출처: 블록체인투데이
[블록체인투데이 한지혜 기자] 웹3.0 보안 플랫폼 서틱(CertiK)은 지난 20일 자사의 엔지니어가 애플 비전 프로(Apple Vision Pro) MR(혼합 현실) 헤드셋에서 발견한 주요 취약점으로 인해 애플로부터 인정을 받았다고 23일 밝혔다.
이는 애플이 CertiK에 대해 공개적으로 감사를 전한 여섯 번째 사례로, 현재 CertiK은 애플에서 가장 많은 감사를 받은 Web3.0 보안 기관으로 자리 잡고 있다. 아울러 삼성도 CertiK의 신속한 리스크 경고에 대해 공개적으로 감사를 표한 바 있다.
이 취약점은 CertiK의 엔지니어와 5명의 다른 컴퓨터 과학자들이 공동으로 발견하였으며, 애플 비전 프로의 시선 추적 (Eye-Tracking) 데이터가 비밀번호, PIN 코드 및 메시지와 같은 민감한 정보를 해독하는 데 어떻게 악용될 수 있는지를 밝혀냈다.
연구팀은 WIRED와 독점적으로 ‘GAZEploit’라는 공격 방식을 공유했다. 비전 프로 기록에서 추출한 두 가지 생체 특성인 EAR (eye aspect ratio)과 시선 추정을 통해 사용자의 안구 움직임을 분석한 결과, 연구자들은 사용자가 비전 프로의 가상 키보드에서 입력한 내용을 재구성할 수 있었다. 이러한 패턴을 관찰하여 팀은 메시지를 92%의 정확도로 재구성하고, 비밀번호를 77%의 정확도로 추론할 수 있었다.
해당 취약점은 2024년 4월에 애플에 보고되었으며, 같은 해 7월에 애플은 이 문제를 해결하기 위한 소프트웨어 업데이트를 발행했다. 이 연구는 새로운 생체 인식 기술과 관련된 개인 정보 보호 리스크가 증가하고 있음을 보여주며, 기업과 사용자의 개인 정보를 보호하기 위한 강력한 보안 조치의 필요성을 강조한다.
한편 CertiK은 중요한 기술과 민감한 데이터를 보호하는 데 앞장서고 있다. 2020년 이후로 CertiK은 70건 이상의 화이트 햇 작업을 수행하고, 4,000건 이상의 보안 사고를 보고하며, 115,000개의 코드 취약점을 발견했다.
hjh@blockchaintoday.co.kr
