⚡️ 다시 돌아온 '주스잭킹(juice jacking)' 위협! — 최신 공격 기법 'ChoiceJacking' 완벽 정리

스마트폰을 공공 충전기에 꽂는 순간, 내 모든 데이터가 털릴 수 있다면...? 😱

한동안 잊혀졌던 "주스잭킹(juice jacking)" 공격이 최신 기술을 입고 다시 부활했습니다.
특히 이번에 공개된 새로운 공격 기법, "ChoiceJacking" 은 iPhone과 Android 모두를 위협해요.

이번 글에서는 ChoiceJacking이 무엇이고, 왜 위험한지,
어떻게 막을 수 있는지까지 👀 쉽게 풀어 설명해드릴게요!

🍹 주스잭킹(juice jacking) 공격이 뭐야?

주스잭킹은 2011년 미국 해킹 컨퍼런스(Defcon)에서 처음 공개된 개념입니다.
공공 충전기나 무료 충전 스테이션을 몰래 변조해두고,
폰을 충전하는 사람들의 데이터를 몰래 훔치거나 악성코드를 심는 방식이었죠.

그 뒤로 애플(iOS) 과 구글(Android) 은 빠르게 대응해,
충전만 할 건지, 데이터 전송까지 허용할 건지를 묻는 "허용/거부 팝업" 을 띄우게 만들었습니다. ✅

그럼 안전해졌냐고요? 아니었습니다. 😥

🧪 ChoiceJacking 등장 — 충전만 한다더니, 내 폰이 털린다고?

오스트리아 그라츠 공대 연구팀이 최근 밝혀낸 ChoiceJacking은
이 허용 팝업조차 자동으로 "승인" 해버리는 신종 공격이에요.

즉, 사용자가 확인 버튼을 누르지도 않았는데,
공격자가 만든 충전기가 자동으로 클릭 해버리고,
내 폰에 몰래 접근해 파일을 가져가거나 악성코드를 실행할 수 있다는 거죠. 🚨

🔥 공격 흐름 간단 요약:

사용자 폰을 공격자가 만든 충전기에 연결
충전기가 USB 역할을 조작해 키보드처럼 변신
키 입력을 자동으로 보내서 Bluetooth를 켬
공격자 충전기가 Bluetooth 키보드로 페어링
다시 충전기가 USB 호스트로 변신
"이 컴퓨터를 신뢰할까요?" 팝업 뜨자마자
Bluetooth 키보드가 자동으로 "허용" 클릭

결과? 👉 데이터 접근 완전 허용! 📂

📱 어떤 기기들이 위험할까?

연구진은 iPhone, Pixel, 삼성, 샤오미 등 11개 모델을 테스트했습니다.
결과는 충격적이었어요:

iOS 18.4 이상 → Apple은 대응 완료
Pixel(Android 15) → Google도 대응 완료
삼성 One UI 7 → 아직 완벽 대응 안 됨
다른 안드로이드 제조사 → 여전히 취약

특히 안드로이드 진영은 업데이트 파편화가 심해서,
많은 폰들이 여전히 ChoiceJacking 공격에 무방비 상태입니다. 🥲

🛠️ ChoiceJacking 공격 방식 3가지

Bluetooth 키보드 이용한 조작 (iOS+Android 둘 다 뚫림)
Android Open Accessory Protocol(AOAP) 악용 (Android만)
안드로이드 입력 처리 지연(race condition) 악용 (Android만)

특히 첫 번째 방식은 Apple도 뚫렸던 만큼,
최근 iOS 업데이트로 PIN 입력을 필수로 만들면서 막은 상황입니다. 🔒

🔥 예제 코드 한 스니펫!

공격자가 Linux 충전기에서 reverse shell을 열 때 사용할 수 있는 간단한 PoC 예시입니다:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main() {
    setuid(0);
    setgid(0);
    system("/bin/bash");
    return 0;
}

물론, 일반 사용자는 이런 코드 실행을 절대 해서는 안 됩니다! 🚫

🤔 지금 내가 해야 할 일은?

1. 최신 업데이트 꼭 적용하기

iPhone은 iOS 18.4 이상으로 업데이트!
안드로이드는 Android 15 최신 버전 설치!

2. 공공 충전기 사용 주의하기

📵 충전할 땐 본인 충전기 + 본인 케이블 사용하기
🔋 가능하면 보조배터리를 휴대하세요

3. USB 디버깅 모드 꺼두기 (Android)

개발자 옵션에서 "USB 디버깅" 비활성화!

4. 충전만 전용 케이블 사용하기

데이터 핀 없는 충전 전용 케이블 사용하면 가장 안전해요!

📝 마무리

이번 ChoiceJacking 사태는
"USB를 통한 신뢰 모델" 자체가 완벽하지 않다는 걸 보여줬습니다. ⚡

충전 하나 하려다 폰 털릴 수 있다는 점,
항상 경계심을 가지는 게 최선의 보안입니다. 🔥

모든 분들이 최신 업데이트와 작은 습관 변화로
소중한 개인정보를 안전하게 지키시길 바랍니다! 🙏

728x90

저작자표시 동일조건

'CyberSecurity > Security🔐' 카테고리의 다른 글

🚀 2025 글로벌 위협 리포트: 사이버공격은 이미 AI와 자동화로 진화 중! (1)	2025.04.29
HSS 해킹과 IMSI Catcher: 이동통신망의 숨겨진 위험과 5G 시대의 보안 강화 전략 (1)	2025.04.29
📚 [CISO를 위한 완벽 가이드] 강력한 컴플라이언스 프레임워크 구축하는 방법 (0)	2025.04.27
“WinDbg Preview Exploit: WDAC 우회·디버거 악용 방법과 대응 가이드 (Windows Defender Application Control 보안 위협)” (3)	2025.04.27
BPFDoor: 보이지 않는 해커의 문을 열다 🚪✨ (2)	2025.04.27

🍹 주스잭킹(juice jacking) 공격이 뭐야?

🧪 ChoiceJacking 등장 — 충전만 한다더니, 내 폰이 털린다고?

📱 어떤 기기들이 위험할까?

🛠️ ChoiceJacking 공격 방식 3가지

🔥 예제 코드 한 스니펫!

🤔 지금 내가 해야 할 일은?

📝 마무리

'CyberSecurity > Security🔐' 카테고리의 다른 글

티스토리툴바