본문 바로가기

추천팁/문제해결

OS X 스팟라이트 보안 결함 발견... "개인정보 유출될 가능성 있다"

OS X 요세미티에 내장된 스팟라이트의 작동 방식으로 말미암아 사용자의 개인정보가 외부에 너무 쉽게 유출될 수 있다는 지적이 나왔습니다.

요즘 지메일, 아웃룩, 썬더버드 등 대부분 이메일 클라이언트는 새 이메일을 불러올 때 텍스트만 가져올 뿐, HTML 코드나 이미지 등의 콘텐츠는 가져오지 않는 것이 일반적입니다. 이는 광고성 메일 안에 심어둔 '트래킹 픽셀(Tracking Pixel)'이나 '웹 버그(Web Bug)'가 작동하지 않도록 하기 위함인데, 이 설정을 켜두지 않는 경우 사용자의 이메일 주소가 스패머들에게 '활발히 사용하는 이메일 주소'로 인식돼 더 많은 스팸 메시지와 광고로 이어질 수 있습니다.

미 IT매체 '아스테크니카'의 10일자 보도에 따르면, OS X 기본 메일 클라이언트도 다른 이메일 서비스처럼 '원격 콘텐츠 로드'라는 옵션이 마련돼 있어 이메일에 첨부된 이미지와 콘텐츠를 자동으로 불러오지 않도록 설정할 수 있습니다. 그리고 '원격 콘텐츠 로드' 단추를 클릭하는 등의 사용자 동의가 있어야 비로소 이메일에 첨부된 콘텐츠를 불러오게 됩니다. ▼

하지만 OS X 요세미티의 스팟라이트는 작동 과정 중 이메일에 첨부된 각종 콘텐츠를 무작정 불러옵니다. 즉, 이메일 클라이언트와 설정이 연동되지 않을 뿐만 아니라, 사용자 동의 과정 없이 콘텐츠를 가져오는 셈입니다. ▼

이로 인해 이메일 수신 여부가 스패머나 스토커, 온라인 마케터들에게 고스란히 전달될 소지가 있고, 콘텐츠를 불러오는 과정에서 맥의 IP 주소가 원격 서버에 기록되므로 사용자의 대략적인 위치와 컴퓨터 환경, 이메일 사용 패턴까지 유출될 수 있다고 매체는 경고하고 있습니다.

호들갑을 떨 정도로 심각한 결함은 아니지만 분명한 애플의 실수이며, 더 큰 보안 문제로 이어질 수 있는 만큼 애플이 서둘러 개선책을 내놓을 필요가 있어 보입니다. 애플이 문제를 수정하기 전까지 잠재적인 보안 문제를 방지하고 싶은 분은 다음 두 옵션을 조정하는 것이 좋습니다.

1. 이메일 환경설정 ▸ 보기 ▸ 메시지의 원격 콘텐츠 로드의 상자가 체크 해제되어 있는지 확인합니다. ▼

2. 시스템 환경설정 ▸ Spotlight ▸ 검색 결과 ▸ Mail 및 메시지 체크 상자를 체크해제합니다. ▼



참조
Ars Technica - Spotlight search in OS X Yosemite exposes private user details to spammers

관련 글
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 어도비, 플래시플레이어의 심각한 보안 취약점 '긴급' 패치
• 스팟라이트 기능과 유용성을 극대화 시켜주는 강력한 플러그인 'Flashlight'