
Apple 'Hide My Email' 취약점으로 인해 실제 이메일 주소가 노출되는 문제 발견
요약
Apple의 'Hide My Email' 기능에서 실제 이메일 주소가 노출될 수 있는 보안 취약점이 발견되었습니다. 연구진은 1년 전 문제를 보고했으나 Apple 측의 미흡한 대응으로 인해 취약점이 여전히 수정되지 않은 상태임을 밝혔습니다.
핵심 포인트
- Hide My Email을 통해 숨겨진 실제 이메일 주소 노출 가능성 확인
- 취약점 보고 후 1년이 지났음에도 Apple의 미수정 상태 지속
- 공격 표면을 제한하기 위해 새로운 주소 생성 비활성화 등의 조치 권고
- 사용자의 개인정보 보호를 위해 상세 공격 방식은 비공개 유지
우리는 Hide My Email 이면에 숨겨져 있어야 할 주소를 공격자가 찾아낼 수 있게 하는 Hide My Email의 취약점들을 발견했습니다. 우리는 1년 전 Apple에 이 문제를 보고했으며, 2026년 6월 30일 현재까지도 아직 수정되지 않았습니다. 약 한 달 전, 우리는 이 취약점들의 심각성과 범위가 우리가 처음에 생각했던 것보다 더 크다는 것을 깨달았습니다. 우리는 Hide My Email 사용자들이 자신의 이메일 주소가 실제로 숨겨지지 않았을 수도 있다는 사실을 알 권리가 있다고 생각하기 때문에, 현재 이 취약점의 존재를 공개적으로 밝힙니다. 우리는 사람들이 언제, 어떻게 Hide My Email을 사용할지 결정할 때 이 위험을 고려할 수 있기를 바랍니다. 문제를 책임감 있게 검증하고 공표하기 위해 신뢰할 수 있는 제3자 역할을 해준 404 Media의 Joseph Cox에게 깊은 감사를 표합니다.
타임라인은 다음과 같습니다:
2025년 6월 11일: 우리는 Hide My Email에서 취약점을 발견하고 이를 Apple에 보고했습니다. Apple은 Hide My Email이 "설계상 숨겨진 주소의 발견을 허용하도록 의도되지 않았다"라고 확인하며 더 자세한 내용을 요청했습니다.
2025년 6월 13일: 우리는 재현(reproduction) 지침이 포함된 상세 보고서를 제출했습니다.
2025년 6월 20일: 우리는 Apple의 문제 해결(troubleshoot)에 도움이 되기를 바라며 더 많은 정보를 제출했습니다.
2025년 7월 9일: 우리는 숨겨진 이메일 주소를 발견할 수 있게 하는, 유사하지만 다른 취약점을 보고했습니다.
2025년 7월 14일: Apple은 취약점들이 검토 중임을 인정하는 첫 번째 메시지를 보냈습니다.
2026년 3월 3일: Apple은 취약점들이 수정되었다고 보고하며 우리에게 확인을 요청했습니다.
2026년 3월 19일: 우리의 초기 보고서에 포함된 재현 지침을 사용하여, 우리는 취약점들이 수정되지 않았음을 확인했습니다.
2026년 5월 22일: 우리는 취약점이 처음에 생각했던 것보다 더 큰 심각성과 범위를 가질 수 있다는 것을 깨닫고 이를 Apple에 보고했습니다. Apple은 심각성이 증가했다는 보고를 전혀 인정하지 않았습니다.
2026년 6월 30일: Apple은 다시 한번 취약점들이 수정되었다고 보고하며 우리에게 확인을 요청했습니다.
우리는 해당 취약점들이 수정되지 않았다고 판단했습니다.
Hide My Email 사용자의 개인정보를 보호하기 위해, 취약점이 수정될 때까지 공격 방식(exploits)에 대한 세부 사항을 논의하거나 공개하지 않을 것입니다.
우리는 Apple이 취약점이 수정되기 전이라도 공격 표면(attack surface)을 제한하기 위한 조치를 취하기를 바랍니다. 새로운 Hide My Email 주소 생성을 비활성화하는 것이 도움이 될 수 있습니다. 또한 모든 Hide My Email 사용자에게 위험성을 알리는 것도 책임 있는 조치로 보입니다.
우리는 Apple이 이 문제를 가능한 한 빨리 해결할 수 있도록 우리와 더 긴밀하고 공개적으로 협력할 것을 촉구합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 HN AI Posts의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기