분실된 에어태그 스캔하다 ‘해킹 위험’…?

- Advertisement -

애플 에어태그(AirTag)는 물건을 잃어버렸을 때 쉽게 되찾을 수 있게 도와주는 분실 방지 액세서리다. 초광대역 통신(UWB)이나 다른 사람들의 스마트폰을 통해 에어태그의 위치를 파악하고 추적하는 원리다.

에어태그가 달린 물건을 잃어버리면 소유주는 이를 ‘분실 모드’로 전환할 수 있다. 분실 모드가 된 에어태그를 스마트폰으로 스캔하면 소유주의 연락처와 메시지가 표시된다. 물건을 습득한 사람이 연락을 취해 돌려주도록 하기 위한 기능이다.

그런데 분실물을 돌려주는 선한 사람을 골탕 먹이려는 해커들이 있다. 에어태그가 분실된 것처럼 위장해 다른 사람의 개인 정보를 탈취하는 경우가 있어 주의가 필요하다.

에어태그를 분실 모드로 전환할 때 소유주는 습득자에게 보여줄 메시지와 연락처를 입력할 수 있다. 그런데 연락처 칸에 특수한 코드를 넣으면 웹사이트로 이동하는 링크가 첨부된다. 이 에어태그를 스캔하면 연락처 대신 웹사이트 URL이 표시된다.

만약 가짜 애플 사이트를 만들고 로그인 페이지로 위장한 링크를 넣으면 에어태그를 스캔하고 링크를 눌렀을 때 애플 로그인 페이지처럼 생긴 창이 나타난다. 애플 제품인 만큼 의심하지 않고 로그인하는 사례가 발생할 수 있다. 혹은 악성 소프트웨어를 강제로 다운로드하게 만드는 피싱 사이트 링크를 첨부하는 것도 가능하다.

정상적인 에어태그 스캔 화면. 해킹을 시도하는 에어태그라면 연락처 란에 웹페이지로 이동하는 URL이 표시된다. (출처 : Krebsonsecurity)

에어태그는 어떤 이유에서든 발견한 사람의 개인 정보를 요구하지 않는다. 정상적인 방법으로는 웹페이지 링크를 첨부할 수 없다. 만약 분실 상태의 에어태그를 스캔했을 때 URL 링크가 나타난다면 피싱을 의심해 봐야 한다.

이 문제는 보안 컨설턴트 바비 로치에 의해 발견됐다. 그는 지난 6월 20일 애플에 취약점을 알렸지만 문제를 조사하는 데에만 약 세 달이 소요됐다. 애플은 지난 목요일 로치에게 다음 업데이트에서 해결될 것이며, 그전에는 이 보안 문제를 공개하지 말아달라고 요청했다.

하지만 로치는 보안 업데이트가 배포되기 전에 이를 공개했다. 애플이 버그 포상금 지급 요청에 대해 미온적으로 대응했기 때문이다. 로치는 애플 측에 문제가 해결될 시기와 버그 포상금 지급에 대해 알려달라고 요청했지만 취약점을 공개하지 말라는 회신만 돌아왔다고 밝혔다.

애플 보안 바운티(Apple Security Bounty) 프로그램은 애플이 치명적인 보안 문제를 제보하는 사람에게 포상금을 지급하는 제도다. 하지만 보안 취약점을 제보해도 보상을 제대로 지급하지 않아 이번처럼 제보자가 취약점을 먼저 공개해버리는 사례가 몇 차례 있었다.

테크플러스 에디터 이병찬

tech-plus@naver.com

[fv0012]

- Advertisement -

Related Stories