한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
공항과 호텔에서 주스를 훔치는 것에 대한 무서운 경고? 대부분 말도 안되는 소리야
댄 구딘 - 2023년 5월 1일 오전 11:00(UTC)
연방 당국, 기술 전문가, 언론 매체에서는 공공 충전소에 연결하기만 하면 휴대폰을 해킹할 수 있는 무서운 사이버 공격을 경계하기를 바랍니다. 위협으로 알려진 "주스 재킹"에 대한 이러한 경고는 10년 이상 유포되어 왔습니다.
하지만 이달 초 FBI와 연방 통신 위원회가 수백 개의 매체에서 불길한 뉴스 보도를 불러일으키는 새로운 근거 없는 경고를 발표하면서 주스 재킹에 대한 우려가 최고조에 달했습니다. NPR은 "여행 증가로 인해 범죄가 점점 더 널리 퍼지고 있다"고 보도했습니다. 워싱턴 포스트는 로드된 웹페이지를 10초 이내에 식별할 수 있는 것은 "상당한 개인 정보 보호 위험"이라고 말했습니다. CNN은 악성 충전기에 연결하는 것만으로도 "당신의 기기가 이제 감염된다"고 경고했습니다. Fortune지 헤드라인에서는 독자들에게 "무료 USB 충전으로 인해 은행 계좌가 소진되지 않도록 하십시오."라고 권고했습니다.
주스 재킹 시나리오는 다음과 같습니다. 해커가 공항, 쇼핑몰 또는 호텔에 장비를 설치합니다. 이 장비는 일반 충전소의 모양과 기능을 모방하여 전력이 부족할 때 휴대폰을 충전할 수 있습니다. 사용자가 모르는 사이에 충전소는 충전 코드의 USB 또는 라이트닝 커넥터를 통해 은밀하게 명령을 보내고 연락처와 이메일을 훔치고 악성 코드를 설치하는 등 온갖 종류의 사악한 작업을 수행합니다.
FCC는 이달 초 “손상된 USB 포트를 통해 설치된 악성코드는 기기를 잠그거나 개인 데이터와 비밀번호를 가해자에게 직접 내보낼 수 있다”고 경고했습니다. "그런 다음 범죄자는 해당 정보를 사용하여 온라인 계정에 액세스하거나 다른 악의적인 행위자에게 이를 판매할 수 있습니다. 어떤 경우에는 범죄자가 의도적으로 충전소에 케이블을 연결해 두었을 수도 있습니다. 감염된 케이블이 판촉 선물로 제공되었다는 보고도 있었습니다. "
며칠 전 FBI의 덴버 현장 사무소는 "나쁜 행위자가 공용 USB 포트를 사용하여 장치에 악성 코드와 모니터링 소프트웨어를 도입하는 방법을 찾아냈습니다."라는 내용의 주스 재킹 경고를 자체적으로 발표했습니다. 이에 뒤처지지 않기 위해 다나 네셀 미시건 법무장관은 주스 재킹이 "나쁜 행위자들이 발견한 또 다른 사악한 방법으로, 자신의 소유가 아닌 것을 훔치고 이익을 얻을 수 있는 방법"이라고 말했습니다.
정부 통신과 달리 대다수의 사이버 보안 전문가는 국가 해커의 대상이 아닌 이상 주스 재킹이 위협이라고 경고하지 않습니다. 야생에서 주스를 훔치는 행위가 기록된 사례는 없습니다. 최신 iPhone 및 Android 장치에서는 사용자가 표준 케이블로 연결된 장치와 파일을 교환하기 전에 명시적인 경고를 클릭해야 한다는 것이 권고 사항에서 제외되었습니다.
"높은 수준에서 볼 때, 공공 장소에서 실제로 일어나는 실제 사례를 아무도 지적할 수 없다면 일반 대중에게 강조할 가치가 없는 것입니다." 공격적인 해킹 도구를 설계하는 연구원인 Mike Grover는 말합니다. 인터뷰에서 대기업을 대상으로 공격적인 해킹 연구를 하고 있다고 밝혔습니다. "대신에 이는 표적 상황에서만 실행 가능성을 나타냅니다. 위험에 처한 사람들은 모호한 경고보다 더 나은 방어력을 갖기를 바랍니다."
그는 "사람들이 의도적으로 공용 충전기의 전압을 변경한다는 이야기를 들었지만 그것은 단지 멍청하고 악의적인 일입니다. 공공 충전 소스의 경우 더 큰 위험은 형편없는 전력 품질과 손상된 커넥터라고 생각합니다."라고 덧붙였습니다.
키보드 또는 키보드로 가장하는 장치가 iPhone 및 Android 장치에 연결되어 있을 때 악의적인 작업을 수행하는 명령을 입력하도록 허용하는 극단적인 경우가 있습니다. 그러나 이러한 공격은 연결된 각 휴대폰 모델에 맞게 맞춤화되어야 합니다. 또한 이러한 기술에는 주스 재킹에 실용적이지 않게 만드는 상당한 제한이 있습니다.
이러한 극단적인 경우와 그 단점에 대해서는 나중에 자세히 설명합니다. 간단히 말해서, 지난 5년 동안 최신 버전의 iOS 또는 Android를 실행하는 장치에서 실행 가능한 주스 재킹 공격을 시연한 사람은 아무도 없습니다. Apple 담당자는 실제로 발생하는 이러한 공격에 대해 알지 못하며(Google 담당자는 수많은 논평 요청에 응답하지 않았습니다), 이를 알고 있는 보안 전문가도 찾을 수 없었습니다. 그리고 앞서 언급했듯이, 야생에서 주스를 훔치는 사례가 문서화되어 있지 않습니다.