심각한 사파리의 취약점, 언제 고치려나…

- Advertisement -

애플의 웹브라우저 사파리(Safari)에서 문제가 발견됐다. 사용자의 개인 정보가 유출될 수 있는 취약점으로 알려진다. 애플 제품을 이용하는 사용자 상당수가 사파리를 이용해 인터넷을 이용하는 것을 고려하면 많은 이들이 위험에 노출돼 있다고 볼 수 있다. 상황이 이런데도 애플에서는 적극적으로 취약점을 해결하려는 노력은 보이지 않는 모습이다.

16일(현지시간) 애플 전문 매체 나인투파이브맥(9to5mac)은 사기탐지 기업 핑거프린트JS(FingerprintJS)가 애플의 웹브라우저 사파리에서 치명적인 취약점을 발견했다고 전했다. 핑거프린트JS는 문제에 대한 인식 재고하는 차원에서 해당 사실을 공론화했다고 설명했다.

이번에 발견된 취약점은 인덱스드DB(IndexedDB) 표준 응용프로그램 인터페이스(API)와 관련된 것으로 알려졌다. 핑거프린트JS는 애플의 사파리15의 인덱스드DB가 ‘동일 출처 정책(SOP, same-origin policy)’을 위반한다고 주장했다. 동일 출처 정책은 특정 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용하는 일을 제한하는 보안 방식을 말한다. 동일 출처(same-origin)에서만 스크립트를 이용한 데이터 접근이 가능하다.

보통 브라우저에서는 탭을 통해 다양한 작업들이 동시에 이뤄지곤 한다. 이때 한 탭에서 이메일 계정을 연 다음 다른 탭에서 악성 웹사이트에 접속했다면 동일 출처 정책에 따라 악성 웹사이트에서 사용자의 이메일을 열람하는 행위는 불가능하다.

동일 출처 정책은 중요한 보안 개념 중 하나이기에 대부분의 브라우저에서 해당 정책을 준수하고 있다.

하지만 사파리15는 그렇지 못하다는 것이 핑거프린트JS의 주장이다. 핑거프린트JS는 “동일한 브라우저 세션 내 다른 모든 활성 프레임, 탭, 창에서 동일한 이름을 가진 새로운 데이터베이스가 생성된다”라고 말했다. 이는 한 웹사이트가 다른 웹사이트에서 생성된 데이터베이스의 이름을 볼 수 있으며 사용자와 관계된 정보들도 그 안에 포함될 수 있다는 것을 의미한다.

핑거프린트JS가 블로그에 올린 예시에 따르면 취약점을 통해 구글 아이디(ID)로 접속한 사용자의 ID를 수집하고 해당 ID를 사용해 관련된 다른 개인 정보까지 찾을 수 있었다. 구글 프로필 사진까지도 확보할 수 있다고 설명했다. 핑거프린트JS가 올린 짧은 영상에는 작업을 통해 정보들을 취득하는 과정들이 잘 담겨있다.

(출처:appleinsider)

아마존 알렉사 기준 상위 1000개 웹사이트를 조사한 결과에 따르면 구글 말고도 인스타그램, 넷플릭스, 트위터, 엑스박스(Xbox) 등 30개 유명 사이트에서도 동일한 문제가 발생하는 것으로 확인됐다.

현재 상태라면 누군가 불순한 의도를 가지고 해킹을 시도하면 사파리 이용자와 관계된 비밀스러운 정보까지도 확인할 수 있다. 이용자를 추적해 다른 탭이나 창에서 방문한 웹사이트도 확인이 가능하다.

이번에 발견된 취약점은 아이폰에 국한된 문제가 아니다. 아이패드나 맥 등 애플 전 제품에서 사파리 브라우저를 실행할 때 위험에 노출된다. 맥OS(MacOS) 운영체제(OS) 환경이라면 크롬이나 파이어폭스와 같은 타사 브라우저를 이용하는 것도 방법이겠으나 다른 운영체제인 iOS나 iPadOS에서는 타사 브라우저를 사용해도 사파리의 렌더링 엔진을 사용해야 하기에 여전히 모든 브라우저가 영향권 안에 있다.

핑거프린트JS는 사파리 브라우저에서 개인 정보 보호 브라우징 모드를 이용해도 예외는 아니라고 설명했다. 사실상 애플 기기를 통해 사파리 브라우저를 사용하는 일반 사용자라면 언제든 위험에 노출될 수 있는 셈이다.

해당 취약점은 지난해 11월 28일에 보고된 것으로 알려진다. 하지만 여전히 패치는 이뤄지지 않았다. 애플 측에서는 취약점을 해결하겠다는 계획조차 밝히지 않아 왔다. 핑거프린트JS는 “유일한 보호 방안은 애플이 문제를 해결한 뒤 업데이트를 공개하면 이를 설치하는 것”이라고 말했다.

핑거프린트JS가 글을 올린 지 이틀 만인 17일, 애플은 뒤늦게 내부적으로 취약점을 해결하기 위한 작업에 착수했고 지금은 잠재적인 문제들을 해결했다고 전했다. 다만, 실제 업데이트에 반영되기 전까지 사용자는 계속 위험에 노출될 수 있는 상황이다.

테크플러스 에디터 나유권

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here

Related Stories