▲ 해킹 자료화면
글로벌 사이버 보안 기업 노드VPN이 추석 연휴를 앞두고 오늘(23일) '공용 충전기'를 통한 스마트폰 해킹 위험에 대해 주의를 당부했습니다.
특히 연휴 기간 여행 등을 위해 여권·신분증 사본, 호텔 예약 정보, 항공사 마일리지 계정 등 정보를 스마트폰에 담아 둘 수 있는데, 이 같은 정보를 노린 해킹 시도가 있을 수 있다는 것입니다.
노드VPN은 여행용 eSIM 앱 세일리(Saily)와의 공동 조사에서 해커들이 여권 스캔본 등 여행 관련 데이터를 최대 수천 달러에 다크웹에서 거래하는 경우도 있다고 전했습니다.
노드VPN은 특히 충전기처럼 위장한 악성 장치를 통한 해킹 수법인 '초이스 재킹'(choicejacking) 위험을 경고했습니다.
초이스 재킹은 종전에 제기된 비슷한 수법인 '주스 재킹'(juice jacking)의 강화된 형태입니다.
10여 년 전부터 위험성이 제기된 주스 재킹은 usb 충전단자를 통해 충전을 시도하는 순간 전력을 공급하는 척하면서 해킹 프로그램을 심는 방식입니다.
물론 요즘 대부분의 스마트폰은 usb 단자가 연결되면 데이터 전송을 허용할 것인지 묻기 때문에 주스 해킹 방식은 상당 부분 막을 수 있습니다.
하지만 초이스 해킹은 데이터 전송 승인 여부를 자의적으로 조작해 사용자의 동의나 입력 없이 자동으로 데이터 전송 모드를 활성화하도록 조작하는 수법입니다.
악성 충전기는 키 입력 주입(Keystroke injection), 입력 버퍼 오버플로우(Input buffer overflows), 프로토콜 오용(Protocol abuse) 등 다양한 공격 기법을 활용하며, 사진·문서·연락처 등 기기 내부 데이터를 단 133밀리 초(ms) 만에 유출할 수 있어 탐지가 거의 불가능하다고 노드VPN은 경고했습니다.
이를 막기 위해서는 ▲ 휴대전화 운영체제와 앱 최신 보안 패치로 유지 ▲ 공공 충전기 사용 최소화 ▲ 개인 충전기나 보조배터리 사용 ▲ 충전 전용 모드 활성화 등 수칙을 실천하는 것이 중요하다고 회사는 강조했습니다.
노드VPN은 또 여행 시 스마트폰 도난 또한 해킹 못지않게 심각한 피해를 유발할 수 있다며, 도난 발생 시 ▲ 원격 잠금과 초기화 ▲ 계정 비밀번호 변경 ▲ 통신사 서비스 정지 ▲ 경찰 신고 등 48시간 내 신속한 대응이 필요하다고 했습니다.
여행 전 데이터 백업, '내 기기 찾기' 기능 활성화, 강력한 생체 인증, 최소한의 정보만 담은 '여행용 휴대폰' 사용, 전자기기 전용 보험 가입 등도 권장했습니다.
황성호 노드VPN 한국 지사장은 "초이스 재킹은 공공 충전 위협의 한 단계 진화한 사례로, 단 하나의 속임수 메시지로도 해커가 사용자를 속여 데이터 전송을 허용하게 만들 수 있으며 개인 파일이나 민감한 정보를 노출시킬 수 있다"며 "공공 USB 포트는 절대 안전하다고 생각해서는 안 되며, 해킹과 도난에 대한 인식과 대비가 곧 첫 번째 방어선"이라고 말했습니다.
