿐이다. 실제로 주스 재킹이 시연된 것은 2년 후인 2013년 사이버보안 콘퍼런스인 '블랙 햇'에서였다.
당시 행사에서 미국 조지아공대 연구팀은 USB 방식의 충전기 내에 일종의 소형 컴퓨터가 탑재된 '막탄스'(Mactans)를 선보였다. 당시 스마트폰을 막탄스에 연결하자 1분 이내에 악성 프로그램이 사용자 모르게 스마트폰에 설치됐다.
특히 상대적으로 보안이 뛰어난 것으로 알려진 애플 기기가 막탄스를 통해 악성 프로그램이 주입될 수 있다는 사실이 사람들에게 충격을 줬다.
이후에도 여러 보안 콘퍼런스에서 주스 재킹이 다양한 방식으로 시연되면서 그 위험성이 널리 알려졌다.
◇ 스마트폰 제조사 대책 마련에 실제 해킹 사실상 어려워
이때까지는 보안 전문가들만의 행사에서 이런 식으로도 해킹할 수 있다는 아이디어 수준에서 주스 재킹이 거론됐을 뿐이었다.
그러다 미국 캘리포니아주 로스앤젤레스(LA) 카운티 지방검찰청이 2019년 여행객들에게 공공 USB 충전시설을 사용하지 말라고 경고하면서 상황이 달라졌다. 정부 당국의 경고는 주스 재킹이 실제로도 위험하다는 것을 시사하기 때문이다.
그러나 보안 전문 매체들은 주스 재킹이 실제로 일어났는지에 의문을 표시했다.
정보기술(IT) 매체 테크크런치는 LA 카운티 지검에 문의한 결과 실제 발생 사례는 하나도 없었다고 전했다. 카운티 지검 대변인은 경고를 발령한 것은 교육 캠페인의 일환이었다고 테크크런치에 밝혔다.
또다른 IT 전문매체 지디넷은 보안 콘퍼런스에서 발표된 시연 외에 실제로 주스 재킹이 벌어졌다고 보고된 사례가 없기 때문에 지검의 보안 경고가 적절하지 않았다는 비판이 제기되고 있다고 보도했다.
보안 전문 매체들이 이런 반응을 보인 것은 2011년과 2013년 주스 재킹의 위험성이 제기된 이후 스마트폰 제조사들이 이를 방지하는 기능을 도입했기 때문이다.
새로운 스마트폰들은 USB 포트로 다른 장치가 연결될 경우 '이 기기를 신뢰합니까'라는 내용의 팝업 경고 창이 뜬다.
사용자가 이를 승인할 경우에만 스마트폰이 외부 장치와 데이터를 주고받기 때문에 주스 재킹이 사실상 일어나기 어려운 상황이 됐다.
그런데도 미 당국의 경고는 이후에도 이어졌다.
미 연방수사국(FBI) 덴버 지부는 2023년 4월 당시 트위터(현 X)에 "악의적인 사용자들이 공공 USB 포트를 통해 악성 소프트웨어를 기기에 설치하는 방법을 알아냈다"며 주스 재킹의 위험성을 알리는 트윗을 올렸다.
연방통신위원회(FCC)도 비슷한 시기 주스 재킹을 경고하는 소비자 주의보를 홈페이지에 게시하고 해당 트윗을 올렸다.
이를 두고 팩트체크 웹사이트 스노프스는 이에 대해 같은 달 12일자 기사에서 주스 재킹이 널리 퍼져 있다는 증거는 제시된 바 없다고 지적했고, IT 분석 매체인 아르스 테크니카는 정부 당국의 주스 재킹 경고 대부분이 '헛소리'(nonsense)라고 일축했다.
실제 FCC도 해당 주의보에서 "주스 재킹이 기술적으로 가능하다는 것이 입증됐지만 실제로 발생했다고 확인된 사례를 알지 못한다"고 밝혔다.
◇ 진화된 형태의 초이스 재킹 위험성 제기…국내 확인 사례 없어
미 당국의 주의보 발령은 계속되고 있다.
교통안전청(TSA)은 지난 3월 공항에서 발생할 수 있는 주스 재킹의 위험성을 알리는 글을 페이스북에 올렸다.
하지만 이번에는 기우에 불과하다고 넘기기엔 껄끄러운 새로운 상황이 발생했다. 주스 재킹의 강화된 형태인 '초이스 재킹'(choice jacking)이 가능하다는 것이 입증됐기 때문이다.
스마트폰 제조사들은 주스 재킹을 예방하고자 사용자가 연결된 장치를 신뢰한다고 승인한 경우만 데이터를 주고받도록 스마트폰 운영체계를 개선했다.
초이스 재킹은 이 사용자 승인 창을 자의적으로 조작해 데이터 전달을 가능하게 만드는 기법이다. 사용자의 선택(choice)을 가로챈(jacking) 셈인데, 이는 기존의 주스 재킹 방어책이 충분치 않다는 것을 의미한다.
초이스 재킹 가능성을 제기한 오스트리아 그라츠공대 연구팀이 올해 8월 발표를 앞두고 공개한 관련 논문을 보면, 스마트기기 제조사 8개사의 기종 11개 모두 연구팀이 개발한 초이스 재킹 공격기법 3개 중 어느 하나 이상의 기법에 의해 해킹됐다.
실험 대상 스마트기기엔 삼성전자의 스마트폰 4종도 포함돼 있다.
연구팀은 이런 취약점을 제조사들에 알렸고, 삼성을 포함한 대부분 제조사가 대안을 마련하고 있다고 밝혔다.
단, 연구팀이 밝힌 초이스 재킹은 어디까지나 개념증명(Proof-of-Concept)의 형태로 제시된 것으로, 실제 사례가 있었음을 발표한 것은 아니다.
한국인터넷진흥원(KISA)도 지난달 18일 초이스 재킹을 언급하며 공공장소에 있는 개방형 스마트폰 충전단자의 이용에 각별한 주의가 필요하다고 경고한 바 있다.
하지만 KISA에 문의한 결과 이달 1일 현재 초이스 재킹을 포함한 주스 재킹이 국내에서 실제로 확인된 사례는 없었다.
미국 FCC도 2023년 4월 소비자 주의보를 발령한 이후 지금까지 해당 내용을 수정하지 않은 것을 감안하면 미국에서도 실제 사례는 아직 없었던 것으로 보인다.
이런 상황을 종합할 때 주스 재킹이나 초이스 재킹 모두 보안 전문가나 연구자들이 제기한 잠재적인 위협으로, 최소한 국내에서 실제로 확인된 적은 없다.
그렇지만 조심해서 손해를 볼 일은 없다. 전문가들은 외출 시 보조배터리를 휴대하는 습관을 기르고, 공공장소에서 USB 포트로 충전해야 할 경우 기기의 전원을 끄라고 충고했다.
pseudojm@yna.co.kr
<<연합뉴스 팩트체크부는 팩트체크 소재에 대한 독자들의 제안을 받고 있습니다. 이메일(factcheck@yna.co.kr)로 제안해 주시면 됩니다.>>
<연합뉴스>
