아이폰6와 6S에서 본인확인 과정없이 스마트폰에 내장된 전화번호부와 사진이 노출되는 결함이 드러났다. 지난 31일 iOS 9.3의 링크 오류를 수정한 업데이트 버전 9.3.1을 배포한지 5일만이다. 아이폰 OS 업데이트가 제대로 이뤄지지 않고 있다는 비판이 일고 있다.
4일(현지시각) 애플인사이더에 따르면 호세 로드리게스라는 이용자는 아이폰이 잠금상태에서도 음성비서인 시리와 3D터치기능을 이용해 지문인증이나 패스코드 확인 과정없이 전화번호부와 사진을 노출하는 영상을 유튜브에 공개했다.
이용자는 시리를 이용해 본인확인과정을 우회하는 방법을 사용했다. 우선 홈버튼을 길게 누르거나 `시리야(Hey Siri)`라고 불러 시리를 호출한다. 시리가 뭘할지를 물으면 트위터를 검색하도록 명령한다.
트위터 검색결과에 이메일 전화번호 같은 실행가능한 주소록 데이터가 뜨면 이를 길게 꾹 눌러 `메일보내기`나 `전화번호 수정`, `전화번호 추가하기` 메뉴를 선택한다. 이렇게 하면 암호확인 과정없이 전체 전화번호부와 사진을 볼 수 있다. 트위터 뿐만 아니라 메신저 왓츠앱 친구찾기를 통해서도 암호확인 과정없이 가능했다.
애플인사이더는 이같은 결함은 시리가 트위터 계정과 포토라이브러리에 접속가능하도록 설정했을 때 나타난다고 밝혔다. 처음 시리에서 트위터 검색을 실행할 때 트위터 계정에 접속을 허용할지 묻는데 이때 패스코드나 지문인식으로 본인확인 과정을 거쳐 설정이 변경된다.
결함은 아이폰 설정에서 시리의 트위터 계정 접속 허용을 해제하면 된다. 사진도 설정에서 시리 접근을 해제하면 해야 한다.
권상희기자 shkwon@etnews.com
