[디지털투데이 AI리포터] 애플의 비밀번호 관리 애플리케이션(앱) 암호(Password)가 출시 후 약 3개월 동안 피싱 공격에 취약했다고 18일(현지시간) IT 매체 나인투파이브맥이 전했다.

iOS 18 초기 버전에서 발견된 보안 결함은 HTTP 프로토콜을 통해 암호 재설정 페이지를 열어 사용자를 피싱 공격에 노출시켰다. 소프트웨어 기업 미스크(Mysk) 소속 연구원들이 앱 결함을 발견했으며, 이후 애플은 iOS 18.2 패치를 통해 버그를 수정했다.

미스크의 아이폰 앱 개인정보 보호 보고서에 따르면 암호 앱은 130곳 이상의 웹사이트에 대해 보안이 없는 HTTP 트래픽으로 연결을 시도했다. 네트워크 접근 권한이 있는 공격자가 HTTP 요청을 가로채 사용자에게 피싱 사이트로 리디렉션할 수 있는 가능성이 다분했던 셈. 미스크는 "애플이 이렇게 민감한 앱에 HTTPS를 기본으로 강제하지 않아 놀랐다"고 설명했다.

오늘날 대다수의 웹사이트는 HTTP 연결을 허용하긴 하나 자동으로 HTTPS로 리디렉션된다. 그러나 만일 공격자가, 사용자가 있는 네트워크에 연결되어 있을 경우 초기 HTTP 요청을 가로채고 피싱 사이트로 리디렉션할 수 있다.

이 문제는 지난해 12월 패치로 수정됐으며 암호 앱은 이제 모든 연결에 대해 HTTPS를 기본으로 사용하고 있다.

매체는 "애플 기기 사용자의 경우 iOS 18.2 이상으로 업데이트해 보안 취약점을 방지할 필요가 있다"며 "이번 사건은 보안에 대한 경각심을 일깨웠다"라고 덧붙였다.

• 하나은행, 민관협력 중장년 노후준비 지원센터‘춘천 하나50+컬처뱅크’ 개점
• 네이버페이, 한국여자프로골프투어와 업무협약 체결
• 델, 엔비디아 신형칩 공개 맞춰 'AI 팩토리' 업글...엔터프라이즈 코딩 툴도 발표
• 구글 제미나이, 새 기능 추가…문서·코딩 지원한다
• MSI, AMD 라데온 RX 9000 시리즈 파트너십서 제외