애플(Apple)이 iOS에서 해커들이 암호화되지 않은 인증 쿠키를 사용해 웹 사이트에 접속한 사용자로 사칭할 수 있는 버그를 숨겨온 사실이 드러났다.
 
해당 취약점은 iOS가 사파리 브라우저와 임베디드 브라우저 사이에 공유되는 쿠키 저장소가 원인이다. 임베디드 브라우저는 분리된 것으로 사용자가 처음 네트워크에 접속할 때 뜨는 와이파이 목록에 의해 ‘종속 포털(captive portals)’을 결정할 때 사용된다. 종속 포털은 네트워크에 접속하려는 사용자에게 인증 또는 서비스의 동의를 요청한다.
 
이스라엘 보안 업체 Skycure가 공개한 블로그 포스트에 따르면, 이때 공유된 정보는 해커로하여금 부비트랩 역할을 하는 종속 포털을 생성해 와이파이 네트워크에 연결을 가능하게 한다. 누군가 취약한 아이폰 또는 아이패드를 연결해 사용하고 있을 때, 디바이스에 저장된 모든 HTTP 쿠키를 탈취할 수 있다.  
 
해당 이슈를 통해 공격자는 공격자가 선택한 사이트에 있는 사용자의 쿠키를 훔쳐 사용자 사칭, 사용자 본인이 아닌 공격자가 제어하는 계정으로 로그인하게 만드는 세션 고정 공격, 캐시 헤더에 HTTP 응답을 돌려줌으로써 공격자가 원하는 웹사이트에 캐시-포이즌 공격이 가능하다.
 
Skycure 연구원들은 2013년 6월에 애플에 해당 취약점에 대해 보고했지만, 지난 주 iOS 9.2.1 업데이트에서야 패치되었다. 해당 업데이트는 종속 포탈로부터 ‘독립된’ 쿠키 저장소를 포함하고 있다.
 
★IT/정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 기자> mkgil@dailysecu.com