애플 히든 마이 이메일, 1년째 방치된 실주소 노출 버그
작성일
히든 마이 이메일 버그, 테스트한 주소 100% 실제 이메일 노출
연구자가 1년여 전 경고했지만 애플은 아직 수정하지 못했다

애플의 이메일 익명화 기능 '히든 마이 이메일(Hide My Email)'에 생성된 가짜 주소로부터 실제 이메일 주소를 역추적할 수 있는 버그가 발견됐다. 보안 연구자 타일러 머피(Tyler Murphy)는 1년여 전 이 문제를 애플에 신고했지만 아직 해결되지 않았다고 밝혔다. 머피가 자원자들을 대상으로 진행한 제한적 테스트에서는 히든 마이 이메일 주소 100%가 실제로 뚫렸다. 404미디어(404 Media)는 자체 보유한 히든 마이 이메일 주소로 이 취약점을 직접 검증했다고 밝혔다. 애플이 장기간 문제를 해결하지 못하면서 머피는 결국 취약점 존재 사실을 공개하기로 결정했다.
100%가 뚫린 익명 주소
히든 마이 이메일은 아이클라우드플러스(iCloud+) 구독자가 서비스 가입이나 제3자와의 연락 시 실제 이메일 대신 사용할 수 있도록 무작위 별칭 주소를 생성해주는 기능이다. 스팸, 데이터 유출, 원치 않는 신원 노출로부터 사용자의 실제 이메일을 보호하기 위해 설계됐다.
그러나 머피는 "우리는 문제의 전체 범위를 알지 못하지만, 자원자들과 진행한 제한적 테스트에서는 히든 마이 이메일 주소 100%가 뚫릴 수 있었다"고 말했다. 그는 EasyOptOuts의 공동창업자로, 이 회사는 데이터 브로커 사이트에서 개인정보를 삭제해주는 유료 서비스를 제공한다. 머피는 "무료로 접근 가능한 사람 검색 사이트들이 이메일 주소를 다른 개인정보와 쉽게 연결시켜준다"며 "안전을 위해 히든 마이 이메일에 의존하는 사람들이 위험에 노출될 수 있다"고 우려했다. 404미디어는 취약점이 여전히 악용 가능하다는 이유로 구체적인 기술적 세부사항은 공개하지 않기로 했다.

1년 넘게 이어진 애플과의 핑퐁
머피에 따르면 그는 2025년 6월(현지시각) 문제를 재현하는 방법과 함께 애플에 취약점을 신고했다. 애플은 약 한 달 뒤 신고를 접수하고 조사 중이라고 답했다. 이후 2026년 3월(현지시각) 애플은 "최근 시스템 변경으로 신고된 문제를 해결했다"고 머피에게 전했지만, 그가 직접 확인한 결과 문제는 여전히 남아 있었다.
머피가 추가 정보를 제공하자 애플은 다시 조사 중이라고 답했다. 2026년 5월(현지시각)에도 애플은 여전히 조사가 진행 중이라며 조사가 끝날 때까지 공개하지 말아 달라고 요청했다. 머피는 신규 히든 마이 이메일 주소 생성을 잠정 중단해 위험을 줄이자고 제안했지만, 애플이 이를 실행했다는 정황은 없다. 5월 말(현지시각) 애플은 "향후 몇 주 안에" 보안 업데이트로 문제를 해결할 계획이라고 밝혔다. 하지만 그 이후에도 수정이 이뤄지지 않자 머피는 "더 이상 기다리는 게 편치 않다"며 취약점 존재 사실을 공개하기로 했다. 그는 "히든 마이 이메일 사용자들은 공격자가 자신들의 숨겨진 이메일 주소를 알아낼 수 있다는 사실을 알 권리가 있다"고 강조했다.
개인정보 유출 위험과 도메인 정책 논란
이번 버그가 특히 우려되는 이유는 사람 검색 사이트들이 이메일 주소 하나만으로도 이름, 주소 등 다른 개인정보를 손쉽게 연결해낼 수 있다는 점이다. 머피는 무료로 접근 가능한 다수의 사람 검색 데이터베이스가 이메일 주소를 개인의 다른 정보와 연결할 수 있다고 지적했다. 스토킹이나 괴롭힘을 피하기 위해 히든 마이 이메일을 사용하는 이들에게는 실제 위협으로 이어질 수 있는 대목이다.
한편 애플은 최근 히든 마이 이메일 주소에 새로운 도메인인 'private.icloud.com'을 향후 사용하겠다고 발표한 바 있다. 일부 사용자들은 기업들이 이 도메인 자체를 차단해 히든 마이 이메일 기능 사용을 제한할 수 있다는 점에서 불만을 표한 것으로 전해졌다. 이번 유출 버그와는 별개의 이슈지만, 히든 마이 이메일을 둘러싼 신뢰 문제가 동시에 겹치는 모습이다.
반복되는 애플 프라이버시 기능 논란
애플은 오랫동안 사용자 프라이버시를 브랜드 정체성의 핵심으로 내세워왔지만, 관련 기능이 실제로는 제대로 작동하지 않았다는 사례가 이번이 처음은 아니다. 애플은 아이폰 애널리틱스 프라이버시 설정을 꺼도 앱들이 계속 애플에 분석 데이터를 전송한다는 보도가 나온 뒤 2022년 소송을 당한 적이 있다. 2023년에는 연구자들이 모바일 사용자의 와이파이 연결을 무작위 MAC 주소로 익명화해준다는 기능이 실제로는 사용자의 실제 MAC 주소를 그대로 노출해 "쓸모없다"는 평가를 받은 사례도 있었다.
이번 히든 마이 이메일 버그 역시 신고 후 1년 넘게 해결되지 않으면서 애플의 프라이버시 약속에 대한 신뢰에 다시 한번 의문을 던지고 있다. 테크크런치(TechCrunch)는 애플에 추가 정보를 요청했으며 답변이 오면 업데이트할 예정이라고 밝혔다. 애플이 실제로 문제를 해결하기 위한 보안 업데이트를 언제 내놓을지는 아직 확인되지 않았다.