주스 재킹(juice jacking)은 모바일 기기를 공공장소에 설치된 충전시설의 USB 포트에 연결할 때 발생할 수 있는 데이터 유출 위협을 의미하는 용어다.영어 단어 주스(juice)에는 '전기'라는 의미로 쓰이기도 하는데 여기에 '강탈하다'라는 뜻의 '하이재킹'(hijacking)을 더해 '주스 재킹'이라는 용어가 만들어졌다.

실제 주스 재킹은 어느 정도 가능성이 있을까. 그리고 실제 피해 사례는 얼마나 될까.

주스 재킹의 위험성이 처음 제기된 미국에서 벌어진 논의를 바탕으로 이를 검증해봤다.◇ 2011년 USB 포트 해킹위험 경고 활동 계기로 주스 재킹 가능성 제기

주스 재킹은 보안 전문 기자 브라이언 크렙스가 2011년 8월 세계 최대 해킹대회인 '데프 콘'에서 벌어진 한 '소동'을 다룬 기사의 제목 "주스 재킹에 주의하세요"에서 유래했다.

당시 한 프로젝트팀이 행사장 내에 여러 규격의 충전 케이블을 갖춘 무료 휴대전화 충전 키오스크를 설치했다.

누군가 이 충전 키오스크를 이용하려고 스마트폰을 연결하면 충전 키오스크의 액정표시장치(LCD) 화면에 "공공장소에 스마트폰을 맡기면 안 됩니다. 귀하의 동의 없이 정보를 열람하거나 다운로드할 수 있습니다"라는 내용의 경고문이 떴다.

충전 USB 포트를 이용한 해킹 가능성을 알리는 일종의 '캠페인'이었다.

이런 일이 가능한 것은 USB 포트가 전력 공급뿐 아니라 데이터 전송 기능도 가지고 있기 때문이다.

어떤 장치를 USB로 스마트폰에 연결하면 양 기기 간 일종의 신뢰 관계가 형성돼 스마트폰은 이 장치에 데이터 접근을 허용하는 상태가 된다.

주스 재킹은 바로 이런 점을 노려 전력을 공급하는 척하면서 악성 프로그램을 심는다.

당시 데프 콘에 참석한 내로라하는 보안 전문가들도 이런 위험성을 깨닫지 못해 360명 이상이 무료 충전 키오스크를 이용하다가 경고문을 받게 됐다.

하지만 이는 '이런 위험이 있다'는 경고성 활동이었을 뿐이다. 실제로 주스 재킹이 시연된 것은 2년 후인 2013년 사이버보안 콘퍼런스인 '블랙 햇'에서였다.

당시 행사에서 미국 조지아공대 연구팀은 USB 방식의 충전기 내에 일종의 소형 컴퓨터가 탑재된 '막탄스'(Mactans)를 선보였다. 당시 스마트폰을 막탄스에 연결하자 1분 이내에 악성 프로그램이 사용자 모르게 스마트폰에 설치됐다.

특히 상대적으로 보안이 뛰어난 것으로 알려진 애플 기기가 막탄스를 통해 악성 프로그램이 주입될 수 있다는 사실이 사람들에게 충격을 줬다.

이후에도 여러 보안 콘퍼런스에서 주스 재킹이 다양한 방식으로 시연되면서 그 위험성이 널리 알려졌다.​