Apple 'Hide My Email' vulnerability reveals peoples' real email addresses
TL;DR Highlight
iCloud+ 구독자가 프라이버시 보호용으로 사용하는 Apple의 Hide My Email 서비스에 1년 넘게 패치되지 않은 취약점이 있어, 공격자가 숨겨진 실제 이메일 주소를 알아낼 수 있다.
Who Should Read
Apple iCloud+의 Hide My Email 기능을 개인정보 보호 목적으로 사용 중인 사람, 또는 이메일 프라이버시와 관련된 서비스를 개발하거나 운영 중인 개발자.
Core Mechanics
- Apple의 Hide My Email은 iCloud+ 구독자가 실제 이메일 주소를 숨기기 위해 임시 랜덤 주소(예: random.email.22@icloud.com)를 생성해 사용하는 기능인데, 이 랜덤 주소 뒤에 숨겨진 실제 이메일 주소를 공격자가 알아낼 수 있는 취약점이 발견됐다.
- 개인정보 보호 서비스인 EasyOptOuts의 공동창업자 Ben과 Tyler가 2025년 6월 11일 첫 번째 취약점을 발견해 Apple에 보고했고, 같은 해 7월 9일에는 유사하지만 다른 두 번째 취약점도 추가로 제보했다.
- Apple은 2026년 3월 3일과 6월 30일, 두 차례에 걸쳐 '취약점을 수정했다'고 통보했지만, 연구자들이 최초 보고서의 재현 절차를 그대로 따라 검증한 결과 두 번 모두 패치가 실제로는 이루어지지 않았음을 확인했다.
- 2026년 5월에 연구자들은 취약점의 심각도와 영향 범위가 처음 파악했던 것보다 훨씬 크다는 사실을 추가로 발견해 Apple에 보고했지만, Apple은 이 추가 보고에 대해 아무런 답변도 하지 않았다.
- 발견 후 1년이 지나도 수정되지 않자 연구자들은 사용자들이 스스로 위험을 판단할 수 있도록 취약점의 존재를 공개 披露(public disclosure)하기로 결정했다. 단, 익스플로잇(exploit, 취약점을 실제로 공격하는 방법)의 구체적인 기술 상세는 패치 전까지 공개하지 않기로 했다.
- Apple ID에 연결된 '실제 이메일 주소'가 노출된다는 점이 특히 심각한데, Apple ID는 사람에 따라 앱스토어, iCloud, 결제 정보 등 디지털 생활 전반의 관문 역할을 하기 때문이다. 게다가 많은 사람들이 실명이 포함된 이메일을 Apple ID로 사용한다.
- 연구자들은 Apple에 ▲취약점이 수정되기 전이라도 새로운 Hide My Email 주소 생성을 차단할 것 ▲모든 Hide My Email 사용자에게 위험을 고지할 것을 요청했다.
- 404 Media의 기자 Joseph Cox가 제3자 검증자로서 취약점의 실재를 확인했으며, PoC(Proof of Concept, 취약점이 실제로 동작함을 보여주는 증명) 시연에서 Hide My Email 별칭을 받은 연구자가 해당 별칭 소유자의 실제 Apple ID 이메일을 알아내는 데 성공했다.
Evidence
- 한 댓글 작성자는 자신의 경험을 통해 구체적인 누출 경로 하나를 직접 발견했다. 본인 도메인에 DMARC 레코드(이메일 발신자 인증 정책)가 설정되어 있는데, Hide My Email을 통해 답장을 보낼 때 iCloud SMTP 서버가 'X-DMARC-Info: pdomain=example.org' 같은 진단 헤더를 이메일에 삽입해서 발신자가 어느 도메인의 메일을 쓰는지 노출된다고 지적했다. 이 경우 Fastmail 사용자라면 Fastmail을 쓴다는 사실까지 드러날 수 있다고 했다.
- 또 다른 사용자는 가능한 익스플로잇 경로를 추측해 공유했다. Hide My Email 주소로 대용량 첨부파일이 포함된 이메일을 보내면, 수신 서버가 용량 초과로 반송 이메일(bounce-back)을 실제 이메일 주소로 보내면서 주소가 노출될 수 있다는 시나리오를 제시했다.
- Apple의 느린 취약점 대응에 대해, 과거 Apple 이메일 시스템의 다른 취약점을 보고한 경험이 있는 사용자가 '내 경험과 똑같다. Apple은 자사 이메일 시스템에서 무슨 일이 벌어지는지 알지도, 신경 쓰지도 않는 것 같다'고 공감했다.
- 취약점의 실제 위험도에 대해서는 회의적인 시각도 있었다. 한 댓글에서는 '구체적인 기술 상세 없이는 위험성을 제대로 평가할 수 없다'며, 404 Media의 PoC 시연이 엄밀한 증거라기보다는 사전에 신원을 알고 있는 사람 사이에서 이루어진 것이라고 지적했다. 또한 Apple이 내부적으로 공격 시도를 탐지하는 방식으로 이미 완화 조치를 취하고 있을 수도 있다는 가능성도 언급했다.
- Cloudflare Workers를 이용해 직접 Hide My Email과 유사한 기능을 구축할 수 있는 오픈소스 프로젝트(https://github.com/webmonch/hide-my-mail-cloudflare)가 대안으로 소개됐으며, Hide My Email을 수신 전용(계정 가입 등)으로만 쓰고 그 주소로 답장을 보내지 않으면 위험이 줄어드는지에 대한 논의도 있었다.
How to Apply
- 현재 Hide My Email 주소로 답장을 보내는 방식으로 이메일을 주고받고 있다면, 당장 그 사용을 중단하는 것이 좋다. 특히 본인 도메인에 DMARC 레코드가 설정되어 있다면 iCloud SMTP 서버가 도메인 정보를 노출하는 헤더를 삽입할 수 있으므로 더욱 주의해야 한다.
- Hide My Email을 계정 가입 스팸 차단 용도로만 사용하고, 해당 주소로 수신된 메일에 절대 답장하지 않는 방식으로 운용하면 적어도 SMTP 경유 노출 위험은 줄일 수 있다. 단, 이번 취약점의 전체 범위가 공개되지 않았으므로 수신만 해도 안전하다는 보장은 없다.
- 프라이버시가 중요한 서비스에 이미 Hide My Email 주소로 가입했다면, 그 서비스에서 사용하는 이메일 주소를 직접 관리할 수 있는 별도 도메인 기반 이메일이나 SimpleLogin, Cloudflare Email Routing 같은 대체 서비스로 교체하는 것을 고려하라.
- 이메일 프라이버시 기능을 직접 구현하거나 사용자에게 제공하는 서비스를 개발 중이라면, 중계 서버가 수신 메일의 원본 헤더(Received, X-DMARC-Info 등)를 그대로 전달하지 않고 새로운 봉투(envelope)로 재작성하는지 반드시 확인해야 한다.
Terminology
Related Papers
Words Speak Louder Than Code: Investigating Cognitive Heuristics in LLM-Based Code Vulnerability Detection
LLM 보안 스캐너가 코드 내용보다 '누가 썼는지', '어떻게 물어보는지'에 더 크게 반응해서 취약점을 97%까지 은폐시킬 수 있다.
Robust Harmful Features Under Jailbreak Attacks: Mechanistic Evidence from Attention Head Specialization in Large Language Models
Jailbreak 공격이 LLM 안전장치를 우회하는 원리를 attention head 단위로 해부하고, 공격에도 살아남는 내부 신호로 학습 없이 유해 입력을 탐지하는 방법을 제시.
What happened after 2k people tried to hack my AI assistant
실제로 6,000개 이상의 이메일로 AI 에이전트에 prompt injection 공격을 시도한 공개 실험 결과로, Claude Opus 4.6이 비밀 파일 유출을 한 번도 허용하지 않았지만 실험 설계의 현실성에 대한 논란이 뜨거웠다.
When Does Combining Language Models Help? A Co-Failure Ceiling on Routing, Voting, and Mixture-of-Agents Across 67 Frontier Models
여러 LLM을 조합해도 '모든 모델이 동시에 틀리는 비율(β)'이 성능 상한선이며, 업계가 쓰는 pairwise 상관계수(ρ)는 이 상한선을 예측하지 못한다.
Beyond Function Calling: Benchmarking Tool-Using Agents under Tool-Environment Unreliability
실제 환경처럼 API가 망가지거나 결과가 이상할 때 LLM 에이전트가 얼마나 잘 버티는지 측정하는 벤치마크 ToolBench-X 공개.
Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
6,038개의 LG·Samsung 스마트 TV 앱을 스캔했더니 2,058개에서 사용자의 IP를 몰래 팔아 트래픽을 중계하는 Residential Proxy SDK가 발견됐다. TV는 컴퓨터처럼 감시받지 않아서 프록시 호스트로 거의 이상적인 환경이다.
Related Resources
- https://easyoptouts.com/guides/apple-hide-my-email-is-leaking-email-addresses
- https://archive.vn/mCbBw
- https://github.com/webmonch/hide-my-mail-cloudflare
- https://www.grepular.com/Apples_Protect_Mail_Activity_Doesnt
- https://news.ycombinator.com/item?id=48559935
- https://www.theregister.com/columnists/2026/05/13/aws-patche