트렌드

iOS7.0.6 판올림…“SSL 보안 문제 때문에”

2014.02.23

한국시간으로 2월22일 새벽, iOS7이 7.0.6로 판올림을 했다. 특별한 예고 없이 iOS7.1이 발표를 앞두고 있는 시점에서 업데이트가 배포됐다.

애플이 밝힌 이유는 ‘보안 업데이트’다. 애플은 “SSL 연결 확인에 대한 수정 사항을 제공한다”라고 업데이트 리포트에 공개했다. 권한을 갖고 있는 네트워크로 접속한 공격자가 SSL이나 TLS를 이용해 보호된 세션의 데이터를 캡처하거나 수정할 수 있다는 것이다.

IOS706

SSL은 서버와 클라이언트 사이에 데이터를 주고받을 때 쓰는 프로토콜로, 약속되지 않은 기기가 접근하는 것을 차단하는 기술이다. 인터넷뱅킹이나 전자상거래처럼 돈이 오가는 경우에 본인이 맞는지를 확인하는 데 주로 쓰였다. 점차 보안 위협이 늘어나면서 최근에는 포털을 비롯한 일반 웹사이트에도 적용하는 추세다. e메일 서비스 등에서도 쉽게 볼 수 있다. 디지털 인증서로 가장할 수 있으면 할 수 있는 일들은 많다.

공격 루트는 웹이지만 웹브라우저 문제가 아니라 운영체제가 HTTPS 연결을 암호화해야 하는데, 이를 제대로 처리하지 못하는 운영체제 단계에서 프레임워크에 생긴 결함이다.

iOS7.0.4를 비롯해 애플의 여러 운영체제는 이 부분에 취약점이 있었다. 해커는 e메일 등을 통해 아이폰에 접근해 신뢰할 수 있는 접속 경로인 것처럼 가장해 개인 정보를 꺼내갈 틈이 생겼다. 아직 이 보안 약점을 통해 해킹이 일어난 사례는 보고되지 않았다.

애플은 iOS에 우선 이 보안 문제를 패치했다. 애플은 iOS7 뿐 아니라 iOS7로 업데이트되지 않는 ‘아이폰3GS’나 4세대 이전 ‘아이팟터치’도 6.1.6으로 판올림하는 등 구형 기기에도 같은 날 똑같이 SSL 패치를 적용했다.

하지만 이 업데이트 이후 보안 전문가들은 iOS 뿐 아니라 맥 OS X에도 비슷한 문제가 있다고 파악했다. 로이터는 애플이 맥의 보안 문제를 이미 파악했고 이를 해결할 수 있는 보안 패치를 곧 준비할 것이라고 밝혔다. 하지만 맥루머스는 “당장 보안 문제가 드러났기 때문에 해커들이 공격할 수 있으니 보안 패치로 문제가 해결될 때까지 당분간은 신뢰할 수 없는 네트워크, 특히 무선랜에 접속하는 것은 되도록 피할 것”을 권했다.

OS X은 현재 10.9.1버전인데 개발자 대상으로 테스트중인 10.9.2버전의 매버릭스에서는 이 문제가 해결됐다. 10.9.2버전은 곧 업데이트될 예정이다. 그 전에 애플이 SSL 문제만 먼저 해결된 패치를 내놓을지는 확실치 않다. 애플은 로이터에 맥에서도 이 문제를 최대한 빨리 해결할 것이라고 밝혔다.

allove@bloter.net

프리랜서 IT 컬럼니스트, 기술과 사람이 더 가까워질 수 있는 이야기를 담고 싶습니다. e메일 work.hs.choi@gmail.com