"사파리 웹브라우저, 웹사이트 접속 기록 노출 우려"

美 보안업체 "내부 저장소 '인덱스드DB' 처리 과정 실수"

(지디넷코리아=권봉석 기자)애플 아이폰·아이패드, 맥OS 기본 웹브라우저 사파리에 보안 취약점이 있다는 사실이 밝혀졌다. 웹사이트 운영자가 특별한 수고 없이도 접속한 이용자의 웹사이트 이용 기록을 확인할 수 있다.

16일(현지시간) 미국 보안업체 핑거프린트JS에 따르면, 이 문제는 웹사이트가 이용자 설정 등을 웹브라우저 안에 담을 수 있는 '인덱스드DB' 처리 과정에서 발생한다.

애플 사파리 웹브라우저에서 내부 정보를 노출시키는 보안 취약점이 발견되었다. (사진=핑거프린트JS)

웹사이트는 인덱스드DB에 저장된 정보 중 자신이 저장한 정보에만 접근하도록 설계되어 있다. 그러나 핑거프린트JS는 "애플 iOS·아이패드OS 15와 맥OS에 기본 내장된 사파리가 이런 원칙을 어기고 있다"고 설명했다.

따라서 사파리로 웹서핑을 할 경우 다른 웹사이트에서 저장한 정보까지 모두 들여다볼 수 있고 어떤 웹사이트에 접속했는지 확인할 수 있다.

또 구글 계정으로 로그인한 상태에서 구글 캘린더나 G메일을 이용할 경우 이용자의 구글 ID를 추적할 수 있다.

핑거프린트JS는 "아마존 알렉사 기준 상위 1천개 웹사이트를 조사한 결과 사파리로 접속할 경우 약 30개의 웹사이트에서 접속 이력 등이 노출되는 것을 확인했다"고 밝혔다.

핑거프린트JS는 또 "이 문제를 지난 해 11월 28일 애플에 보고했지만 아직도 해결되지 않았다. 유일한 보호책은 애플이 이 문제를 해결한 뒤 업데이트를 공개하면 설치하는 것"이라고 덧붙였다.

권봉석 기자(bskwon@zdnet.co.kr)