장시간 버스나 기차를 타고 어딘가로 이동할 때, 우리는 종종 지루함을 달래기 위해 스마트폰으로 동영상을 보거나 음악을 듣곤 한다. 배터리 잔량이 부족한 경우를 대비해 보조배터리도 이젠 필수다. 이따금 보조배터리를 챙기지 못한 상황에는 공항이나 터미널, 공공장소에 비치된 공용 무료 충전기가 유용하게 쓰인다. 그러나 공용 무료 충전기로 휴대전화를 충전하는 동안 내 정보가 해킹되고 있다면 어떨까?
미국 IT매체 맥루머스는 평범한 모양의 라이트닝 케이블이 암호를 탈취하는 데 사용될 수 있다고 경고했다.
2019년 사이버 보안 콘퍼런스인 데프콘에서 개발자인 보안 연구원 마이크 그로버가 자신의 이름을 따 만든 해킹 공격용 OMG 케이블을 처음 공개했다.
OMG 케이블은 겉보기엔 평범한 라이트닝 케이블처럼 보이지만 내부엔 해킹 칩이 장착됐다. 피해자가 충전 케이블을 USB 포트에 꽂는 순간 해킹 칩에 전력이 공급되고, 해커는 이를 악용해 원격으로 기기에 명령을 내릴 수 있다. 케이블을 이용해 해킹하려면 와이파이 핫스팟을 만들고 웹 앱만 사용하면 될 정도로 간단하다.
가령, 특정 프로그램을 실행하거나 특정 사이트에 들어가게 하는 등 웹캠이나 마이크를 켜는 것도 마음대로 조종할 수 있다. 모두 이 하나의 해킹 케이블을 통해 가능한 셈이다.
또한 하드웨어 키보드의 입력값을 훔쳐볼 수 있는 기능이 포함된 키로거 에디션의 경우, 사용자가 키보드로 입력하는 아이디, 비밀번호 등 모든 개인정보가 케이블에 내장된 메모리에 저장된다. 키 입력 내역은 최대 65만 회까지 기록된다.
최근 마이크 그로버는 라이트닝 케이블에 이어 USB-C 포트에도 연결할 수 있도록 OMG 케이블을 업그레이드했다고 발표해 보안에 큰 위협이 될 것으로 보인다. 아울러 사이버 보안 공급사 핵5에서 이를 판매하기 위해 대량 생산에 들어갔다고도 밝혔다.
더 큰 문제는 OMG 케이블에는 작은 칩이 내장됐지만, 외형이 정품 케이블과 유사해 사용자들이 악성 케이블 여부를 육안으로 식별하기 어렵다는 점이다. 피해자는 자신도 모르는 새 자신의 기기에 대한 통제권과 개인정보를 통째로 악의적 해커에게 빼앗길 수 있다.
미국 온라인 테크 매체 디지털 트렌드는 “애플이 iOS15 업데이트로 운전면허증 등록 기능을 추가 지원할 계획인데다가 안드로이드 기기에도 이용할 수 있는 OMG USB-C 케이블까지 등장하면서 사이버 공격 세력이 OMG 케이블로 더 심각한 피해를 줄 수 있다”고 전했다.
전문가들은 아직까지 정품 케이블과 악성 케이블을 구분할 뚜렷한 방법이 없으므로 비치된 공용 케이블을 사용하기보다 따로 휴대용 케이블을 들고 다닐 것을 권고하고 있다. 또한 온라인 사이트에서 악성 케이블이 거래될 위험성이 있으므로 반드시 정품 케이블을 사용할 것을 강조했다.
