애플 기기를 추적하기 위해 만든 애플 에어태그가 트로이 목마로 변질될 위험이 있다고 기즈모도가 28일(현지시각) 전했다.

애플 에어태그 / 애플
애플 에어태그 / 애플
블루투스 기반의 물품 추적기인 에어태그는 좋은 의도로 설계됐다. 열쇠나 수하물 같은 중요한 물건을 추적하기 위해 개발됐다. 그러나 에어태그가 악의적인 방식으로 악용될 수 있는 설계상 결함이 있는 것으로 드러났다.

침투 테스터이자 보안 연구원인 바비 라우흐는 최근 사이버 보안 블로거 브라이언 크렙스와 함께 추적 장치를 자격 증명 도용 및 데이터 도난의 잠재적 매개체로 악용한 사실을 알아냈다. 애플의 ‘분실 모드’를 이용한 것이다.

에어태그가 부착된 물건을 분실했을 때 소유자는 ‘나의 찾기’ 앱을 통해 원격 추적할 수 있다. 에어태그는 근거리 무선 통신(NFC) 리더를 통해 스캔될 수 있는데 ‘분실모드’로 설정하면 장치와 관련된 모든 연락처 정보가 자동으로 검색자에게 표시된다.

소유자는 ‘나의 찾기’ 앱에서 전화번호나 이메일 주소를 포함해 "이 물건을 발견하신 분은 XXX로 연락 부탁합니다"와 같은 간단한 메시지를 입력할 수 있다. 에어태그가 부착된 물건을 발견한 사람은 소유자의 연락처 정보를 포함한 고유의 URL을 방문하라는 메시지를 스캔할 수 있다.

문제는 짧은 메시지 속에 연락처 외에 악성 URL 코드를 심을 수 있는 것으로 드러났다. 이는 에어태그 검색기를 피싱 사이트나 개인정보를 빼가는 악성 웹페이지로 보내는 데 사용될 수 있다는 의미다.

에어태그를 트로이 목마로 악용하는 사용자는 잃어버린 물건을 찾아주려는 선한 사마리아인을 피해자로 만들 수 있다.

하순명 기자 kidsfocal@chosunbiz.com