무료/공용 충전기가 내 전화기에 침투하는 해킹도구가 될 수 있다는 경고

은행365코너 기계에 덧씌워 정보를 채가는 그런 수법과 비슷하게 사이에 끼워서 해먹는 놈이 있을 수 있고,

아예 충전기 자체를 해킹용으로 만들어, 공공 충전기인 척, 이 방이나 이 가게에서 공동으로 사용하는 무료서비스인 척 놔둘 수도 있다는 것입니다.

 

일단 USB디버깅기능은 무조건 꺼놓는 게 맞고,
충전기에 전화기를 꽂았을 때, 뭔가를 승인해달라/동의해달라는 창이 뜨면 무조건 거절하고 전화기 뽑으라는 것.
요즘은 안드로이드OS의 취약점을 악용해 사용자 동의를 구하지 않고 침투하는 해킹도 있어, 

공공 장소의 무료 USB충전기는 사용하지 말라고.

 

 

무료 공용 충전기 괜찮을까? 안전하게 충전하는 방법
안랩 2025.5.27

https://www.ahnlab.com/ko/contents/content-center/35859

무료 공용 충전기 괜찮을까? 안전하게 충전하는 방법

주스 재킹(Juice Jacking)은 USB 충전 포트를 통해 스마트폰에 악성코드를 설치하거나 데이터를 탈취하는 사이버 공격 수법이다. 공공장소에 설치된 USB 포트나 충전 케이블에 악성 장치를 심어두면, 겉보기에는 단순히 기기가 충전되는 것처럼 보이지만, 실제로는 해커에게 정보가 송신된다. 사진, 연락처, 이메일은 물론, 금융 앱의 인증 정보까지 유출될 수 있다.

 

 

iOS와 안드로이드OS의 보안체계를 무력화 (......)  ‘초이스 재킹(Choice Jacking)’이라 불리며, 특수하게 조작된 충전기만으로도 사용자의 동의 없이 데이터 탈취와 접근 권한 획득이 가능하다.  (......) 공격에 사용된 조작된 충전기는 USB 키보드로 인식되며, 별도의 사용자 조작 없이 블루투스를 활성화하고, 자동으로 스마트폰과 페어링된다. 이후 블루투스 키보드를 가장해 데이터 접근 및 전송을 허용하는 팝업 창에 자동으로 동의하도록 한다. 이 과정을 통해 공격자는 사진, 문서, 앱 데이터 등 스마트폰에 저장된 민감 정보를 손쉽게 확보할 수 있다.

이 수법은 테스트에 참여한 8개 브랜드의 모든 기기에서 유효한 것으로 나타났다. 애플은 iOS/iPadOS 18.4 버전에서 문제를 인식하고, 충전 시 PIN이나 비밀번호를 입력하도록 보안을 강화했으며, 구글 역시 Android 15에서 유사한 조치를 도입했다. 하지만 다수의 스마트폰 제조사들은 충전 중 잠금 해제를 방지하기 위한 보안 조치들을 아직 완전히 구현하지 못한 것으로 알려졌다.

 

 

iOS 18.4 미만, 안드로이드OS 15 미만인 모든 전화기는 초이스 재킹 공격에 취약합니다.

 

공공장소 충전기의 위험을 피하기 위한 가장 효과적인 방법은 개인 충전 장비를 지참하는 것이다. 전문가들은 다음과 같은 5가지 예방법을 실천할 것을 권고한다.

1) 개인 보조 배터리 및 콘센트형 충전기 사용: USB 포트가 아닌 220V 전원 콘센트를 사용해 충전하는 것이 가장 안전하다.

2) 데이터 차단 어댑터(USB 콘돔) 사용: USB 포트에 연결할 때 전력만 전달하고 데이터 통신은 차단하는 장치로, 보안에 민감한 사용자들에게 유용하다. (충전 케이블 자체가 데이터통신이 안 되는 충전 전용인 것을 따로 가지고 다녀야겠습니다)

3) 공공 USB 포트 직접 사용 금지: 불특정 다수가 접근 가능한 USB 포트는 되도록이면 사용하지 않는 것이 좋다.

4) USB 디버깅 기능 비활성화: 안드로이드 기기의 경우 개발자 옵션에서 USB 디버깅 기능을 끄면 외부 명령 실행을 방지할 수 있다.

5) 의심스러운 알림 무시: 충전 중 '이 장치를 신뢰하시겠습니까?' 등의 메시지가 뜰 경우, 반드시 ‘취소’를 선택해야 한다.

 

https://www.ahnlab.com/ko/contents/content-center/35859

무료 공용 충전기 괜찮을까? 안전하게 충전하는 방법

 

 

‘충전기 꽂았더니 정보 탈탈’ 이거 진짜임?｜크랩
크랩 KLAB

출처:

https://www.youtube.com/watch?v=KLG5VmbnArQ

 

ㅡ 주스 재킹은 2011년 처음 소개됨

ㅡ 2019년 실제 사례에서 가능성 확인 후 경고

 

ㅡ 이것이 원인아라고 확인된 사건은 아직 못 찾았지만, 이런 종류의 피해에서 유출경로를 확인하지 못하는 것이 반은 되는 것이 현실이고, 이 기술 자체가 발표된 지 15년이나 됐기 때문에 나쁜 놈들이 쓰려면 얼마든지 쓸 수 있다는 것. (당장 내일 학생식당 한구석에 이 덫을 놔두고 실험하면 걸리는 사람이 있을 것이라는 말입니다. 이걸 불특정다수를 대상으로 모르게 실험했다고 나중에 발표하면 고소하겠다느니하면 난리가 나겠지만)

 

 

위 유튜브의 내용은 대부분 아래 기사에 나옵니다.

 

[팩트체크] 공공장소 스마트폰 충전 조심하라는데…실제 해킹 위험성은
연합뉴스 2025년07월04일

2011년 미국에서 '주스 재킹' 가능성 첫 제기…이후 제조사들이 방지 기능 마련
최근 진화된 형태의 '초이스 재킹'도 등장…국내 실제 피해 확인 사례는 없어

https://www.yna.co.kr/view/AKR20250702087300518

[팩트체크] 공공장소 스마트폰 충전 조심하라는데…실제 해킹 위험성은 | 연합뉴스

 

"해외 공공장소 핸드폰 충전단자·공짜 와이파이 쓸때 해킹주의" 연합뉴스 2025.6.18

https://www.yna.co.kr/view/AKR20250618162000017

"해외 공공장소 핸드폰 충전단자·공짜 와이파이 쓸때 해킹주의" | 연합뉴스

 

 

 

무료 공용 충전기 괜찮을까? 안전하게 충전하는 방법 - SK쉴더즈 2025.6.29

https://sslc.kr/board/news/1030

[SSLC] SK쉴더스 루키즈

초이스 재킹

⚠️ 신종 공격 기법: 초이스 재킹(Choice Jacking)

오스트리아 그라츠 공대 연구 결과:

 

조작된 충전기가 USB 키보드로 인식, 블루투스를 자동 활성화 및 페어링.
사용자의 데이터 접근 요청 팝업에 자동 동의하도록 조작, 사진·문서·앱 데이터 탈취.
iOS, 안드로이드 등 주요 스마트폰 브랜드 기기에서 모두 작동.

 

패치 현황:
애플: iOS/iPadOS 18.4에서 PIN 입력 의무화.
구글: Android 15에 보안 강화 조치 도입.
다수 제조사는 여전히 미비 상태.

 

 

보안패치나 판올림 지원기간이 지난 구버전 OS를 사용하고 있거나, 제조사가 패치해주지 않은 전화기라면 더욱, USB 주변기기, 블루투스 주변기기를 사용할 때 조심하고, 내것인지 아닌지 잘 확인하라는 말같네요.

바깥에서도 그렇지만 집에서도 윗집 아랫집 어느 집인지 모르겠는 기계가 내 블루투스 장치 를 검색할 때 뜨고, 실수해 뭔가를 입력한 경험 있는 사람 많을 겁니다.