앞서 현 맥 운영체제에 SSL/TLS 보안 연결 취약점이 있다는 소식 전해드렸는데요, iOS는 보안 업데이트가 나오며 사태가 일단락되는 분위기지만, 보안 전문가 '애쉬캔 솔타니(Ashkan Soltani)'의 트윗에 의하면 사파리뿐만 아니라 맥 운영체제 내 상당히 광범위한 앱이 이번 취약점에 노출돼 있다고 알려졌습니다.
■ SSL/TLS 버그에 영향을 받는 OS X 소프트웨어
• 사파리
• 캘린더
• 페이스타임
• 키노트
• 메일
• 아이북스
• 트위터 (공식 클라이언트)
• 소프트웨어 업데이트
• 애플 푸쉬 서비스
애플이 소프트웨어 업데이트를 통해 문제를 해소할 때까지 사용자가 취할 수 있는 최선의 방법은 신뢰할 수 있는 무선 네트워크(Wi-Fi)를 통해서만 인터넷을 사용하는 것과 당분간 사파리 대신 구글 크롬 또는 모질라 파이어폭스를 사용하는 것입니다.
두 애플 운영체제에서 동시에 불거지고 있는 이번 SSL/TLS 문제는 iOS 7과 매버릭스가 나오기 한참 전에 나온 iOS 6에도 존재하는 문제로, 이제서야 그 심각성이 대두되고 있는 실정입니다. 그리고 국내에서는 크게 이슈가 되지 않고 있지만, 해외에서는 여러 매체를 통해 대서특필되고 있으며, 보안전문가와 인터넷 인권단체는 이번 사안이 단순한 버그, 가볍게 넘길 만한 버그가 아니라고 주장하고 있습니다. 그리고 실제로 이런 주장이 맞다면, 인터넷을 쓰는 그 누구에게나 적용되는 치명적인 이슈입니다.
윤지만님 포스팅에 이와 관련된 주장이 잘 정리돼 있습니다.
"단순히 우연인지, 아니면 의도된 필연인지는 알 수 없지만 타이밍이 참 공교롭기는 하다. SSL/TLS 버그가 처음 나타난 것은 iOS 6 때부터였는데, iOS 6는 2012년 9월 24일에 공개됐다. 그리고 **NSA의 PRISM 프로그램에 애플이 추가된 것은 2012년 10월이었다. 이 세 가지 사실만으로 증명할 수 있는것은 아무것도 없지만 John Gruber는 이를 토대로 5가지의 가능성(본인 말로는 과대망상)을 제시한다.
1. NSA는 이 보안 취약점을 인식하지 못했다.
2. NSA는 이에 대해 알고 있었지만, 이를 활용하진 않았다.
3. NSA는 이에 대해 알고 있었고, 이를 활용했다.
4. NSA는 비밀스럽게 이 코드를 집어넣었다.
5. 애플이 NSA와 공범이며 코드를 집어넣었다.음모론이라고 생각될 수도 있겠지만, 이런 생각이 들 정도로 이번 버그는 치명적이다. 더군다나 현재 Mac OS X은 버그가 그대로 있는 상태다. 1,2번은 가능성이 거의 없는 얘기고, 3번부터는 충분히 가능성이 있다."
[John Grubber /via yoonjiman.net]
참조
• Twitter - Ashkan Soltani
• Yoonjiman.net - 애플의 SSL/TLS 버그