지난 20일 출시된 최신 아이폰 운영체제(OS) 'iOS 15'에서 제공되는 인터넷 개인정보 보호 서비스 '프라이빗 릴레이'를 사용하더라도 IP 주소가 유출될 수 있다는 연구 결과가 나왔다.
프라이빗 릴레이는 애플이 클라우드 서비스 '아이클라우드 플러스'에 가입한 iOS 15, 아이패드OS 15, 맥OS 12 몬터레이 사용자를 대상으로 제공하는 서비스로, 자사 브라우저 '사파리' 사용 중 발생하는 트래픽을 암호화해준다. 이 과정에서 사용자의 대략적인 소재지만 파악할 수 있는 익명의 IP 주소를 할당, 사용자의 웹 활동 내역을 추적하지 못하도록 막아주는 것이 서비스 목적이다.
핑거프린트JS 연구원 세르게이 모스트세븐코는 웹RTC를 이용해 프라이빗 릴레이 사용 환경에서 익명의 IP 주소가 아닌, 사용자의 실제 IP 주소를 알아낼 수 있다고 자사 블로그에 지난 21일 밝혔다.
웹RTC는 별도 프로그램 설치 없이 브라우저에서 영상 스트리밍, 화상전화, 파일 공유 등을 할 수 있게 지원하는 기술 표준 규격이다. 웹 RTC가 쓰일 때, 브라우저 사용자 간 P2P 통신을 위한 프레임워크인 ICE가 동작한다.
ICE에서 사용되는 STUN 서버는 통신하는 기기의 공용 IP 주소와 포트 번호를 검색해준다. STUN 서버에서 생성되는 요청이 익명 처리 되지 않아 P2P 통신을 위해 ICE 후보를 교환하는 과정에서 실제 IP 주소가 노출될 수 있다는 설명이다.
관련기사
- iOS15 채용률 예전만 못 해… iOS14보다 훨씬 느려2021.09.24
- 애플, 아이폰 카메라 ‘렌즈 플레어’ 현상 없앨까2021.08.05
- [WWDC 2021] 애플, 한 끗 다른 'VPN' 내놨다2021.06.08
- "애플, 내년엔 시가총액 3조달러 돌파"2021.06.08
핑거프린트JS는 애플이 맥OS 12 몬터레이의 베타 버전을 출시한 시점에 이 문제를 제보했지만, iOS 15가 공식 출시된 현재 이 문제가 해결되지 않은 상태라고 밝혔다. 이 문제를 해결하기 위해서는 애플이 모든 웹 트래픽을 프라이빗 릴레이를 통해 처리하도록 사파리 작동 방식을 수정해야 한다고 지적했다. 애플은 사파리 기반 웹 브라우저 데이터와 DNS 확인 쿼리, 안전하지 않은 HTTP 웹 트래픽에 대해 프라이빗 릴레이를 지원한다.
IT 전문 매체 해커뉴스는 IP 주소 유출을 막기 위해서는 사파리에서 자바스크립트 기능을 비활성화해 웹RTC 기능을 해제해야 한다고 조언했다. 또는 가상사설망(VPN) 서비스나 익명 네트워크 기반 브라우저 '토르'를 사용하라고 덧붙였다.