이메일을 이용해 스마트폰 문자 메시지 발신자를 마음대로 조작할 수 있는 심각한 보안 취약점이 해결됐다.
미국 캘리포니아 샌디에이고대(UC샌디에이고) 컴퓨터과학 연구팀은 최근 애플과 구글의 스마트폰은 물론 버라이즌, T모바일 등 주요 이동통신사에서 발견된 문자 메시지 스푸핑(가짜 발신자) 취약점을 해결했다고 밝혔다. 연구 결과는 지난 5월 18일부터 21일까지 샌프란시스코에서 열린 '제47회 IEEE 보안 및 개인정보보호 심포지엄'에서 발표됐다.
이번에 발견된 취약점은 통신사들이 제공하는 '이메일-문자 메시지 변환' 기능에서 비롯됐다. 이는 이메일을 보내면 수신자에게 문자 메시지 형태로 전달되는 서비스다.
문제는 이메일과 문자의 내부 형식이 달라 변환 과정에서 정보 손실이나 왜곡이 발생할 수 있다는 점이다. 공격자는 이 허점을 악용해 특수문자 등을 조합, 발신자 정보를 실제와 다르게 꾸며 지인을 사칭할 수 있었다. 심지어 기존에 지인과 나누던 대화창에 사칭 문자를 끼워 넣는 것도 가능했다.
논문의 제1 저자인 수만스 라오 연구원은 "이메일을 문자로 변환하는 데 정해진 표준이 없어 각종 취약점의 문을 열어줬다"고 지적했다.
연구팀은 취약점 발견 직후 관련 기업들과 긴밀히 협력해 보안 패치를 개발했다. 이에 따라 버라이즌, T모바일, 구글, 애플 등은 이메일 주소 필드가 문자로 변환되는 방식을 수정해 취약점을 해결했다. 특히 버라이즌은 오는 2027년 3월 말까지 해당 기능을 완전히 종료할 계획이다.
스테판 새비지 UC샌디에이고 교수는 "사람들은 문자 메시지에 무결성이 보장된다고 생각하지만, 발신자의 신원을 100% 신뢰할 수는 없다"며 문자 시스템의 근본적인 취약성에 대한 경각심을 가져야 한다고 강조했다.