애플이 지난 3월에 배포한 macOS 10.12.4와 iOS 10.3에서 아이클라우드 키체인과 관련된 중대 보안 취약점을 패치한 것으로 뒤늦게 확인됐습니다.
아이클라우드 키체인은 맥과 iOS 기기 간에 자주 가는 사이트들의 계정 정보와 결제 카드 정보, 그리고 와이파이 네트워크의 저장 정보를 동기화해주는 서비스입니다. 동기화되는 정보가 매우 민감한 정보이니만큼, 애플은 종단 간 암호화로 기기들 사이의 동기화 과정을 암호화하고 있습니다.
보안 취약점을 전문적으로 찾는 사이버 보안업체인 롱텀 시큐리티의 공동 창업자 중 하나인 알렉스 라도시(Alex Radocea)에 따르면, 이 암호화된 데이터를 복호화하기 위해 기기를 확인하는 과정에 버그가 있어 제대로 된 복호화 키를 가지고 있지 않더라도 암호화가 풀리는 것을 발견했습니다. 이 취약점을 이용하면 공격자가 아이클라우드 키체인에 접근해 사용자가 서비스에 저장한 계정 정보나 카드 정보 등을 기본 텍스트로 받을 수 있었다고 밝혔습니다. 하지만 여전히 이 공격 방법에는 공격자가 목표의 아이클라우드 계정에 접근할 수 있어야 한다는 문제(?)가 있다고 덧붙였습니다.
그러나 라도시는 법 집행 기관이 원한다면 이 취약점을 이용해 사용자의 아이클라우드 키체인에 접근할 수 있었을 것이라고 말합니다. 이미 범인을 취조해 아이클라우드 계정 정보쯤은 쉽게 얻었을 테니까요.
라도시는 이 버그를 애플에게 제보했고, 애플은 3월에 배포한 iOS 10.3과 macOS 10.12.4에 이 문제에 대한 수정 사항을 포함했습니다.
제 아무리 애플이라도 macOS와 iOS의 보안 취약점은 완전히 없어질 수 없는 것이기 마련이고, 애플 플랫폼을 향한 보안 공격은 해를 거듭할 수록 증가하고 있습니다. 애플은 이를 막기 위해 매번 운영체제를 업데이트할 때마다 다양한 보안 취약점에 대한 수정을 가하고 있습니다. 일례로 20일(현지 시각)에 배포한 최신 버전인 macOS 10.12.6과 iOS 10.3.3의 경우 각각 24개에 달하는 보안 취약점이 해결됐습니다. 비록 새로운 기능은 아니지만 이러한 꾸준한 보안 업데이트는 사용자의 개인 정보를 안전하게 해줄 수 있는 가장 쉽고 효율이 높은 방법이기도 하니, 독자 여러분의 애플 기기는 늘 최신 버전으로 업데이트해놓는 것을 추천합니다.
필자: 쿠도군 (KudoKun) 컴퓨터 공학과 출신이지만 글쓰기가 더 편한 변종입니다. 더기어의 인턴 기자로 활동했었으며, KudoCast의 호스트로도 활동하고 있습니다. |
참고
• iCloud security flaw put iPhone, Mac passwords at risk - ZD넷
관련 글
• 맥을 랜섬웨어로부터 안전하게 보호하는 방법
• 애플, iOS 10.3.1 업데이트 배포.. “와이파이 관련 중대 보안 결함 패치”
