공용 충전기 주스재킹 위험: 모바일 기기 보안 수준 점검 가이드

서론

공항, 카페, 지하철역 등 공공장소에서 무료로 제공되는 충전기는 배터리가 부족한 상황에서 유용한 서비스다. 하지만 이 충전기가 스마트폰과 태블릿의 개인정보를 노출시키는 보안 위험이 될 수 있다는 경고가 최근 미국 정부 기관들에서 따라나오고 있다. 이른바 "주스 재킹(Juice Jacking)"이라 불리는 공격 기법에 대한 주의가 필요한 시점이다.

주스 재킹은 공용 USB 충전 포트를 악용해 모바일 기기에 악성코드를 설치하거나 데이터를 유출하는 사이버 공격을 의미한다. 이 기법은 USB 포트가 전력 공급만이 아니라 데이터 전송 기능도 가지고 있다는 점을 이용한다.

본론

기술적 배경과 공격 시나리오

USB 포트는 전력을 전달하는 기능과 데이터를 주고받는 기능을 동시에 수행할 수 있다. 정상적인 충전기는 전력만 공급하지만, 악의적으로 조작된 충전기나 케이블은 이 데이터 전송 기능을 악용할 수 있다.

주스 재킹의 공격 시나리오는 다음과 같다. 해커가 공공장소의 USB 충전 포트나 무료 충전 키오스크에 악성 장치를 설치한다. 사용자가 스마트폰을 연결하면, 이 악성 장치는 충전과 동시에 기기에 악성코드를 설치하거나 저장된 데이터를 몰래 읽어본다. 연락처, 사진, 이메일, 금융 앱 정보, 기업 문서 등 기기 내 민감한 정보가 유출될 수 있다.

기술적 증거와 연구 발표

주스 재킹의 위험성은 2011년 데프 콘(DEF CON) 해커 대회에서 처음 널리 알려졌다. 보안 전문가 브라이언 크로스가 당시 행사장에 설치된 무료 충전 키오스크를 이용하려는 사람들에게 경고문을 띄우는 캠페인을 보고하면서 주스 재킹이라는 용어가 등장했다.

2013년 블랫햇(Black Hat) 해커 대회에서는 미국 조지아공대 연구팀이 "막탄스(Mactans)"라는 악성 충전기를 공개했다. 이 충전기는 상대적으로 보안이 강한 애플 기기조차 1분 이내에 악성 프로그램이 설치될 수 있다는 것을 입증했다.

최근에는 주스 재킹이 한 단계 더 진화된 형태인 "초이스 재킹(Choice Jacking)"이 연구되었다. 2025년 오스트리아 그라츠클라츠공대 연구팀은 사용자 승인 프롬프트를 조작해 데이터 전송을 가능하게 만드는 공격 기법을 발표했다. 연구팀은 8개 제조사의 11개 기종 모두가 이 공격에 취약함을 확인했으며, 삼성전자 스마트폰도 포함되었다.

실제 발생 여부

흥미롭게도 주스 재킹에 대한 경고가 많지만 실제 피해 사례는 거의 확인되지 않는다. 연합뉴스의 팩트체크 기사에 따르면, 미국 캘리포니아주 로스앤젤레스 카운티 지방검찰청이 2019년 여행객들에게 공용 USB 충전시설 사용을 자기하라고 경고했으나, 이 경고에 문의한 결과 실제 발생 사례는 하나도 없었다. 경고 대신인은 이 경고가 교육 캠페인의 일환이었다고 밝혔다.

미국 연방통신위원회(FCC)도 2023년 4월 발행한 소비자 주의보에서 "주스 재킹이 기술적으로 가능한 것이 입증되었지만 실제로 발생했다고 확인된 사례를 알지 못한다"고 명시했다. 단, 해당 주의보는 현재 FCC 웹사이트에서 제거되어 접근이 불가능하다.

한국인터넷진흥원(KISA)에 따르면 2025년 7월 현재까지 초이스재킹을 포함한 주스 재킹이 국내에서 실제로 확인된 사례는 없다. 이는 주스 재킹이 기술적으로 가능하지만 실제로는 발생 빈도가 매우 낮거나, 제조사들의 방어 기능이 효과적이라는 해석이 가능하다.

제조사들의 대응과 방어 기능

주스 재킹의 위험성이 제기된 이후, 스마트폰 제조사들은 다양한 방어 기능을 도입했다. 현대 스마트폰은 USB 포트로 다른 장치가 연결될 경우 "이 기기를 신뢰하시겠습니까?"라는 팝업을 띄워 사용자의 명시적 동의 없이는 데이터 전송을 차단한다.

애플은 최신 iOS 버전에 "제한된 USB 모드(Restricted USB)" 기능을 도입했다. 이 기능이 활성화되면 충전 시 핀 번호 입력이 요구되어 데이터 전송이 원천적으로 차단된다. 구글도 안드로이드 15 버전부터 USB 보안 기능을 강화했다.

하지만 초이스 재킹 연구는 이러한 방어 기능이 완벽하지 않음을 보여준다. 사용자 승인 창을 악의적으로 조작해 데이터 전달을 강제하는 기법이 입증되었기 때문이다. 연구팀은 취약점을 제조사들에게 통지했으며, 삼성전자를 포함한 대부분 제조사가 대안을 마련하고 있다고 밝혔다.

국내 기업 보안 담당자 관점에서의 영향도와 대응 우선순위

국내 기업 보안 담당자 입장에서 주스 재킹은 다음과 같이 분석할 수 있다.

우선, 현재 위협 레벨은 "기술적 취약점은 확인되었으나 실제 피해 사례는 없는 수준"으로 판단된다. 즉각적인 대응이 필요한 급급 위협이 아니라 장기적인 모니터링과 대응 준비를 가져야 할 위협이다.

대응 우선순위는 다음과 같다.

즉시 대응 (24시간 이내)

보안 담당자는 주스 재킹과 초이스 재킹의 위험성에 대해 내부 통지를 발행하고, 직원들에게 주의를 환기해야 한다. 특히 출장이 잦은 직원, 영업직, 현장 엔지니어 등 공공장소에서 충전할 가능성이 높은 직원을 대상으로 집중적인 교육이 필요하다.

단기 대응 (72시간 이내)

업무용 모바일 기기의 보안 설정을 점검하고 강화해야 한다. iOS 기기는 "제한된 USB 모드"가 활성화되어 있는지 확인한다. 안드로이드 기기는 최신 보안 패치가 적용되었는지 확인하고, USB 데이터 전송 기능을 제한하는 설정을 검토한다.

기업 보안 정책에 공용 충전기 사용 금지 조항을 추가하거나 명확하게 규정한다. MDM(모바일 기기 관리) 시스템을 활용 USB 데이터 전송을 제한하는 설정을 원격으로 적용할 수 있는지 검토한다.

장기 대응 (1주 이내)

직원에게 개인용 보조배터리(파워뱅크)를 지급하거나 구매 지원을 제공해, 공용 충전기 사용을 최소화하도록 유도한다. 보안이 강화된 USB 데이터차단기(Data Blocker/USB Condom)를 보급한다. 이 장치는 전력은 전달되지만 데이터 전송은 차단하여 주스 재킹을 방지할 수 있다.

주기적인 보안 교육을 통해 이동형 보안에 대한 인식을 제고한다. 공공 와이파이, 휴대폰 분실, 피싱 등 이동형 환경에서의 다양한 보안 위협을 함께 교육한다.

점검 체크리스트

직원용 체크리스트

• 배터리 잔량을 항상 확인하여 출장 시 보조배터리를 휴대하는가?
• 공공장소 USB 포트 사용을 자기하고 AC 콘센트와 개인 케이블을 사용하는가?
• iOS 기기의 "제한된 USB 모드"가 활성화되어 있는가?
• 안드로이드 기기의 USB 데이터 전송 설정이 제한되어 있는가?
• USB 포트 연결 시 "이 기기를 신뢰하시겠습니까?" 메시지가 나오면 항상 거부하는 습관이 있는가?
• 충전 시 기기를 완전히 끄거나 비행기 모드로 설정하는 습관이 있는가?

기업 보안 담당자용 체크리스트

• 주스 재킹 및 초이스 재킹에 대한 내부 보안 경고를 발행했는가?
• 업무용 모바일 기기의 USB 보안 설정을 점검했는가?
• MDM을 통해 USB 데이터 전송을 제한하는 설정을 적용했는가?
• 직원에게 보조배터리나 USB 데이터차단기를 보급했는가?
• 기업 보안 정책에 공용 충전기 사용 금지 조항이 포함되어 있는가?
• 정기적인 이동형 보안 교육을 계획하고 있는가?

대응 방안

개인용 대응 방안

1. 보조배터리 휴대: 외출 시 개인용 보조배터리를 항상 휴대하여 공용 충전기 사용을 최소화한다.
2. AC 콘센트 활용: 공용 USB 포트 대신 콘센트와 개인 케이블을 사용한다.
3. 기기 전원 차단: 충전 시 기기를 완전히 끄거나 비행기 모드로 설정하여 데이터 전송을 차단한다.
4. 신뢰 팝업 거부: USB 연결 시 "이 기기를 신뢰하시겠습니까?" 메시지가 나오면 반드시 거부한다.
5. USB 데이터차단기 사용: USB 데이터차단기(Data Blocker)를 사용하면 전력은 전달되지만 데이터 전송은 차단된다.
6. 보안 설정 확인: iOS 기기는 "제한된 USB 모드"를 활성화하고, 안드로이드 기기는 USB 데이터 전송 설정을 제한한다.

기업용 대응 방안

1. 보안 정책 강화: 기업 보안 정책에 공용 충전기 사용 금지 및 이동형 보안 가이드라인을 명시한다.
2. MDM 활용: MDM 시스템을 통해 업무용 기기의 USB 데이터 전송을 원격으로 제한한다.
3. 보안 도구 보급: 직원에게 보조배터리, USB 데이터차단기 등 보안 도구를 지급한다.
4. 정기 교육: 정기적인 보안 교육을 통해 직원들의 이동형 보안 인식을 높인다.
5. 사고 대응 절차 수립: 만약 주스 재킹 의심 사고가 발생할 경우 대응 절차를 사전에 수립한다. 기기 초기화, 비밀번호 변경, 보안 부서 신고 등 절차를 마련한다.
6. 최신 보안 패치 적용: 업무용 기기의 운영체제와 보안 소프트웨어를 항상 최신 상태로 유지한다.

결론

주스 재킹과 최근 연구된 초이스 재킹은 공용 USB 충전기의 잠재적 보안 위협을 보여준다. 미국 FBI, FCC, TSA 등 정부 기관들이 연이어 주의보를 발행했고, 주요 보안 컨퍼런스에서 기술적 증거가 제시되었다.

하지만 실제로는 확인된 피해 사례가 거의 없다. 제조사들이 다양한 방어 기능을 도입했고, 기술적으로도 주스 재킹이 수월하지 않게 되었기 때문이다. 초이스 재킹 연구는 여전히 취약점이 존재함을 보여주지만, 이는 연구 단계의 개념 증명일 뿐 실제 공격으로 확산되지 않았다.

국내 기업 보안 담당자에게 주스 재킹은 급급한 위협이 아니라 장기적으로 모니터링하고 대응 준비를 가져야 할 위협이다. 현재에서는 기술적 취약점은 확인되었으나 실제 피해 사례가 없는 수준이므로, 너무 과도하게 대응하기보다는 합리적인 예방 조치를 취하는 것이 현명하다.

보조배터리 휴대, AC 콘센트 활용, 기기 전원 차단, USB 데이터차단기 사용 등 기본적인 예방 습관을 갖추는 것으로 충분히 주스 재킹을 방지할 수 있다. 기업은 직원 교육과 보안 정책 강화를 통해 조직 차원의 대응을 마련해야 한다.

앞으로도 제조사들은 USB 보안을 지속적으로 강화할 것이다. 새로운 취약점이 발견될 때마다 보안 패치가 제공되고, 더 강력한 방어 기능이 도입될 것이다. 기업과 개인은 이러한 기술적 진화를 주시하면서, 적절한 보안 습관을 유지하는 것이 중요하다.

참고자료

1. 연합뉴스
   https://www.yna.co.kr/view/AKR20250702087300518

2. Graz University of Technology - ChoiceJacking Research
   https://tugraz.elsevierpure.com/en/publications/choicejacking-compromising-mobile-devices-through-malicious-charg/

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨다면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.