iOS 단말기에서 쿠키 훔치는 취약점, 3년만에 수정

와이파이 접속 시 로그인 페이지에서 쿠키 훔칠 수 있는 취약점
애플, iOS 9.2.1에서 해당 취약점 수정

와이파이 사용자 인증 화면

[아시아경제 한진주 기자] 애플이 단말기 쿠키를 훔칠 수 있는 심각한 취약점이 발견된 지 3년만에 이를 수정했다.

22일(현지시간) 해커뉴스 등에 따르면 애플이 2013년 6월에 제보된 취약점을 최근 공개한 iOS 9.2.1에서 수정했다.

이 취약점은 와이파이 핫스팟에 처음 접속했을 때 사용자를 인증하는 로그인 페이지에서 발견됐다. 저장된 쿠키를 처리하는 방식에 취약점이 존재하고 있었던 것이다.

보통 사용자가 보안이 취약한 아이폰이나 아이패드로 커피숍이나 호텔, 공항 등의 네트워크에 접속할 경우 암호화되지 않은 HTTP 연결을 통해 로그인 창이 표시된다.

접근이 승인되면 사용자는 인터넷을 이용할 수 있고, 내장된 브라우저가 암호화되지 않은 쿠키들을 사파리 브라우저와 공유하게 된다.

해커들은 이 취약점을 악용해 해당 사이트에서 사용자로 위장하거나, 공격자가 제어 가능한 계정으로 사용자를 로그인하게 만드는 등의 공격이 가능하다.

현재 이 취약점은 아이폰 4S와 아이패드2를 포함한 상위버전 기기에 모두 존재하고 있으므로 iOS 9.2.1로 업그레이드해야 한다.

한진주 기자 truepearl@asiae.co.kr