내 개인정보를 “충전 케이블”로 털린다고? — ‘주스 재킹(juice jacking)’ 완전 정리: 개념·공격 방식·대응법

내 개인정보를 “충전 케이블”로 털린다고? — ‘주스 재킹(juice jacking)’ 완전 정리

공공장소 USB 포트로 충전할 때 생길 수 있는 보안 위험과 실전 대응법

주스재킹 예방법, 출처: 방송통신위원회

 

1) 주스 재킹이란 무엇인가

주스 재킹(juice jacking)은 공항·호텔·카페 등 공용 USB 충전 포트나 조작된 충전기/케이블을 통해 스마트폰 등 기기에 데이터 연결을 몰래 성립시켜 악성코드를 심거나, 사진·연락처 등 데이터를 빼내는 공격을 말합니다. 이름은 전기(=juice)와 탈취(=jacking)의 합성에서 유래했죠.

 

※ 국내 정책브리핑도 “공용충전기 USB 포트를 통해 악성코드를 주입해 정보를 빼내는 수법”으로 설명합니다.

2) 어떻게 시작됐고, 실제 위험도는?

• 2011년 DEF CON에서 연구팀이 ‘무료 충전’ 키오스크를 꾸며 가능성을 대중에게 시연(개념 확산).
• 2013년 Black Hat에서는 ‘Mactans’라는 악성 충전기로 당시 iOS 기기를 감염시키는 연구용 시연이 발표됨.
• 공공기관 경고도 이어져, 공항 등 공용 USB 포트 사용 자제 권고가 여러 차례 나왔습니다.
• 현실성은? 미국 FCC는 “기술적으로 가능하지만, 확인된 실제 사례는 파악되지 않았다”고 명시합니다. 다만 시연·개념증명(PoC)이 꾸준해 리스크 관리 차원의 주의가 권고됩니다.

3) 공격이 벌어지는 방식

① USB 데이터 채널 악용

USB 케이블은 전력과 데이터를 함께 전송합니다. 조작된 포트/충전기는 기기와의 데이터 통신(예: MTP/PTP, ADB, HID 등)을 시도하고, 성공 시 파일 열람·악성 앱 주입·키보드 입력 위장 등의 행위를 할 수 있습니다.

② 변종: ‘비디오 재킹’, ‘악성 케이블’

• 비디오 재킹: 특정 기기의 화면 미러링(예: MHL/슬림포트 등)을 악용해 화면을 녹화하는 시연이 보고됨.
• 악성 케이블: 겉보기 일반 케이블 안에 무선 모듈/컨트롤러를 심어 원격 입력·명령을 수행하는 사례(레드팀 도구). 교체/습득한 케이블을 통한 위험도 염두에 둬야 합니다.

중요: 최신 iOS/Android는 무단 데이터 연결을 기본 차단하거나 사용자 승인을 요구하도록 강화되어, 과거 연구가 그대로 재현되긴 어렵습니다. 그러나 조작된 케이블/포트, 구형 OS, 오류/취약점이 결합하면 위험이 남아 있습니다.

4) 운영체제 차원의 방어(알아두면 좋은 설정)

• iOS: 처음 연결된 컴퓨터·장비는 “이 컴퓨터를 신뢰하겠습니까?” 승인을 받아야 데이터 접근이 허용됩니다. 설정에서 신뢰 목록을 재설정할 수 있습니다.
• Android: Android 6.0(M)부터 USB 기본값이 충전 전용(=No data transfer)으로 바뀌어, 사용자가 명시적으로 파일 전송을 선택해야 데이터가 열립니다.

※ 최신 OS 업데이트 유지, 잠금화면 활성화, 불필요한 개발자옵션/USB 디버깅 비활성화도 도움이 됩니다.

5) 이렇게 대처하세요 (체크리스트)

• 공용 USB 포트는 가급적 피하고, 자신의 충전기(전원 어댑터)로 벽면 콘센트에 꽂아 충전합니다.
• 부득이하게 USB 포트를 써야 하면 데이터 차단 어댑터(일명 “USB 콘돔”)이나 전원 전용 케이블을 사용하세요.
• 연결 시 “데이터 접근 허용/신뢰” 팝업이 뜨면 허용하지 마세요. (충전만 필요하면 불필요합니다)
• 공항·호텔 등에서 제공하는 케이블/멀티탭을 사용하지 말고, 본인 케이블만 사용하세요.
• 보조배터리를 휴대해 공용 포트 의존도를 낮추세요.
• 회사 기기라면 MDM 정책으로 USB 데이터 전송 차단, 구형 OS 사용 금지 등 보안 정책을 적용하세요.

6) 자주 묻는 질문(FAQ)

Q. 실제 피해가 많나요?

공공기관 자료는 개념증명 시연과 주의 권고가 중심이며, 확정적 피해 사례는 드뭅니다. 다만 위협 모델상 가능하고, 여행 등 노출 빈도가 높아 “피할 수 있으면 피하는” 접근이 권장됩니다.

Q. 충전만 하면 안전한가요?

최신 iOS/Android는 기본적으로 충전만으로 시작하며 데이터 연결은 사용자 승인이 필요합니다. 그러나 구형 OS, 취약점, 조작된 케이블 등 변수가 있어 공용 USB 포트 자체를 지양하는 것이 가장 안전합니다.

참고/출처

• 대한민국 정책브리핑 멀티미디어: “내 개인정보만 쏙쏙 빨아가는 ‘주스 재킹’” (개념·용어 소개)
• FCC: “What is ‘Juice Jacking’ and Tips to Avoid It” (기술적 가능성, 권고 · 실제 사례 인지 여부)
• Black Hat 2013 논문: “Mactans — 악성 충전기로 iOS 감염” (연구용 시연)
• Krebs on Security(2011): DEF CON ‘무료 충전’ 키오스크 PSA (개념 대중화)
• Apple 지원 문서: “Trust This Computer” 알림(USB 신뢰 승인)
• Android 개발자 문서: Android 6.0 변화 — 기본값 ‘충전 전용’ (사용자 승인 없는 데이터 연결 차단)

※ 본문은 위 출처 요지를 바탕으로 정리한 설명 글이며, 실제 보안 수준은 기기·OS·설정에 따라 달라질 수 있습니다.