애플 새 비밀번호 앱, HTTP 보안 결함으로 수개월간 피싱 공격 위험 노출

애플(NASDAQ:AAPL)의 iOS 18에서 출시된 비밀번호 앱이 암호화되지 않은 HTTP 연결을 사용해 사용자들이 피싱 공격에 노출된 것으로 드러났다. 이 문제는 조용히 수정되기까지 수개월이 걸린 것으로 확인됐다.

주요 내용
iOS 18에서 키체인의 사용자 친화적 대안으로 출시된 애플의 독립형 비밀번호 앱에서 심각한 보안 결함이 발견됐다.

이 앱은 출시 후 약 3개월 동안 웹사이트 아이콘을 가져오고 비밀번호 재설정 페이지를 열 때 암호화되지 않은 HTTP 연결을 사용했다.

보안 연구기업 미스크의 연구진은 이 앱이 130개 이상의 웹사이트와 안전하지 않은 채널을 통해 연결했다는 사실을 발견했다.

연구진은 9to5Mac과의 인터뷰에서 "이로 인해 사용자가 취약해졌다"며 "네트워크 접근 권한을 가진 공격자가 HTTP 요청을 가로채 사용자를 피싱 웹사이트로 리다이렉트할 수 있었다"고 설명했다.

미스크는 시연을 통해 카페나 공항 같은 공공 네트워크에서 공격자들이 HTTP 요청을 가로채 사용자를 정교하게 위조된 가짜 로그인 페이지로 유도할 수 있음을 보여줬다.

애플은 12월 iOS 18.2 업데이트를 통해 비밀번호 앱의 모든 연결에 HTTPS를 기본값으로 적용하며 이 취약점을 조용히 수정했다. 하지만 이 문제를 공개적으로 알린 것은 이번 주 초였다.

시장 영향
애플은 올해 초 iOS 18 출시 이후에도 알람이 제대로 작동하지 않아 사용자들이 늦잠을 자는 문제로 비판을 받은 바 있다.

또한 애플의 AI 받아쓰기 시스템에서 '인종차별주의자'라는 단어가 '트럼프'로 대체되는 논란이 있는 버그도 발생했다. 이러한 사건들은 애플이 소프트웨어의 신뢰성과 보안 유지에서 지속적인 과제에 직면해 있음을 보여준다.

주가 동향
애플 주식은 화요일 정규장에서 0.61% 하락한 212.69달러로 마감했다. 다만 시간외 거래에서는 0.15% 상승했다.