애플, 3년간 부모 통제 기능 버그 보고 묵살했다?

애플은 아이폰, 아이패드 등의 기기에서 자녀가 성인물이나 폭력적인 웹사이트에 접속하지 못하도록 하는 부모 통제 기능(Parental Controls)을 제공하고 있다. 하지만 이 부모 통제 기능에는 금지한 웹사이트에 접속할 수 있는 버그가 있었고 연구자가 2021년부터 이 문제를 계속 보고했음에도 불구하고 애플은 대응하지 않고 묵살했다는 보도가 나왔다.

아이폰과 아이패드에는 각 앱에서 얼마나 시간을 소비하는지 집계하는 스크린타임 기능이 있으며 여기서 콘텐츠 및 프라이버시 제한을 통해 부모 통제 기능을 활성화할 수 있다. 그런데 보안 연구원 안드레아스 예거스베르거는 2020년 애플이 보유한 각종 OS에서 브라우저 사파리 주소창에 특정 문자열을 입력하면 부모 통제로 설정된 웹사이트 접근 제한을 우회할 수 있다는 걸 발견했다. 또 기기 관리 소프트웨어를 사용하면 기업 내 스마트폰이나 맥북에 설정된 웹사이트 차단 기능도 우회할 수 있었다고 한다.

그는 2021년 3월 이 문제를 보안 취약점으로 애플 보안팀에 보고했다. 하지만 애플 측은 이 문제가 보안 취약점이 아니라고 주장하고 피드백 툴을 통해 신고하라고 요구했다. 이에 따라 신고해도 애플로부터 아무 반응이 없었고 문제는 그대로 방치됐다.

Apple’s Screen Time parental controls are broken, and it feels like an afterthought for the company.

The latest example? Two security researchers have been reporting a bug to Apple since 2021 that lets kids visit blocked sites.

Only after I called did Apple say it would be… pic.twitter.com/dPfPzDOYcb

— Joanna Stern (@JoannaStern) June 5, 2024

2021년 8월 다시 보고했지만 애플 보안팀은 실제 보안에 미치는 영향은 없다며 일축했다. 연구원은 애플이 문제의 의미나 심각성을 전혀 이해하지 못하고 거부했다며 분노를 느꼈다고 말했다.

연구원은 이 취약점이 다른 이들에게 알려져 SNS에서 부모 통제 기능 우회 방법으로 퍼질 걸 우려했다. 자녀와 가정에 위험할 뿐 아니라 기업에 지급된 기기에서도 웹필터를 우회할 수 있어 악의적 공격 경로가 될 수 있기 때문. 하지만 3년 동안 수차례 신고해도 애플 보안 부서는 대응하지 않았다. 이에 언론에 제보를 한 것.

기자가 실제로 아이폰과 아이패드에서 부모 통제 기능을 켠 뒤 우회 방법을 시도해보니 간단히 성인물 사이트에 접속할 수 있었다고 한다. 기자가 애플 측에 문의하자 이번 사안을 소프트웨어 문제라고 인정하고 차기 업데이트에서 수정하겠다고 밝혔다.

하지만 홍보담당자는 이번 문제가 보안 허점이 아니라고 부인하며 버그 신고 보상 대상이 아니라고 설명했다. 과거에도 스크린타임 사용시간 그래프 오류, 앱 다운로드 승인 알림 미발송 등 문제가 보고된 바 있다고 한다. 보도에선 애플 자녀 보호 시스템이 너무 대충 만든 것 같다며 부모 통제 기능 개선을 촉구했다. 관련 내용은 이곳에서 확인할 수 있다.

한편 애플은 그동안 아이폰 보안 업데이트를 받을 수 있는 보안 지원 기간을 명확히 정하지 않았지만 영국 규제 대상이 되면서 처음으로 5년이라는 보안 지원 기간을 명확히 정했다. 이에 대해 구글 임원은 애플은 삼성전자나 구글보다 보안 지원 기간이 짧다고 주장했다.

지난 4월 29일, 영국 제품 보안 및 통신 인프라 규제(PSTI)가 발효됐다. 이 규제에 따라 영국에서 인터넷에 대응하는 제품을 제조, 수입, 배포하는 기업은 특정 보안 요구사항을 준수해야 한다.

PSTI 규정에 따르면 지원 기간은 보안 업데이트가 제공되는 기간과 종료일로 표시되는 최소 기간이다. 그리고 보안 업데이트란 제조업체에 의해 발견되거나 제조업체에 보고된 보안 문제를 해결하는 소프트웨어 업데이트를 포함해 제품 보안을 보호하거나 강화하는 소프트웨어 업데이트다.

아이폰은 이런 PSTI 규제 대상이므로 애플은 PSTI 요구 사항을 준수해야 한다. 애플은 아이폰 15 프로 맥스(모델번호: A3106)에서 지원 기간을 첫 공급일로부터 최소 5년이라고 명시했다. 첫 공급일은 2023년 9월 22일 출시일이다. 그러니까 아이폰 15 시리즈는 2028년 9월 22일까지 공식적으로 보안 업데이트를 받을 수 있다.

애플이 아이폰 15 지원 기간을 5년이라고 밝힌 것에 대해 구글 안드로이드 보안 및 개인정보 보호 엔지니어링 부사장인 데이브 클라이더마허는 구글이 픽셀 8 이후 단말기에 7년간 보안 업데이트를 약속했다고 언급하며 애플은 오랫동안 5년 이상 보안 업데이트를 제공해왔으며 칭찬받아 마땅하지만 이젠 iOS가 아닌 안드로이드가 스마트폰 업계에서 최고의 보안 수명을 제공한다는 걸 인정할 때라고 밝혔다.

한편 다른 보도에선 애플은 지금까지 소프트웨어 지원 최소 보장 기간을 제공하지 않았지만 업데이트 면에서는 다른 회사보다 우수했던 경우가 많았다고 밝혔다. 예를 들어 애플은 2024년 3월 2015년 출시된 아이폰 6s에 iOS 15 보안 업데이트를 릴리스했다. 삼성전자나 구글은 소프트웨어 지원 보장 기간에서는 애플에 이기지만 아이폰 사용자가 똑같이 또는 그 이상 오래 휴대전화를 사용할 수 없다는 뜻은 아니다. 다만 애플이 최소 5년이라는 기한 이후에도 지원을 계속하기를 바랄 뿐이라는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.