쥬스재킹(Juice Jacking)에 대한 형사법적 규율과 입법적 개선방안 - 미국·EU·중국 법제 비교를 중심으로

Criminal Regulation of Juice Jacking: Comparative Legal Analysis of the US, EU, and China

최근 공공장소 USB 충전기를 매개로 개인정보를 탈취하거나 악성코드를 설치하는 ‘쥬스재킹(Juice Jacking)’이 새로운 형태의 사이버범죄로 부상하고 있다. 이 범죄는 이용자의 자발적 충전행위를 악용하여 기기에 무단 접근하는 방식으로, 네트워크 침입을 전제로 한 기존 형법·정보통신 관련 법령의 적용이 제한적이다. 이 연구는 미국의 컴퓨터사기 및 남용법(CFAA), 유럽연합의 일반개인정보보호법(GDPR), 중국의 사이버보안법·데이터보안법·개인정보보호법(PIPL) 및 형법 조항을 분석하고, 이를 한국 법제와 비교함으로써 쥬스재킹 규율 가능성과 한계를 도출하였다. 분석 결과, 외국은 예방적 통제와 행정적 제재를 결합하고 공공 인프라 운영자에게 보안관리 의무를 부과하는 경향이 확인되었다. 반면, 한국은 쥬스재킹을 직접적으로 포섭할 규정이 부재하고 법 적용이 불명확하여 실효적 대응이 어렵다. 이에 따라 형법상 ‘정보접속죄’ 신설, 공공 충전시설 운영자에 대한 보안조치 의무 부과, 민감정보 침해 가중처벌, 통합 사이버보안법 제정 등 입법적 대안을 모색해 본다.

Recently, “Juice Jacking,” a cybercrime in which personal data is stolen or malicious code is installed via public USB charging stations, has emerged as a new threat. This offense exploits a user’s voluntary charging behavior to gain unauthorized access to a device, making the application of existing Korean criminal law and information and communications statutes—which presuppose network-based intrusion—limited. This study analyzes the United States’ Computer Fraud and Abuse Act (CFAA), the European Union’s General Data Protection Regulation (GDPR), and China’s Cybersecurity Law, Data Security Law, Personal Information Protection Law (PIPL), and relevant criminal provisions, comparing them with the Korean legal framework to assess the feasibility and limitations of regulating Juice Jacking. The analysis reveals that foreign jurisdictions tend to combine preventive controls with administrative sanctions while imposing security management obligations on public infrastructure operators. In contrast, Korea lacks provisions that directly encompass Juice Jacking, and the ambiguity in legal application makes effective response difficult. Accordingly, this study proposes legislative measures, including the introduction of an “Unauthorized Access Offense” in the Criminal Act, the imposition of security obligations on public charging facility operators, aggravated penalties for sensitive data breaches, and the enactment of an integrated cybersecurity law.