스마트폰 충전 중 발생하는 사이버 공격 '쥬스 재킹(Juice Jacking)'이 한층 정교해졌다.
오랫동안 안전하다고 여겨졌던 iOS와 안드로이드의 보안 체계가 오스트리아 그라츠 공과대학 연구팀에 의해 완전히 무력화된 것이다.
이번에 밝혀진 신종 공격 기법은 ‘초이스 재킹(ChoiceJacking)’이라 불리며, 특수하게 조작된 충전기만으로도 사용자의 동의 없이 데이터 탈취와 접근 권한 획득이 가능하다.
2012년 이후 스마트폰 운영체제는 USB를 통한 무단 데이터 접근을 방지하기 위해 사용자의 확인을 요구하는 보안창을 도입해왔다. 하지만 이번 연구는 이 전제가 완전히 깨질 수 있음을 입증했다.
연구진은 USB 및 블루투스 표준을 활용해 입력을 자동으로 조작하는 방법을 고안했다.
조작된 충전기는 USB 키보드처럼 인식되며, 사용자 조작 없이 블루투스를 활성화하고 스마트폰과 자동으로 페어링된다. 이후 블루투스 키보드를 가장해 데이터 접근 및 전송 허용 대화창을 자동으로 승인하게 만든다.
이 과정을 통해 공격자는 사진, 문서, 앱 데이터 등 스마트폰 내 민감 정보를 손쉽게 확보할 수 있다. 테스트에 참여한 8개 브랜드의 모든 기기에서 이 방법이 유효했다.
애플은 iOS/iPadOS 18.4 버전에서 문제를 인식하고, 충전 시 무조건 PIN이나 비밀번호 입력을 요구하는 방식으로 보안을 강화했다.
구글 역시 Android 15에서 유사한 조치를 도입했으나, 삼성 등 다수 제조사들은 이를 아직 완전히 구현하지 못하고 있다.
이번 연구를 주도한 플로리안 드라슈바허 박사는 “이 문제는 단순한 설정이 아닌 운영체제의 USB 신뢰 모델 자체의 구조적 한계에서 비롯된 것”이라고 설명했다.
아직까지 초이스재킹이 실제로 악용된 사례는 보고되지 않았지만, 공격 실행의 문턱이 낮아진 만큼 보안 전문가들은 사용자 주의가 더욱 필요하다고 경고한다.
특히 보안 업데이트가 적용되지 않은 기기를 사용하는 경우, 공공장소의 USB 충전기 사용은 피하는 것이 좋다.
