아이폰·아이패드·맥 등 애플 기기에서 제공되는 에어 플레이 기능이 보안에 취약한 것으로 알려졌다.

지난 20일(현지시간) 미국 사이버보안 기업 올리고는 애플의 무선 스트리밍 기능인 에어 플레이에서 총 23개의 보안 취약점을 발견했다고 밝혔다.

이번 보안 취약점은 애플의 에어 플레이 프로토콜 자체와 이를 기반으로 하는 타사 소프트웨어 개발 키트(SDK) 모두에서 확인됐다.

올리고는 해당 취약점을 ‘에어본(AirBorne)’으로 명명하고 동일한 와이파이 네트워크에 연결된 에어플레이 지원 기기에 해커가 원격으로 접근해 코드를 실행할 수 있다고 설명했다.

연구진은 이 취약점을 보스 스피커를 통해 실제로 시연했으며 스피커 화면에는 ‘에어본’이라는 문구가 표시됐다.

올리고는 이와 별도로 마이크가 탑재된 기기일 경우 해커가 이를 통해 도청 등 간첩 행위에 악용할 가능성도 있다고 밝혔다.

또한, 예측 가능한 와이파이 비밀번호가 설정된 경우 카플레이 시스템 역시 원격 코드 실행 공격에 노출될 수 있다고 설명했다.

올리고의 최고기술책임자(CTO) 갈 엘바즈는 “에어 플레이는 다양한 기기에서 널리 사용되지만 타사 기기의 경우 패치 적용까지 수년이 걸릴 수 있다”고 말했다.

이어 그는 “패치되지 않은 기기는 사실상 영구적으로 취약한 상태에 놓일 수 있다”고 경고했다.

이번 취약점은 2023년 말부터 2024년 초 사이 애플에 보고됐으며 올리고는 이후 수개월간 애플과 협력해 해당 취약점을 수정했다.

관련 보안 패치는 iOS, 아이패드OS, 맥OS, 비전OS 운영체제에 반영돼 지난 3월 31일 배포됐다.

한편 애플은 에어 플레이 SDK를 사용하는 타사 기기를 위한 보안 패치도 별도로 제공했으며 에어 플레이를 통한 공격 가능성은 기술적으로 제한적이라고 밝혔다.