OS X 스팟라이트 보안 결함 발견... "개인정보 유출될 가능성 있다"

2015. 1. 12. 14:21    작성자: ONE™

OS X 요세미티에 내장된 스팟라이트의 작동 방식으로 말미암아 사용자의 개인정보가 외부에 너무 쉽게 유출될 수 있다는 지적이 나왔습니다.

요즘 지메일, 아웃룩, 썬더버드 등 대부분 이메일 클라이언트는 새 이메일을 불러올 때 텍스트만 가져올 뿐, HTML 코드나 이미지 등의 콘텐츠는 가져오지 않는 것이 일반적입니다. 이는 광고성 메일 안에 심어둔 '트래킹 픽셀(Tracking Pixel)'이나 '웹 버그(Web Bug)'가 작동하지 않도록 하기 위함인데, 이 설정을 켜두지 않는 경우 사용자의 이메일 주소가 스패머들에게 '활발히 사용하는 이메일 주소'로 인식돼 더 많은 스팸 메시지와 광고로 이어질 수 있습니다.

미 IT매체 '아스테크니카'의 10일자 보도에 따르면, OS X 기본 메일 클라이언트도 다른 이메일 서비스처럼 '원격 콘텐츠 로드'라는 옵션이 마련돼 있어 이메일에 첨부된 이미지와 콘텐츠를 자동으로 불러오지 않도록 설정할 수 있습니다. 그리고 '원격 콘텐츠 로드' 단추를 클릭하는 등의 사용자 동의가 있어야 비로소 이메일에 첨부된 콘텐츠를 불러오게 됩니다. ▼

하지만 OS X 요세미티의 스팟라이트는 작동 과정 중 이메일에 첨부된 각종 콘텐츠를 무작정 불러옵니다. 즉, 이메일 클라이언트와 설정이 연동되지 않을 뿐만 아니라, 사용자 동의 과정 없이 콘텐츠를 가져오는 셈입니다. ▼

이로 인해 이메일 수신 여부가 스패머나 스토커, 온라인 마케터들에게 고스란히 전달될 소지가 있고, 콘텐츠를 불러오는 과정에서 맥의 IP 주소가 원격 서버에 기록되므로 사용자의 대략적인 위치와 컴퓨터 환경, 이메일 사용 패턴까지 유출될 수 있다고 매체는 경고하고 있습니다.

호들갑을 떨 정도로 심각한 결함은 아니지만 분명한 애플의 실수이며, 더 큰 보안 문제로 이어질 수 있는 만큼 애플이 서둘러 개선책을 내놓을 필요가 있어 보입니다. 애플이 문제를 수정하기 전까지 잠재적인 보안 문제를 방지하고 싶은 분은 다음 두 옵션을 조정하는 것이 좋습니다.

1. 이메일 환경설정 ▸ 보기 ▸ 메시지의 원격 콘텐츠 로드의 상자가 체크 해제되어 있는지 확인합니다. ▼

2. 시스템 환경설정 ▸ Spotlight ▸ 검색 결과 ▸ Mail 및 메시지 체크 상자를 체크해제합니다. ▼



참조
Ars Technica - Spotlight search in OS X Yosemite exposes private user details to spammers

관련 글
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 어도비, 플래시플레이어의 심각한 보안 취약점 '긴급' 패치
• 스팟라이트 기능과 유용성을 극대화 시켜주는 강력한 플러그인 'Flashlight'

    
  1. Blog Icon
    reinaa

    페북보고 1번만 했는데 덕분에 2번도 완료했어요 항상 감사합니다!

  2. Blog Icon
    ka1ihman

    덕분에 수정했습니다. 감사합니다.

  3. Blog Icon
    간장치킨

    저도 덕분에 수정했습니다.

    항상 좋은 정보를 주셔서 감사합니다 ^^

  4. 1번은 했는데 2번은 못했네요 ㅠㅠ 집에가서 해야겠습니다.

  5. Blog Icon

    비밀댓글입니다

  6. Blog Icon
    JK-Coffee

    좋은 정보 감사합니다. 1,2번 모두 실행했습니다.

  7. Blog Icon
    꼬마거지왕자

    감사합니다.

  8. Blog Icon
    꿀단지

    이건 정말 큰 버그네요.. 중대 버그는 가능한한 빨리 수정되길 바랍니다.

  9. 멋진 팁이네요. 덤으로 메일 로딩 속도도 빨라진 느낌입니다.

  10. Blog Icon
    age120

    1,2번데로 헤제는 했는데 ~~