무료 USB 충전 포트, 편리함 뒤에 숨은 ‘사이버 함정’
탈취된 개인정보, 해커 중앙 서버에 전송돼 불법 거래
“스마트폰 단순 충전도 이제 ‘보안’ 관점에서 접근해야”

외출 중 휴대폰 배터리가 부족할 때 지하철역이나 공공장소에 마련된 무료 충전 시설을 찾는 일이 흔하다. 편리한 USB 충전 포트 사용이 자칫 ‘사이버 범죄’의 표적이 될 수 있어 각별한 주의가 요구된다.

기사 특정내용과 무관. 게티이미지뱅크

14일 업계에 따르면 스마트폰을 공공 USB 포트에 연결하는 순간 기기에 악성코드를 주입하거나 저장된 데이터를 탈취하는 ‘주스 재킹(Juice Jacking)’ 범죄가 전 세계적으로 증가하고 있다.

해커가 USB 포트에 악성 장치를 심어두고 스마트폰이 연결되면 사진, 연락처, 이메일, 금융 앱 정보 등 민감한 데이터를 몰래 빼내는 방식이다.

주스 재킹은 사용자에게 거의 감지되지 않는 ‘스텔스 모드’로 작동하기 때문에 피해 사실을 오랜 기간 알아차리지 못하는 경우가 많다. 이 과정에서 탈취된 개인정보는 해커의 중앙 서버로 전송돼 불법 거래되거나 추가 범죄에 악용될 수 있다.

미국 연방수사국(FBI)은 지난해 소셜네트워크서비스(SNS)를 통해 “공공장소의 무료 USB 충전 포트 사용을 피하라”고 공식 경고하기도 했다.

최근 이 공격 방식이 한층 진화하고 있다.

오스트리아 그라츠 공과대학 연구팀에 따르면 조작된 충전기가 스마트폰에 단순한 전원 공급 장치가 아닌 USB 키보드로 인식되면서 별다른 사용자 조작 없이 블루투스를 자동 활성화하고, 기기 간 페어링까지 진행된다.

일단 페어링이 되면 외부 장치가 내부 데이터에 자동 접근할 수 있게 돼 사진, 문서, 앱 정보 등 각종 민감 데이터가 쉽게 유출될 수 있다. ‘초이스 재킹(Choice Jacking)’이라는 신종 수법으로 기존 주스 재킹보다 한 단계 높은 위협으로 평가된다.

기사 특정내용과 무관. 게티이미지뱅크

주요 운영체제 기업들도 대응에 나섰다.

애플은 iOS·iPadOS 18.4 버전부터 충전 시 PIN이나 비밀번호 입력을 요구하는 기능을 도입해 보안을 강화했다. 구글 역시 안드로이드 15 버전에서 유사한 보안 조치를 추가했다.

일부 스마트폰 제조사들은 여전히 충전 중 자금 해제를 방지하는 보안 기능을 제대로 구현하지 못하고 있어 취약성이 존재한다.

전문가들은 이러한 사이버 위협으로부터 스스로를 보호하기 위해 △가능하면 공공 USB 포트 사용을 피하고 개인용 보조 배터리나 콘센트형 충전기를 이용할 것 △데이터 전송 기능이 차단된 전용 USB 어댑터 사용 △USB 디버깅 기능 비활성화 △출처 불명의 알림이나 연결 요청 무시 △운영체제 및 보안 업데이트를 최신 상태로 유지하고, 정기적으로 접근 권한을 점검 등과 같은 보안 수칙을 권고한다.

한 보안 전문가는 “공공장소의 무료 USB 충전 포트는 겉보기엔 편리하지만, 사이버 보안 측면에서는 매우 취약한 선택이 될 수 있다”고 지적했다. 이어 “스마트폰 충전도 ‘보안’이라는 관점에서 접근해야 한다”고 경고했다.

그는 “충전 포트를 통해 연결된 장치는 단순한 전력 공급원이 아닌 데이터 통신 경로가 될 수 있다는 점을 명심하고, 일상 속 보안 수칙을 철저히 지켜야 한다”고 강조했다.

김현주 기자 hjk@segye.com

Copyright © 세계일보. 무단전재 및 재배포 금지.