최근에는 공항, 패스트푸드점은 물론 버스 안에서도 USB 충전소를 쉽게 찾아볼 수 있습니다. 하지만 이러한 공공 충전 시설이 과연 안전할까요? 혹시라도 사용했다가 스마트폰이나 태블릿이 해킹당할 위험은 없을까요? 이 질문에 대한 답을 알아보기 위해 심층적으로 분석해 보았습니다.
일부 전문가들의 우려 목소리
일부 보안 전문가들은 공공 USB 충전소 사용 경험이 있다면 주의해야 한다고 경고합니다. IBM의 최고 침투 테스트 팀인 X-Force Red 연구원들은 올해 초 공공 충전소의 잠재적 위험성에 대해 심각한 경고를 발표했습니다.
X-Force Red의 위협 정보 담당 부사장인 칼렙 발로우는 “공공 USB 포트에 기기를 연결하는 것은 길가에서 주운 칫솔을 입에 넣는 것과 같습니다. 그 출처를 전혀 알 수 없기 때문입니다.”라고 비유하며 위험성을 강조했습니다.
발로우는 USB 포트가 단순히 전력을 공급하는 기능 외에도 기기 간 데이터 전송이 가능하다는 점을 지적합니다. 최신 기기들은 데이터 전송을 사용자가 제어할 수 있도록 설계되어 있지만, 보안 취약점을 이용해 이러한 보호 기능을 우회하는 것이 가능합니다. “이 컴퓨터를 신뢰하시겠습니까?”와 같은 메시지가 iPhone에 표시되는 이유도 바로 이 때문입니다. 반면, 안전한 전원 어댑터를 일반 콘센트에 연결하는 경우에는 이러한 위험이 없습니다. 공공 USB 포트의 경우, 데이터 전송이 가능한 연결에 의존할 수밖에 없다는 점이 문제입니다.
약간의 기술적인 지식만 있다면 USB 포트를 악성 공격 도구로 활용하여 연결된 휴대폰에 악성코드를 심을 수도 있습니다. 특히 기기가 Android를 사용하거나 최신 iOS 업데이트를 적용하지 않은 경우 더욱 위험합니다.
이 모든 이야기가 다소 위협적으로 들릴 수 있지만, 이러한 경고가 실제로 발생할 수 있는 문제에 근거한 것인지 자세히 살펴보았습니다.
이론에서 실제 사례로
그렇다면 모바일 기기를 대상으로 하는 USB 기반 공격은 단순한 이론에 불과할까요? 결론부터 말하자면, 그렇지 않습니다.
보안 전문가들은 오래전부터 충전소를 잠재적인 공격 통로로 간주해 왔습니다. 2011년에는 저명한 정보 보안 저널리스트인 브라이언 크렙스가 이러한 공격을 설명하기 위해 “주스 재킹”이라는 용어를 만들기도 했습니다. 모바일 기기가 대중화되면서 많은 연구자들이 이 분야에 집중했습니다.
2011년 Defcon 보안 컨퍼런스의 한 행사에서는 충전 부스를 설치하여 신뢰할 수 없는 기기에 연결했을 때 발생하는 위험을 경고하는 팝업 메시지를 생성했습니다. 2년 후 Blackhat USA 행사에서는 조지아 공과대학교 연구진이 충전소로 위장하여 최신 버전의 iOS 기기에 악성코드를 설치하는 도구를 시연했습니다.
이처럼 수많은 사례를 통해 우리는 “주스 재킹”이 이론적인 위험에 그치지 않는다는 것을 알 수 있습니다. 그렇다면 이러한 공격이 실제로 얼마나 자주 발생할까요? 이 지점에서 상황이 다소 복잡해집니다.
위험성 평가
“주스 재킹”이 보안 연구자들의 주요 관심사임에도 불구하고, 실제로 공격자들이 이를 악용하여 성공한 사례는 거의 보고되지 않았습니다. 대부분의 언론 보도는 대학이나 정보 보안 회사 연구진의 개념 증명 실험에 초점을 맞추고 있습니다. 이는 공공 충전소를 악용하는 것이 생각보다 어렵기 때문일 수도 있습니다.
공공 충전소를 해킹하려면 공격자가 특정 하드웨어, 예를 들어 악성코드를 배포하기 위한 소형 컴퓨터를 준비하고, 사람들에게 들키지 않고 설치해야 합니다. 특히 보안 요원들이 드라이버와 같은 도구를 압수하는 북적거리는 국제공항에서 이러한 작업을 하는 것은 매우 어렵습니다. 이러한 비용과 위험 부담 때문에 “주스 재킹”은 일반인을 대상으로 하는 무차별 공격에는 적합하지 않습니다.
또한, 이러한 공격은 상대적으로 비효율적일 수 있습니다. 충전 소켓에 연결된 기기만 감염시킬 수 있으며, 모바일 운영체제 제조사들이 정기적으로 업데이트하는 보안 취약점에 의존하는 경우가 많습니다.
현실적으로 해커가 공공 충전소를 조작한다면, 출근길에 배터리 충전을 원하는 일반인보다는 고위험군 개인을 대상으로 하는 표적 공격일 가능성이 높습니다.
안전이 최우선
본 기사의 목적은 모바일 기기 보안 위험을 과소평가하려는 것이 아닙니다. 스마트폰은 때때로 악성코드 전파에 이용되기도 하며, 악성코드가 있는 컴퓨터에 연결되어 있는 동안 감염될 수도 있습니다.
2016년 로이터 기사에 따르면, F-Secure의 미코 히포넨은 유럽 항공기 제조업체에 영향을 미친 안드로이드 악성코드의 위험한 변종에 대해 언급했습니다. 그는 “최근 유럽 항공기 제조업체와 이야기를 나누었는데, 매주 비행기 조종석에서 안드로이드폰용 악성코드를 제거한다고 합니다. 이 악성코드는 공장 직원들이 조종석에 있는 USB 포트로 휴대폰을 충전하면서 비행기에 퍼졌습니다”라고 말했습니다. 비행기는 다른 운영체제를 사용하므로 직접적인 피해는 없지만, 연결된 다른 기기에 바이러스를 퍼뜨릴 수 있습니다.
주택 보험에 가입하는 것은 집이 불탈 것이라고 예상해서가 아니라, 최악의 상황에 대비하기 위해서입니다. 마찬가지로 컴퓨터 충전소를 사용할 때도 현명한 예방 조치를 취해야 합니다. 가능하면 USB 포트 대신 일반 콘센트를 사용하십시오. 그럴 수 없다면, 기기 대신 휴대용 배터리를 충전하는 것이 좋습니다. 또한 휴대용 배터리를 연결하여 충전하는 동안 휴대폰을 충전할 수도 있습니다. 즉, 가능하면 휴대폰을 공공 USB 포트에 직접 연결하지 않는 것이 좋습니다.
위험이 문서화된 경우는 드물지만, 후회하는 것보다는 안전한 것이 항상 낫습니다. 일반적으로 신뢰할 수 없는 USB 포트에 물건을 연결하지 않도록 주의해야 합니다.