Apple Hide My Email 취약점, 개인 이메일 주소 노출시키다
Apple Hide My Email 취약점, 개인 이메일 주소 노출시키다
Apple의 Hide My Email 서비스는 실제 이메일 주소와 제3자 사이의 중개자 역할을 하여 iCloud+ 사용자의 개인정보를 보호하도록 설계되었으나, 생성된 별칭(alias) 뒤에 숨겨진 영구 이메일 주소를 공격자가 발견할 수 있게 하는 취약점이 포함되어 있습니다. 1년 전 Apple에 보고되었음에도 불구하고, 2026년 6월 30일 기준으로 해당 문제는 패치되지 않은 상태로 남아 있습니다.
이메일 마스킹의 패치되지 않은 취약점
EasyOptOuts의 연구원들은 Hide My Email 시스템에서 서비스가 제공하는 익명성을 우회하는 취약점을 발견했습니다. Hide My Email의 주요 목적은 사용자의 실제 주소(예: realname@example.com)를 숨기기 위해 무작위의 고유한 주소(예: random.email.22@icloud.com)를 생성하는 것입니다. 이러한 취약점은 공격자가 이 과정을 역으로 수행하여 사용자의 실제 신원을 식별할 수 있게 합니다.
추가적인 악용을 방지하기 위해 연구원들은 취약점의 구체적인 기술적 세부 사항을 공개하지 않았습니다. 그러나 404 Media의 Joseph Cox는 이 취약점을 검증했으며, 새로운 Hide My Email 별칭을 제3자에게 제공하면 해당 제3자가 계정의 Apple ID 이메일 주소를 발견할 수 있음을 시연했습니다.
공개 타임라인 및 Apple의 대응
발견 및 보고 과정은 해결책의 부재와 수정 상태에 대한 Apple의 상충하는 보고로 특징지어집니다.
- 2025년 6월 11일: EasyOptOuts가 취약점을 발견하고 Apple에 보고했습니다. Apple은 해당 서비스가 숨겨진 주소를 발견할 수 있도록 설계되지 않았음을 확인했습니다.
- 2025년 6월 13일: 상세한 재현 방법이 Apple에 제출되었습니다.
- 2025년 7월 9일: 숨겨진 주소를 발견할 수 있게 하는 두 번째의 별도 취약점이 보고되었습니다.
- 2026년 3월 3일: Apple은 취약점이 수정되었다고 주장했습니다. 2026년 3월 19일 연구원들의 검증 결과, 취약점이 여전히 활성화되어 있음이 증명되었습니다.
- 2026년 5월 22일: 연구원들은 취약점이 처음에 믿었던 것보다 더 큰 심각성과 범위를 가지고 있다고 보고했습니다. 이 보고는 Apple에 의해 인정되지 않았습니다.
- 2026년 6월 30일: Apple은 다시 한번 취약점이 수정되었다고 주장했으나, 이후 연구원들의 검증 결과 패치되지 않은 상태로 남아 있음이 확인되었습니다.
커뮤니티 분석 및 기술적 추측
구체적인 익스플로잇(exploit)은 공개되지 않았으나, 기술 커뮤니티에서는 유출출의 잠재적 메커니즘에 대해 추측하고 있습니다. 일부는 취약점이 이메일 생태계가 전달 불가능한 오류를 처리하는 방식이나 SMTP 프로토콜 노출과 관련이 있을 수 있다고 제안합니다.
한 이론은 Hide My Email 주소로 과도하게 큰 첨부 파일을 포함한 이메일을 보내면, 메시지를 거부하는 목적지 이메일 서버(사용자의 실제 주소)로부터 응답을 받게 되며, 이로 인해 응답 헤더에서 실제 주소이 유출될 수 있다고 가정합니다.
일부 관찰자들은 위험 수준에에 대해 의문을 제기하며, 취약점이 이메일 프로토콜 자체의 구조적 트레이드오프이거나, Apple이 별칭을 전용 private.icloud.com 도메인으로 이동시키는 등의 인프라 변경을 통해 완화 조치를 구현하고 있을 수 있다고 언급했습니다. 다른 이들은 Apple의 소통 방식에 대해 불만을 표하며, 다른 Apple 이메일 시스템 보고 사례와 유사한 경험을 언급했습니다.
\n## 사용자 영향 및 위험 완화
계정 가입이나 무료 체험을 위해 Hide My Email을 사용하는 사용자는 공격자가 자신의 별칭을 타겟팅할 경우 영구 이메일 주소가 노출될 위험이 있습니다. 연구원들은 Apple이 모든 Hide My Email 사용자에게 위험을을 알려야 하며, 영구적인 수정이 이루어지기까지는 새로운 별칭 생성에 제한을을 것을 권장합니다.