애플은 공격자가 iOS 기기를 감염시켜 자유자재로 통제할 수 있었던 보안 결함을 봉쇄했다. PC와 모바일기기를 아우르는 웹기반 악성코드 유포가 느는 가운데 과거 웹기반 탈옥 서비스도 가능할 정도로 취약했던 사파리 브라우저에 대한 보안을 한층 강화했다.
미국 지디넷은 7일(현지시간) 애플이 아이폰, 아이패드, 아이팟 터치 사용자가 브라우저를 통해 악의적인 공격을 당할 수 있는 보안 취약점을 iOS5.1.1 버전 업데이트로 보완했다고 보도했다.
이번 업데이트에서 애플은 크게 ▲브라우저 사파리 URL스푸핑 ▲크로스 사이트 스크립트(XSS) 보안 결함 ▲악성 애플리케이션 저장과 같은 3가지 보안 결함을 개선했다.
먼저 사파리에 존재하는 URL스푸핑 취약점을 보완했다. 겉보기에는 합법적인 도메인을 사용하고 있지만 사용자를 악성 웹사이트로 유도해 스푸핑 공격을 하는 것이다.
스푸핑은 악의적 네트워크 침입자가 임의로 웹사이트를 구성해 일반 사용자 방문을 유도, 시스템 권한을 획득해 정보를 빼가는 해킹 수법을 말한다. 그러나 이 취약점은 사파리 브라우저를 사용하는 맥OS X 시스템에 영향을 주는 것은 아닌 것으로 알려졌다.
오픈소스 웹킷 렌더링 엔진에서 나타난 보안 취약점은 XSS다. XSS는 사용자 입력을 받아 처리하는 웹 응용 프로그램에서 입력 내용에 대한 실행코드인 스크립트 태그를 필터링하지 않고 악성 스크립트가 포함된 게시물을 등록할 수 있도록 해준다. 이 때 해당 게시물을 열람하는 일반 사용자는 고스란히 개인정보인 쿠키를 유출할 수 있는 등 피해를 입을 수가 있는 것이다.
관련기사
- 애플, iOS5.1.1 업데이트 배포…변화는?2012.05.08
- 애플 또 보안굴욕...패스워드 텍스트로 저장2012.05.08
- 애플 보안 업데이트 "눈가리고 아웅"2012.05.08
- 애플 보안 논란, iOS5.0.1 업데이트로 잠재워2012.05.08
또 다른 취약점 하나는 오픈소스 응용 프로그램 프레임워크인 웹킷에서 나타났다. 사용자를 악성 웹사이트에 방문하도록 유도한 다음 예상치 못하게 애플리케이션을 종료시키거나 임의 코드를 실행하도록 한다. 이는 구글 보안 팀에 의해 발견된 보안 취약점이다.
현재 보안 패치를 아이튠즈를 통해 이용할 수 있으며, 아이폰, 아이팟 터치, 아이패드에서 업데이트를 확인하고 직접 다운로드 받을 수 있다.
