공공장소에 마련된 USB 포트로 스마트폰을 충전하다간 악성코드 감염과 데이터 유출 등 보안 위협에 노출될 가능성이 높은 것으로 나타났다. 케이블 연결 시 스마트폰 기기정보와 전화번호 등 각종 정보가 송수신되는 데다 강제 펌웨어 업데이트, 악성 앱 설치까지 가능하다는 분석이다.
러시아 보안업체 카스퍼스키랩 연구에 따르면 USB 포트에 스마트폰을 연결해 충전할 때 데이터 유출과 암호화, 삭제 등 다양한 악성 행위가 가능하다. 비밀번호 등 보안설정이 미비한 경우 기기 내 모든 미디어 파일에도 접근이 이뤄진다.
모바일 기기는 대부분 USB 케이블을 이용해 충전과 데이터 동기화 기능을 지원한다. 피쳐폰 시절에는 대부분 전원 연결용 충전 아답터와 케이블을 일체형으로 제공했지만 스마트폰이 보급되면서 USB 포트에 연결 가능한 분리형이 주류를 이룬다.
공항과 기차역 등 유동인구가 많고 대기 시간이 있는 공공장소에서도 고객 편의용으로 모바일 기기를 위한 USB 충전 포트가 곳곳에 마련돼 있다. 해외여행 시 전원·콘센트 규격은 국가 별로 다르지만 USB 표준은 동일하기 때문에 보다 편리하게 사용된다.
알렉세이 코마로프 카스퍼스키랩 연구원은 “비행기에서 내려 공항에 마련된 USB 충전 스테이션을 이용하는 사이에 스마트폰 데이터가 손상되거나 유출될 수 있다”며 “일반적인 보안 솔루션으로 감지하기도 쉽지 않다”고 경고했다.
스마트폰을 USB 케이블로 PC에 연결하면 기기에 따라 장치이름과 제조업체, 유형, 일련번호, 펌웨어 정보, OS 정보, 파일 시스템 정보, 전자칩ID 등 다양한 데이터가 교환된다. 기기 종류와 OS 조합, 설정에 따라 차이가 있지만 최신 안드로이드OS와 애플 iOS에서도 데이터 교환이 나타난다.
충전이 이뤄지는 사이 펌웨어 업데이트 모드로 기기 재부팅도 가능하다. 조작을 통해 스마트폰 루트 파일에 접근하고 기본 조치로는 삭제하지 못하는 앱도 설치할 수 있다.
가짜 충전소를 이용한 스마트폰 해킹 기법은 2014년 열린 블랙햇 콘퍼런스에서 한 차례 제기된 바 있다. 카스퍼스키랩은 공공장소에 마련된 충전용 USB 포트에서 안전한 충전을 지원하는 USB 연결 장치 `퓨어차저(Pure.Charger)`를 개발해 최근 크라우드펀딩 사이트 킥스타터에서 선보였다.
박정은기자 jepark@etnews.com
