고속 충전 기술 해킹당하면 핸드폰이 타들어간다
모바일 생태계에서 널리 사용되기 시작한 고속 충전 기술…데이터도 전송해
데이터 전송과 관련된 보안 기본 장치 부재…공격자가 펌웨어 장악할 수 있어
모바일 생태계에서 고속 충전 기술이 이제 거의 필수로 자리를 잡다시피 한 상황이다. 이 때문에 대용량 배터리 충전 시간을 걱정하지 않아도 되었다. 다만 전화기가 해커들의 수작에 타거나 녹아내릴 위험이 새롭게 생겼다고 한다.
최근 보안 업체 텐센트 시큐리티(Tencent Security)가 블로그를 통해 발표한 자료에 의하면 특정 충전기 제품을 악용할 경우 모바일 전화기를 ‘녹이는 게’ 가능하다고 하며, 펌웨어 추가 침해까지도 가능하다고 한다.
텐센트 측은 이러한 공격 시나리오를 ‘배드파워(BadPower)’라고 이름 붙였다. 텐센트의 보안 전문가들은 고속 충전이 가능하다고 하는 234개 장비 중 35개를 무작위로 선택해 실험을 진행했고, 이 중 18개에서 배드파워 공격을 성공시켰다. 35개 장비는 총 18개의 제조사에서 만든 것들이다. 또한 35개 중 11개는 디지털 단말 장치들을 사용해 공격이 가능하다는 걸 알아내기도 했다.
현대의 모바일 사용자들은 거의 대부분 고속 충전을 선호하거나 이미 사용 중에 있다. 스마트폰은 물론 태블릿과 노트북 컴퓨터, 데스크톱 모니터에도 이 고속 충전 기능이 활용되고 있는 중이다. 전력 공급원으로부터 전력을 받아 장비로 전달시켜주는 게 바로 충전기의 역할인데, 이 기능을 수행하는 데 필요한 과정들은 주로 전력 공급원 측의 칩에 저장되어 있다.
문제는 이 과정들 혹은 ‘프로토콜’ 속에 전력을 송수신하는 것 외에 데이터를 송수신하는 기능도 포함되어 있다는 것이다. 일부 충전기와 충전선으로 데이터 읽기 및 쓰기가 가능한 것이 요즘의 충전 기술이기 때문이다. 텐센트 측은 “이 읽기 및 쓰기 기능은 펌웨어 내에 구축되어 있다”며 “읽기와 쓰기에 관한 보안 기술은 당연한 듯이 부재한 상태”라고 지적했다.
또한 고속 충전 프로토콜을 구축하는 과정에서 메모리 변형 문제가 일어날 가능성도 이번 연구를 통해 드러났다. “공격자들은 이러한 취약점들을 활용해 고속 충전 장비들의 펌웨어를 아예 덮어쓰기 할 수 있게 됩니다. 그러면 충전기의 기능을 마음대로 조작할 수 있는데, 이를 통해 여러 가지 악성 행위가 가능해집니다.”
불행 중 다행이라면 배드파워 공격을 통해 프라이버시 침해를 일으킬 수는 없다는 것이다. “하지만 디지털 명령을 통해 과도한 전력을 공급할 수 있고, 이를 통해 장비를 물리적으로 파손시키는 게 가능합니다. 즉 디지털 공간의 위협이 물리 공간으로까지 영향을 미칠 수 있게 되는 것입니다.”
이번에 텐센트가 조사한 장비들 중 절반 이상인 18개는 펌웨어 업데이트를 통해 문제가 해결 가능하다고 한다. 그러면서 텐센트는 현재 문제가 발견된 제조사들에 연락을 취한 상태이며, 패치 개발도 함께 진행 중에 있다고 덧붙였다. 텐센트가 이 문제를 발견한 건 지난 3월이 일이라고 한다.
3줄 요약
1. 인기 높은 모바일 고속 충전 기술도 해킹 가능.
2. 고속 충전 프로토콜에 데이터 전송 관련 기능도 포함되어 있는 게 문제.
3. 펌웨어 업데이트를 하지 않을 경우, 과다 충전으로 전화기 태우는 것도 가능.
위 게시글에 문제가 있을 시 , 삭제하겠습니다.
출처 URL
https://www.boannews.com/media/view.asp?idx=89969&page=1&mkind=1&kind=
