Home > 전체기사
고속 충전 기술 해킹당하면 핸드폰이 타들어간다
  |  입력 : 2020-07-22 14:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모바일 생태계에서 널리 사용되기 시작한 고속 충전 기술...데이터도 전송해
데이터 전송과 관련된 보안 기본 장치 부재...공격자가 펌웨어 장악할 수 있어


[보안뉴스 문가용 기자] 모바일 생태계에서 고속 충전 기술이 이제 거의 필수로 자리를 잡다시피 한 상황이다. 이 때문에 대용량 배터리 충전 시간을 걱정하지 않아도 되었다. 다만 전화기가 해커들의 수작에 타거나 녹아내릴 위험이 새롭게 생겼다고 한다.

[이미지 = utoimage]


최근 보안 업체 텐센트 시큐리티(Tencent Security)가 블로그를 통해 발표한 자료에 의하면 특정 충전기 제품을 악용할 경우 모바일 전화기를 ‘녹이는 게’ 가능하다고 하며, 펌웨어 추가 침해까지도 가능하다고 한다.

텐센트 측은 이러한 공격 시나리오를 ‘배드파워(BadPower)’라고 이름 붙였다. 텐센트의 보안 전문가들은 고속 충전이 가능하다고 하는 234개 장비 중 35개를 무작위로 선택해 실험을 진행했고, 이 중 18개에서 배드파워 공격을 성공시켰다. 35개 장비는 총 18개의 제조사에서 만든 것들이다. 또한 35개 중 11개는 디지털 단말 장치들을 사용해 공격이 가능하다는 걸 알아내기도 했다.

현대의 모바일 사용자들은 거의 대부분 고속 충전을 선호하거나 이미 사용 중에 있다. 스마트폰은 물론 태블릿과 노트북 컴퓨터, 데스크톱 모니터에도 이 고속 충전 기능이 활용되고 있는 중이다. 전력 공급원으로부터 전력을 받아 장비로 전달시켜주는 게 바로 충전기의 역할인데, 이 기능을 수행하는 데 필요한 과정들은 주로 전력 공급원 측의 칩에 저장되어 있다.

문제는 이 과정들 혹은 ‘프로토콜’ 속에 전력을 송수신하는 것 외에 데이터를 송수신하는 기능도 포함되어 있다는 것이다. 일부 충전기와 충전선으로 데이터 읽기 및 쓰기가 가능한 것이 요즘의 충전 기술이기 때문이다. 텐센트 측은 “이 읽기 및 쓰기 기능은 펌웨어 내에 구축되어 있다”며 “읽기와 쓰기에 관한 보안 기술은 당연한 듯이 부재한 상태”라고 지적했다.

또한 고속 충전 프로토콜을 구축하는 과정에서 메모리 변형 문제가 일어날 가능성도 이번 연구를 통해 드러났다. “공격자들은 이러한 취약점들을 활용해 고속 충전 장비들의 펌웨어를 아예 덮어쓰기 할 수 있게 됩니다. 그러면 충전기의 기능을 마음대로 조작할 수 있는데, 이를 통해 여러 가지 악성 행위가 가능해집니다.”

불행 중 다행이라면 배드파워 공격을 통해 프라이버시 침해를 일으킬 수는 없다는 것이다. “하지만 디지털 명령을 통해 과도한 전력을 공급할 수 있고, 이를 통해 장비를 물리적으로 파손시키는 게 가능합니다. 즉 디지털 공간의 위협이 물리 공간으로까지 영향을 미칠 수 있게 되는 것입니다.”

이번에 텐센트가 조사한 장비들 중 절반 이상인 18개는 펌웨어 업데이트를 통해 문제가 해결 가능하다고 한다. 그러면서 텐센트는 현재 문제가 발견된 제조사들에 연락을 취한 상태이며, 패치 개발도 함께 진행 중에 있다고 덧붙였다. 텐센트가 이 문제를 발견한 건 지난 3월이 일이라고 한다.

3줄 요약
1. 인기 높은 모바일 고속 충전 기술도 해킹 가능.
2. 고속 충전 프로토콜에 데이터 전송 관련 기능도 포함되어 있는 게 문제.
3. 펌웨어 업데이트를 하지 않을 경우, 과다 충전으로 전화기 태우는 것도 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)