애플 계정에 로그인시 'iforgot(비밀번호 찾기 기능)'을 이용해 다른 사람들의 비밀번호를 알아낼 수 있는 취약점이 공개돼 애플이 이를 수정했으나 우리나라에서는 여전히 문제가 해결되지 않고 있다.
25일 보안전문가 및 애플 한국 지사 관계자에 따르면 애플이 로그인 취약점 해결책으로 제시한 이중 인증 기능이 우리나라에는 아직 도입되지 않은 것으로 확인됐다.
이중 인증은 애플 앱스토어, 아이클라우드 등의 계정에 로그인시 기존 이메일과 비밀번호 외에 아이폰 등을 이용해 전송 받은 네 자리 비밀번호를 추가로 입력하는 방법이다. 그러나 이는 미국, 영국, 호주, 아일랜드, 뉴질랜드 등 5개국에만 적용됐고 우리나라에는 아직 도입되지 않았다.
국내 보안회사 에스이웍스 관계자에 따르면 공격용으로 수정된 인터넷접속주소(URL)를 이용하면 애플의 iforgot 화면에 접속한 뒤 기존에 확보한 사용자의 이메일, 생년월일을 입력하면 바로 비밀번호를 재설정할 수 있다.
이를 통해 아이클라우드에 저장된 사용자의 연락처, 사진, 동영상 등의 개인정보가 유출될 가능성이 높다는 것이다.
관련기사
- [사이버수사대]④여대생 해킹 사건2013.03.25
- 디멘터, 해킹방지 ID/PW 대신 그림인증으로2013.03.25
- 탈옥 안 한 아이폰도 해킹된다2013.03.25
- 애플, 차세대 인증기술 뭐가 될까2013.03.25
문제는 이메일과 생년월일을 알아내는 일이 너무 쉽다는 점이다. 이를테면 사용자가 페이스북에 공개한 생년월일과 인터넷 검색 등을 통해 알게 된 이메일 주소를 확인하면 되기 때문이다.
지난 23일(현지시간) 이에 대한 대비책으로 애플은 이중 인증 방식을 도입키로 했다. 그러나 아직 한국에서는 이러한 서비스가 구현되지 않고 있는 실정이다.