공항이나 휴게소 등 공공장소 충전기에 스마트폰을 꽂는 순간, 단 0.1초 만에 사진과 연락처 같은 민감한 개인정보가 해커 손에 넘어갈 수 있다는 분석이 나왔다.
추석 장기간 연휴로 해외여행과 귀성길 이동이 늘어나는 만큼 최신 해킹 기법 '초이스재킹'에 대한 각별한 주의가 요구된다.
2일 보안 전문 기업들은 연휴를 앞두고 국내외 여행객들에게 초이스재킹을 비롯한 스마트폰 해킹 사고에 대비할 것을 당부했다.
초이스재킹은 주스재킹에서 한 단계 발전한 새로운 해킹 기법이다. 주스재킹은 공공장소에 설치된 충전기에 스마트폰을 연결했을 때 악성코드를 주입하거나 데이터를 빼내는 방식이다.
이 같은 공격이 확산되자 USB 연결 시 사용자 동의를 묻는 보안 시스템이 도입되기 시작했다. 하지만 초이스재킹은 해당 절차를 우회해 데이터를 강제로 빼낼 수 있다. 특히 모든 과정이 0.1초 내외로 진행될 수 있어 충전기에 잠깐 연결하는 것만으로도 위험에 노출될 수 있다는 지적이 나온다.
연구 결과에 따르면 이 방식은 안드로이드와 일부 iOS 기기에서도 효과가 있었으며 기기가 잠겨 있는 상태에서도 특정 파일이 추출된 사례가 보고됐다.
추석과 같은 연휴 기간에는 공항, 기차역, 휴게소, 카페, 호텔 등 공공 충전 포트 이용이 늘어나는 만큼 더욱 주의가 필요하다. 특히 해외여행 시 현지 충전 인프라의 보안 수준을 확인하기 어렵고 낯선 환경에서는 경각심이 낮아져 공격 성공률이 높아질 수 있다는 우려가 제기된다.
노드시큐리티 등 보안 업계는 이번 추석 연휴뿐 아니라 향후 여행이나 외출이 잦은 시기에도 이 같은 공격이 반복될 수 있다고 보고 사용자 경각심 제고를 강조했다. 무엇보다 공공 USB 충전 포트 사용을 피하는 것이 가장 안전하다며 특히 낯선 장소에서는 전기 벽면 콘센트나 개인 충전기를 활용하는 것이 바람직하다고 조언했다.
불가피하게 공공 충전을 해야 한다면 데이터 전송 기능을 제거한 충전 전용 케이블이나 USB 데이터 차단기를 사용하는 것이 권장된다. 공공 충전에 대한 의존도를 줄이기 위해 보조배터리를 휴대하는 것도 좋은 방법이다. 운영체제(OS)와 앱을 최신 보안 패치 상태로 유지하는 것 역시 필수적이다.
일부 스마트폰에서 지원하는 USB 연결 시 '충전 전용 모드'를 활용하는 것도 효과적인 대응책이다. 초이스재킹은 기본적으로 USB 데이터 전송이 가능한 상태에서만 작동하기 때문에 해당 모드를 활성화하면 데이터 전송 채널을 원천적으로 차단할 수 있다.
오스트리아 그라츠 공과대학교 연구진이 발표한 연구에 따르면 충전 전용 모드를 활성화했을 경우 초이스재킹 공격은 사실상 원천 차단이 가능하다. 충전 전용 모드가 강제로 고정돼 있다면 공격자가 데이터를 빼낼 수 없다는 의미다.
관련기사
- "공격은 최선 방어...AI에 해킹 가르쳐야"2025.09.30
- [단독] 정보협박범 '킬린', 토목업체 유신 내부 데이터 공개2025.09.28
- "해킹에 또 털렸다"…선불 충전 상품권 PIN 번호도 '유출'2025.09.26
- 세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함"2025.09.15
그러나 이 기능은 모든 스마트폰에서 기본값으로 제공되는 것은 아니다. 사용자가 직접 설정하지 않으면 기본이 '데이터 전송 가능' 상태인 경우가 많고 일부 구형 기기에는 충전 전용 모드 자체가 아예 없는 사례도 있어 각 기기의 지원 여부를 확인할 필요가 있다.
황성호 노드VPN 한국 지사장은 "초이스재킹은 공공 충전 위협의 진화된 형태로 한 번의 접속만으로도 데이터 전송을 허용하게 만들 수 있고 민감한 정보를 유출시킬 수 있다"며 "공공 USB 포트를 절대 안전하다고 생각해서는 안 된다. 해킹과 도난에 대한 인식과 대비가 첫 번째 방어선"이라고 강조했다.
