(뉴스렉카)

Web3.0 보안 분야의 선두 주자인 서틱(CertiK)은 CertiK의 엔지니어가 애플 비전 프로(Apple Vision Pro) MR(혼합 현실) 헤드셋에서 주요 취약점을 발견해 그 같은 성과를 애플로부터 인정받았다고 발표했다.

이는 애플이 CertiK에 대해 공개적으로 사의를 표명한 여섯 번째 사례로, 현재 CertiK은 애플로부터 가장 많은 감사 표시를 받은 Web3.0 보안 기관으로 자리매김하게 됐다. 이와 더불어 삼성전자도 CertiK의 신속한 리스크 경고에 대해 공개적으로 감사를 표한 바 있다.

이 취약점은 CertiK의 엔지니어와 5명의 다른 컴퓨터 과학자들이 공동으로 포착한 성과이며, 애플 비전 프로의 시선 추적(Eye-Tracking) 데이터가 비밀번호, PIN 코드 및 메시지와 같은 민감한 정보를 해독하는 데 어떻게 악용될 수 있는지를 밝혀내는 데 성공했다.

연구팀은 WIRED와 독점적으로 ‘GAZEploit’라는 공격 방식을 공유했다. 비전 프로 기록에서 추출한 두 가지 생체 특성인 EAR(eye aspect ratio)과 시선 추적을 통해 사용자의 안구 움직임을 분석한 결과, 연구자들은 사용자가 비전 프로의 가상 키보드에서 입력한 내용을 재구성할 수 있었다. 이러한 패턴을 관찰해 팀은 메시지를 92%의 정확도로 재구성하고, 비밀번호를 77%의 정확도로 추론할 수 있었다.

해당 취약점은 2024년 4월에 애플에 보고됐으며, 같은 해 7월에 애플은 이 문제를 해결하기 위한 소프트웨어 업데이트를 진행했다. 이 연구는 새로운 생체 인식 기술과 관련된 개인정보보호 리스크가 증가하고 있음을 보여주는 한편, 기업과 사용자의 개인정보를 보호하기 위한 강력한 보안 조치가 필요함을 더욱 부각시킨 사례이다.

사이버 보안 분야의 신뢰받는 권위자로서 CertiK은 주요 기술과 민감한 데이터를 보호하는 데 최일선에 서 있다. 2020년 이후로 CertiK은 70건 이상의 화이트 햇 작업을 수행하고, 4000건 이상의 보안 사고를 보고하며, 11만5000개의 코드 취약점을 발견했다. 이를 통해 3600억달러 이상의 디지털 자산을 잠재적 손실로부터 보호했으며, 주요 취약점을 발견해 Sui에서 가장 높은 포상금을 받기도 했다. CertiK은 신뢰와 혁신의 문화를 조성함으로써 새로운 사이버 보안 기준을 설정하고, 제품과 서비스를 지속적으로 최적화해 고객의 보안 요구를 맞춰나가는 데 최선을 다하고 있다.