보안 연구원들은 Apple iCloud+의 "이메일 주소 숨기기" 개인 정보 보호 기능에 보안 결함이 있음을 밝혔습니다. 이로 인해 공격자는 보호 메커니즘을 우회하여 사용자의 실제 이메일 주소를 얻을 수 있습니다. 이 취약점은 1년 넘게 존재해 왔으며 Apple은 아직 이를 수정하지 않았습니다.

이 기능은 사용자가 임의의 익명 이메일 주소(예: [email protected])를 생성하여 실제 이메일 등록 서비스를 대체할 수 있도록 하며, 전달된 모든 이메일은 실제 주소를 노출하지 않습니다. 그러나 404 Media에 따르면 Tyler Murphy 연구원과 그의 팀은 이 취약점을 발견하고 검증했습니다. 테스트에서 새로 생성된 숨겨진 이메일 주소를 테스트에 사용했으며, 약 5분 후에 이와 연결된 실제 iCloud 이메일 주소를 성공적으로 탐지했습니다.

머피는 2025년 6월 이 문제를 처음으로 애플에 보고했고, 애플은 나중에 조사 중이라고 밝혔습니다. 올해 3월 애플은 "최근 시스템 변경 사항에서 해결됐다"고 밝혔지만 머피는 취약점이 여전히 존재한다는 사실을 발견해 5월에도 다시 보고했다. 애플은 아직 조사 중이며 향후 보안 업데이트에서 수정할 계획이라고 답변했지만 아직 구체적인 일정은 제시하지 않았습니다. 머피는 "아직까지 문제가 해결되지 않은 이유는 알 수 없지만 더 이상 기다릴 수는 없다"고 말했다. "이 기능을 사용하는 사용자는 공격자가 숨겨진 이메일 주소를 발견할 수 있다는 사실을 알 권리가 있습니다."

이 취약점의 위험은 공개 "인체 검색" 웹 사이트가 이메일 주소를 다른 개인 정보와 쉽게 연결할 수 있으며 개인 정보를 보호하기 위해 "숨겨진 이메일 주소"에 의존하는 사용자가 위험에 처할 수 있다는 것입니다. 동시에 Apple은 이전에 이 기능의 익명 이메일 도메인 이름을 @icloud.com에서 @private.icloud.com으로 이동할 계획을 발표했습니다. 이를 통해 웹사이트와 서비스에서 "숨겨진 이메일 주소"에 의해 생성된 익명 이메일 주소를 더 쉽게 식별하고 차단할 수 있어 개인정보 보호 효과가 더욱 약화됩니다.