추석 연휴 앞두고 '공용 충전기' 해킹 경고
데이터 전송 자동 활성화 '초이스 재킹' 위협
노드VPN "개인 충전기·충전 전용 모드로"
추석 연휴를 앞두고 공항·역·카페 등에서 제공되는 공용 USB 충전기 해킹 위험이 커지고 있다. 글로벌 사이버 보안기업 노드VPN은 23일 "공용 충전기를 통해 스마트폰이 순식간에 해킹될 수 있다"며 각별한 주의를 당부했다. 특히 연휴 기간에는 여권 사본·호텔 예약 정보·항공 마일리지 계정 등 여행 필수 정보가 휴대전화에 저장되는 경우가 많아 피해가 더욱 커질 수 있다는 지적이다. 실제로 해커들이 여권 스캔본 같은 데이터를 다크웹에서 수천 달러에 거래하는 사례도 보고됐다.
진화된 형태의 '초이스 재킹' 등장…0.133초면 데이터 탈취
노드VPN은 특히 충전기처럼 위장한 악성 장치를 통한 해킹 수법인 '초이스 재킹'(choicejacking) 위험을 경고했다. 초이스 재킹은 종전에 제기된 비슷한 수법인 '주스 재킹'(juice jacking)의 강화된 형태다. 기존 주스 재킹은 충전기를 통해 악성 프로그램을 심는 방식이었지만, 초이스 재킹은 사용자의 동의 없이 자동으로 데이터 전송 모드를 활성화해 단 0.133초 만에 사진·문서·연락처 등을 빼낼 수 있다. 키 입력 주입, 버퍼 오버플로우, 프로토콜 오용 등 다양한 공격 기법이 동원돼 탐지가 사실상 어렵다는 게 전문가들의 설명이다.
"개인 충전기 챙기고 와이파이 접속 지양해야"
이를 막기 위해서는 ▲휴대전화 운영체제와 앱 최신 보안 패치로 유지 ▲공공 충전기 사용 최소화 ▲개인 충전기나 보조배터리 사용 ▲충전 전용 모드 활성화 등 수칙을 실천하는 것이 중요하다고 회사는 강조했다. 노드VPN은 또 "여행 시 스마트폰 도난 또한 해킹 못지않게 심각한 피해를 유발할 수 있다"며 도난 발생 시 ▲원격 잠금과 초기화 ▲계정 비밀번호 변경 ▲통신사 서비스 정지 ▲경찰 신고 등 48시간 내 신속한 대응이 필요하다고 했다. ▲여행 전 데이터 백업 ▲'내 기기 찾기' 기능 활성화 ▲강력한 생체 인증 ▲최소한의 정보만 담은 '여행용 휴대폰' 사용 ▲전자기기 전용 보험 가입 등도 권장했다.
황성호 노드VPN 한국 지사장은 "초이스 재킹은 공공 충전 위협의 한 단계 진화한 사례로, 단 하나의 속임수 메시지로도 해커가 사용자를 속여 데이터 전송을 허용하게 만들 수 있으며 개인 파일이나 민감한 정보를 노출시킬 수 있다"며 "공공 USB 포트는 절대 안전하다고 생각해서는 안 되며 해킹과 도난에 대한 인식과 대비가 곧 첫 번째 방어선"이라고 강조했다.
한국인터넷진흥원(KISA)도 최근 해외에서 공항, 지하철 등 공공장소에 있는 개방형 스마트폰 충전단자(USB) 또는 와이파이에 연결했을 때 개인정보 등이 유출될 수 있다며 이용자의 주의를 권고했다. 지난 6월18일 KISA는 보안 공지 사이트 보호나라에 해외 공공장소 스마트폰 충전단자 연결 시 설치된 악성 앱을 통해 개인정보 등 민감한 정보를 탈취하는 해킹 수법 '초이스 재킹'이 성행하고 있다는 내용의 공지를 올렸다.
지금 뜨는 뉴스
KISA는 공항 등에서 무료로 제공되는 개방형 와이파이를 쓸 때 계정 정보, 결제 정보를 입력하는 데 주의를 기울일 것을 권고했다. 해커가 개방형 와이파이에 악성 프로그램을 설치하는 수법으로 스마트폰·노트북 등을 해킹하면 온라인 계정 및 결제 정보 등 민감한 정보가 탈취될 수 있다는 것이다. KISA는 ▲스마트폰 운영체제(OS) 최신 업데이트 적용 ▲여행 중 스마트폰 충전 시 보조배터리 사용 ▲USB가 아닌 어댑터를 통해 충전하고 충전 전용 케이블을 쓸 것 ▲비밀번호 없는 와이파이 사용 지양 등을 권고했다.
서지영 기자 zo2zo2zo2@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
