무료 공용 충전기 괜찮을까? 안전하게 충전하는 방법

외근 중 스마트폰이나 노트북의 배터리가 부족할 때 공공장소의 무료 USB 충전 포트를 이용하는 경우가 많다. 이러한 충전 포트는 편리함을 제공하지만, 자칫 사이버 범죄의 표적이 될 수 있다는 점에서 주의가 필요하다. 공격자가 공공 USB 포트에 악성코드를 심어 두고, 이를 통해 충전 중인 기기에서 데이터를 탈취하거나 악성 프로그램을 설치하는 수법이 바로 ‘주스 재킹(Juice Jacking)’이다. 미국 연방수사국(FBI) 역시 이에 대한 경고를 발표한 바 있다. 이번 글에서는 공공장소 충전기의 보안 위협과 그 예방법을 살펴본다.

스마트폰은 배터리가 생명이다. 보조 배터리를 챙기는 것도 하나의 방법이지만, 무겁고 번거롭게 느껴질 때가 많다. 그래서 지하철역이나 공항, 카페 등 공공장소에서 제공하는 충전기를 이용하는 경우도 많다. 이런 무료 충전 서비스는 큰 편의를 제공하지만, 보안 위협의 소지가 있다는 점에서 주의가 필요하다. 최근에는 공공 USB 충전기를 악용한 공격이 늘어나고 있으며, 전문가들은 '주스 재킹'이라 불리는 수법을 통해 개인정보 유출, 악성코드 감염 등의 위험이 발생할 수 있다고 경고한다. 2023년, 미국 연방수사국(FBI)은 공식 트위터를 통해 공공장소의 무료 USB 충전 포트를 사용하지 말 것을 권고하기도 했다.

 

주스 재킹(Juice Jacking)은 USB 충전 포트를 통해 스마트폰에 악성코드를 설치하거나 데이터를 탈취하는 사이버 공격 수법이다. 공공장소에 설치된 USB 포트나 충전 케이블에 악성 장치를 심어두면, 겉보기에는 단순히 기기가 충전되는 것처럼 보이지만, 실제로는 해커에게 정보가 송신된다. 사진, 연락처, 이메일은 물론, 금융 앱의 인증 정보까지 유출될 수 있다.

 

특히 안드로이드 스마트폰의 경우 USB 디버깅 기능이 켜져 있을 때 외부 명령 실행이 가능해 더욱 위험하다. 그렇다고 해서 아이폰이라고 완전히 안전한 것은 아니다. 애플 기기 역시 사용자의 승인 없이 데이터 송수신을 시도하는 공격에 노출될 수 있다.

 

주스 재킹의 가장 큰 문제는 사용자가 감염 사실을 쉽게 알아차릴 수 없다는 점이다. 악성코드는 흔적을 남기지 않도록 ‘스텔스 모드’로 작동하며, 사용자 본인은 몇 달, 길게는 몇 년 동안 이상 징후를 전혀 인지하지 못할 수도 있다. 그 사이 해커는 민감한 개인정보를 몰래 중앙 서버로 전송하고, 이를 판매하거나 추가 범죄에 악용할 수 있다.

 

최근에는 주스 재킹이 한층 더 정교해지면서, 그동안 안전하다고 여겨졌던 iOS와 안드로이드의 보안 체계가 무력화됐다. 이 사실은 오스트리아 그라츠 공과대학 연구팀의 연구를 통해 밝혀졌다.

 

이 신종 공격 기법은 ‘초이스 재킹(Choice Jacking)’이라 불리며, 특수하게 조작된 충전기만으로도 사용자의 동의 없이 데이터 탈취와 접근 권한 획득이 가능하다.

 

스마트폰 운영체제는 2012년부터 USB 기반의 무단 데이터 접근을 막기 위해 사용자 확인을 요구하는 보안 절차를 마련해왔다. 하지만 이번 연구를 통해, 이러한 보안 체계 역시 뚫릴 수 있다는 점이 확인됐다.

 

연구진에 따르면, 공격에 사용된 조작된 충전기는 USB 키보드로 인식되며, 별도의 사용자 조작 없이 블루투스를 활성화하고, 자동으로 스마트폰과 페어링된다. 이후 블루투스 키보드를 가장해 데이터 접근 및 전송을 허용하는 팝업 창에 자동으로 동의하도록 한다. 이 과정을 통해 공격자는 사진, 문서, 앱 데이터 등 스마트폰에 저장된 민감 정보를 손쉽게 확보할 수 있다. 이 수법은 테스트에 참여한 8개 브랜드의 모든 기기에서 유효한 것으로 나타났다.

 

애플은 iOS/iPadOS 18.4 버전에서 문제를 인식하고, 충전 시 PIN이나 비밀번호를 입력하도록 보안을 강화했으며, 구글 역시 Android 15에서 유사한 조치를 도입했다. 하지만 다수의 스마트폰 제조사들은 충전 중 잠금 해제를 방지하기 위한 보안 조치들을 아직 완전히 구현하지 못한 것으로 알려졌다.

 

공공장소 충전기의 위험을 피하기 위한 가장 효과적인 방법은 개인 충전 장비를 지참하는 것이다. 전문가들은 다음과 같은 5가지 예방법을 실천할 것을 권고한다.

 

1) 개인 보조 배터리 및 콘센트형 충전기 사용: USB 포트가 아닌 220V 전원 콘센트를 사용해 충전하는 것이 가장 안전하다.

2) 데이터 차단 어댑터(USB 콘돔) 사용: USB 포트에 연결할 때 전력만 전달하고 데이터 통신은 차단하는 장치로, 보안에 민감한 사용자들에게 유용하다.

3) 공공 USB 포트 직접 사용 금지: 불특정 다수가 접근 가능한 USB 포트는 되도록이면 사용하지 않는 것이 좋다.

4) USB 디버깅 기능 비활성화: 안드로이드 기기의 경우 개발자 옵션에서 USB 디버깅 기능을 끄면 외부 명령 실행을 방지할 수 있다.

5) 의심스러운 알림 무시: 충전 중 '이 장치를 신뢰하시겠습니까?' 등의 메시지가 뜰 경우, 반드시 ‘취소’를 선택해야 한다.

 

기술이 발전할수록 삶은 편리해지지만 그만큼 사이버 위협의 창구도 다양해지고 있다.  공공장소에서의 무심한 행동이 사생활과 재산을 위협할 수 있는 만큼, 디지털 시대의 시민으로서 개인정보 보호는 반드시 스스로 감당해야 할 책임이다.