미국의 브라우저 지문인식 서비스인 '핑거프린트JS'가 애플 전문매체 <나인투파이브맥>을 통해 제기한 주장에 따르면 이 결함은 사파리 15에 적용되는 인덱스드DB가 브라우저의 동일출처정책(Same Origin Policy)을 우회할 수 있도록 해준다.
동일출처정책은 하나의 출처(origin)에서 로드된 문서나 스크립트가 다른 출처에서 수집된 자료와 상호작용하지 못하도록 제약하는 기능이다. 예를 들어 한 브라우저 탭에서 이메일 계정에 접속한 상태에서 별도의 탭에서 악성 웹사이트에 접속하더라도 동일출처정책의 적용으로 인해 악성 웹사이트가 이메일을 열람하거나 공격하는 것을 막을 수 있다.
이번에 발견된 사파리 버그는 구글 ID로 로그인한 이용자들의 정보를 다른 웹사이트에 노출시킨다. 구글에서 사용하는 이름, 프로필 사진 및 브라우저 히스토리 등을 악성 웹사이트 운영자가 악용할 수도 있는 것이다. 사파리의 개인정보보호 브라우징 기능인 ‘프라이빗 브라우징(Private Browing)’ 모드를 사용해도 이용해도 버그는 발생한다.
또 모든 애플 기기에 적용되는 ‘제3자 브라우저 엔진 사용 금지’로 인해 다른 브라우저를 사용하더라도 결함에 노출된다. 핑거프린트JS는 지난 해 11월 이 문제를 애플에게 알렸지만 애플은 아직까지 아무런 조치를 취하지 않은 것으로 알려졌다.
최경미
kmchoi@bloter.net
구독