핵심 요약:
- 애플의 Hide My Email 기능에 사용자의 실제 이메일 주소를 노출하는 취약점이 존재함
- 보안 연구원 타일러 머피가 2025년 6월 애플에 버그를 신고했으나 패치되지 않음
- 이 결함은 애플의 프라이버시 브랜드를 위협하고 iCloud+ 구독 성장에 압박을 가할 수 있음
핵심 요약:

수백만 iCloud+ 가입자가 실제 받은편지함을 숨기기 위해 사용하는 애플의 Hide My Email 기능에서 공격자가 해당 숨겨진 주소를 알아낼 수 있는 취약점이 발견됐다. 애플은 1년 넘게 이 문제를 패치하지 않고 있다.
"Hide My Email 사용자들은 공격자가 자신의 숨겨진 이메일 주소를 알아낼 가능성이 있다는 사실을 알아야 할 권리가 있습니다,"라고 데이터 삭제 서비스 EasyOptOuts의 공동 창립자 타일러 머피가 404 Media에 말했다.
머피는 2025년 6월 이 버그를 발견해 애플에 신고했다. 애플은 한 달 후 조사 중이라고 답변했다. 2026년 3월, 애플은 시스템 변경을 통해 문제가 해결됐다고 주장했지만, 머피는 취약점이 여전히 악용 가능한 상태임을 확인했다. 자원봉사자들과 진행한 테스트에서 Hide My Email 주소의 100%가 취약한 것으로 나타났으며, 404 Media도 자체 검증을 통해 이를 확인했다.
이 버그는 애플 iCloud+ 서비스의 핵심 판매 포인트를 훼손한다. iCloud+는 Hide My Email, iCloud Private Relay, HomeKit Secure Video 등 프라이버시 기능을 위해 구독료를 청구하는 서비스다. 애플 주식은 선행 주당순이익의 약 30배 수준에서 거래되고 있으며, iCloud 구독을 포함한 서비스 매출은 2025 회계연도에 263억 달러에 달해 하드웨어 판매 둔화 속에서 핵심 성장 동력 역할을 하고 있다.
머피에 따르면, 이 취약점을 통해 Hide My Email 별칭에 접근할 수 있는 사람이라면 누구나 수분 내에 이를 사용자의 실제 애플 ID 이메일 주소까지 추적할 수 있다. 공개적으로 접근 가능한 인물 검색 사이트를 통해 해당 이메일을 전화번호나 실제 주소 등 다른 개인 정보와 연결하는 것도 쉬워, 프라이버시 위험이 애플 생태계를 넘어 확대된다.
애플은 이 취약점의 기술적 세부 사항을 공개하지 않았으며, 404 Media는 적극적인 악용을 방지하기 위해 구체적인 내용을 공개하지 않았다. 404 Media는 2026년 7월 1일 자체 생성한 주소를 사용해 해당 버그가 여전히 활성화되어 있음을 확인했다.
애플의 프라이버시 약속이 허점을 드러낸 것은 이번이 처음이 아니다. 2022년, 애플은 iPhone 앱이 iPhone 분석 설정이 꺼져 있는 상태에서도 계속해서 분석 데이터를 애플에 전송한 사실이 밝혀져 집단 소송에 직면했다. 2023년에는 연구원들이 Wi-Fi 네트워크에서 사용자를 익명화하도록 설계된 애플의 MAC 주소 무작위화 기능이 오히려 실제 MAC 주소를 노출하고 있음을 발견했다.
시기가 피해를 더욱 키우고 있다. 2026년 6월, 애플은 개발자들에게 Hide My Email 주소를 @icloud.com 도메인으로 더 이상 생성하지 않고 @privaterelay.appleid.com으로 전환할 것이라고 밝혔으며, TechCrunch는 이 변경이 웹사이트가 익명 가입을 차단하기 더 쉽게 만들 것이라고 보도했다. 도메인 변경과 해결되지 않은 취약점이 결합되면서, 애플의 이 기능에 대한 핵심 프라이버시 약속에 대한 의문이 제기되고 있다.
투자자 입장에서 평판 리스크는 실질적이다. 애플은 프라이버시를 중심으로 브랜드 프리미엄을 구축해 왔으며, 팀 쿡 최고경영자는 반복적으로 프라이버시를 "기본적 인권"이라고 불러왔다. 이러한 신뢰의 지속적인 침식은 2025 회계연도에 263억 달러의 매출(전체 매출의 약 22%)을 기록한 서비스 부문의 iCloud+ 구독 성장에 압박을 가할 수 있다. 애플은 논평 요청에 응답하지 않았다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.