일반적으로 휴대폰을 컴퓨터, 저장 장치 또는 기타 유형의 썸 드라이브와 같은 알 수 없는 장치나 콘센트에 연결하는 것은 안전한 방법이 아닙니다. 그렇다면 공항이나 공공 장소의 키오스크에서 찾을 수 있는 무료 충전소는 어떻습니까? 그 중 일부는 소액의 수수료도 부과합니까? 글쎄, 그들은 기술적으로 위험한 선택입니다. 어떻게요? 지난 10년 동안 주스 재킹(juice jacking)이라는 공격 벡터에 대한 뜨거운 논쟁이 있었습니다. 전체적인 아이디어는 겉보기에 휴대폰과 기타 전자 기기 충전에 사용할 수 있는 USB 인터페이스를 해커가 조작하여 악의적인 활동을 위한 악성 코드를 심을 수 있다는 것입니다.
가장 좋은 방법은 그러한 충전 콘센트를 피하는 것입니다. 하지만 언제 휴대전화가 꺼질 지경이고, 충전 콘센트를 찾을 수 없는 상황에 처하게 될지 결코 알 수 없습니다. 아니면 충전 키트를 가까이에 두지 마세요. 이러한 시나리오의 경우 전문가들은 Offgrid의 15달러짜리 드라이브와 같은 USB 차단기를 권장합니다. 비용이 거의 절반에 달하는 데이터 차단 USB 드라이브도 찾을 수 있습니다. 또는 데이터 레인이 부족하지만 최대 240W의 전력 소비를 지원하는 Plugable의 특수 케이블에 투자할 수 있습니다.
이들의 유일한 목표는 전력을 제외하고 USB 인터페이스를 통과하는 다른 어떤 것도 통과하지 못하도록 하는 것입니다. 간단히 말해서, 악의적인 행위자가 충전소의 USB 포트를 수정한 경우 해당 포트는 손상된 데이터를 휴대폰으로 전송할 수 없습니다. 대신 USB 동글의 전체 기능은 단순히 전원을 전송하고 장치를 충전하는 데만 사용됩니다.
믿을 수 없을 만큼 단순한 위협 벡터
2011년 잘 알려진 DefCon 컨벤션에서 두 명의 사이버 보안 전문가가 USB 충전 콘센트가 취약하다는 사실을 입증했습니다. 두 전문가는 행사장에 무료 충전 키오스크를 설치했고, 300명이 넘는 방문객이 휴대폰에 휴대폰을 꽂았지만 경고 메시지를 받았다. 이 아이디어를 뒷받침하는 전문가 중 한 명은 Vox에 “만약 내가 그것을 실현할 수 있고 전 세계 수백 명의 최고 전문가를 속여 이를 사용하게 할 수 있다면 주변의 일반 시민도 그것에 빠질 것이라고 생각합니다”라고 말했습니다.
주스 재킹의 기본 아이디어는 USB 기반 장치(드라이브 및 케이블)가 두 가지 목적을 수행한다는 것입니다. 전력을 전송하고 양방향 데이터 이동도 가능하게 합니다. 후자는 위험이 고개를 드는 곳입니다. 지금까지 맬웨어를 심기 위해 공용 USB 충전소를 대량으로 악용하거나 남용했다는 보고는 없었지만 위협은 지속되는 것으로 보입니다. 그리고 주 정부, 지방 정부, 사이버 보안 회사가 위험을 알리기 시작하면 피해가 발생한 후 후회하는 것보다 안전하게 플레이하는 것이 좋습니다.
약 2년 전, 연방수사국(FBI)은 공항, 레스토랑, 교통 허브의 공공 충전소 사용에 대한 경고를 발표했습니다. “나쁜 행위자들은 공용 USB 포트를 사용하여 장치에 악성 코드와 모니터링 소프트웨어를 도입하는 방법을 찾아냈습니다.”라고 기관은 밝혔습니다. 수년에 걸쳐 Apple은 사용자가 수동으로 “신뢰할 수 있는” 장치로 지정한 경우에만 USB 연결을 통한 데이터 전송을 허용하는 시스템을 구축했습니다. 또한 Android 기기는 사용자가 데이터 전송을 허용하도록 동작을 변경하지 않는 한 기본적으로 충전 전용 모드로 설정됩니다.
많은 회의론이 있지만 안전하게 플레이하는 것이 가장 좋습니다.
FBI가 공공 충전소 사용의 위험성에 대해 처음 경고를 발표했을 때 이 내용은 널리 다루어졌습니다. 그러나 실제 위험에 대해서는 회의적인 시각도 많습니다. 소비자 사이버 보안 회사인 Aura의 수석 과학자 Zulfikar Ramzan은 Slate에 “‘주스 재킹’이 광범위한 문제라는 것을 보여주는 증거가 많지 않습니다.”라고 말했습니다. CyberArk의 사이버 보안 전도사인 Andy Thompson도 콘센트에 주스 재킹과 같은 것이 존재하지 않는다고 말했습니다. 전문가들은 개념 증명 관점에서 보면 위험하다고 덧붙였습니다.
간단히 말해서 기술적으로 가능하므로 현실적인 위협이 됩니다. 사이버 보안 전문가 Mike Grover는 ArsTechnica에 “일반 대중에게 강조할 가치가 없는 문제”라고 말했습니다. 그러나 기술적으로 실현 가능하다고 해서 그것이 광범위한 주스 재킹에 사용될 수 있거나 배포되었다는 의미는 아닙니다. 증거가 부족하거나 주스 재킹 공격이 자신을 표적으로 삼았다는 것을 결정적으로 증명할 수 있는 피해자는 매우 놀라운 일입니다. 특히 FBI 및 FCC와 같은 기관이 논쟁에 뛰어들 때 더욱 그렇습니다.
FCC는 “손상된 USB 포트를 통해 설치된 악성코드는 기기를 잠그거나 개인 데이터와 비밀번호를 가해자에게 직접 내보낼 수 있다”고 밝혔습니다. 그러나 웹페이지는 이제 대중의 접근이 금지되었지만 보관된 버전은 계속 읽을 수 있습니다. 아울렛이 이들 기관에 연락했을 때 실제 사례나 주스 재킹 피해자에 대한 세부 정보를 받지 못했습니다. 2019년 LA 지방검찰청도 비슷한 경고를 내렸으나 테크크런치가 기록된 피해 발생 여부를 묻자 사무실은 실제 사례를 기록한 적이 없다고 답했다. 하지만 안전을 위해서라면 10달러 이하의 비용을 들여 휴대폰을 안전하게 보호하는 것이 좋습니다.
