플로리다 대학교와 CertiK의 학술 연구팀이 '볼트스키머(VoltSchemer)'라고 불리는 이 새로운 공격을 발견하고 최근 공개했다. 이 공격은 무선 충전 시스템과 스마트폰 하드웨어의 취약점을 악용해 디바이스를 조작하고 잠재적으로 물리적 손상까지 일으킬 수 있다.
볼트스키머 공격의 핵심은 전자기 간섭을 조작하여 상용 무선 충전기의 동작을 방해하는 것이다. 무선 충전 시스템은 전자기 유도 원리로 작동하며 충전소의 송신기 코일과 스마트폰의 수신기 코일을 사용하여 에너지를 전송한다.
연구진은 공격자가 충전기 입력에 공급되는 전압을 조작하여 충전 과정에서 생성되는 자기장을 왜곡하는 간섭 신호를 생성함으로써 이 설정을 악용할 수 있다는 사실을 발견했다. 이러한 조작은 다음과 같은 여러 가지 악의적인 결과를 초래할 수 있다:
-과열 및 과충전: 공격자는 충전 스테이션과 스마트폰 간의 통신을 방해하여 디바이스가 충전을 중지하는 신호를 수신하지 못하도록 할 수 있다. 이로 인해 스마트폰이 과열되고 잠재적으로 손상되어 안전에 심각한 위험을 초래할 수 있다.
-Qi 안전 표준 우회: 볼트스키머 공격은 Qi 표준에 의해 설정된 안전 메커니즘을 우회하여 근처의 지원되지 않는 항목으로 에너지를 전송할 수 있다. 이로 인해 충전 패드와 가까운 곳에 있는 전자 기기가 손상되거나 화재가 발생할 가능성이 있다.
-음성 명령 주입: 공격자는 조작된 자기장을 활용하여 스마트폰에 음성 명령을 주입하여 사용자의 개인정보와 보안을 잠재적으로 침해할 수 있다.
연구원들은 볼트스키머 공격의 효과를 검증하기 위해 실험을 진행했다. 삼성 갤럭시 S8 디바이스를 사용하여 전압 조작을 통해 디바이스가 설정한 안전 임계값을 초과하여 온도를 급격히 상승시키는 방법을 시연했다. 또한 실험을 통해 종이 클립과 같은 주변 물건에 에너지 전달을 유도하여 위험한 수준까지 가열할 수 있음을 보여주었다.
이 연구 결과는 최신 충전소와 표준에 상당한 보안 취약점이 있음을 보여준 것이다. 전자기 간섭을 견딜 수 있는 보다 탄력적인 설계가 필요한 상황이다. 이러한 연구 결과를 공급업체에 공개함으로써 볼트스키머 공격의 위험을 완화하고 무선 충전 인프라의 보안을 강화하기 위한 잠재적 대응책에 대한 논의가 시작되었다.
무선 충전 기술의 확산이 계속됨에 따라 전 세계 사용자를 위한 충전 시스템의 무결성과 안전을 보장하기 위해서는 이러한 취약점을 해결하는 것이 필수적이다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
