애플 iCloud+ 프라이버시 기능 'Hide My Email'에서 발견된 취약점으로, 생성된 가짜 이메일 주소만으로 실제 iCloud 계정을 약 5분 만에 추적할 수 있는 것으로 확인됐다. 보안 연구원 타일러 머피(Tyler Murphy)가 2025년 6월 최초로 신고했으나, 애플은 1년 넘게 근본적인 패치를 내놓지 않고 있다.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
애플이 iCloud+ 구독자에게 제공하는 'Hide My Email(이메일 숨기기)' 기능은 앱이나 웹사이트에 가입할 때 실제 이메일 주소 대신 사용할 수 있는 일회용 가짜 주소를 생성해 프라이버시를 보호해준다고 알려져 있습니다. 그런데 이 기능에서 1년 넘게 수정되지 않은 심각한 보안 취약점이 발견돼 논란이 되고 있습니다.
보안 업체 EasyOptOuts의 공동 창립자이자 보안 연구원인 타일러 머피(Tyler Murphy) 는 Hide My Email로 생성된 무작위 별칭에서 사용자의 실제 iCloud 이메일 주소를 역추적할 수 있는 버그를 발견했습니다 . 404 Media와 함께 진행한 테스트에서, 갓 생성한 Hide My Email 주소를 약 5분 만에 실제 애플 ID 이메일로 연결하는 데 성공했습니다
. 이 취약점은
@icloud.com과 @privaterelay.appleid.com 두 유형의 주소 모두에서 작동했으며, 테스트한 모든 새로 생성된 별칭에서 100% 성공했다고 연구원은 밝혔습니다 .
Hide My Email은 iCloud+의 핵심 프라이버시 기능으로, 사용자가 생성한 익명의 이메일 주소로 온 메시지를 실제 받은 편지함으로 전달하면서도 실제 주소는 절대 노출되지 않는다는 약속을 내걸고 있습니다 . 이번 버그는 그 약속을 완전히 깨뜨립니다. 생성된 별칭에 접근할 수 있는 모든 주체(웹사이트, 데이터 브로커, 악의적인 해커)가 사용자의 실제 이메일을 알아낼 수 있게 되어, 프라이버시 보호, 추적 방지, 스팸 차단이라는 기능의 목적 자체를 무의미하게 만듭니다
.
@private.icloud.com 을 사용한다고 발표했습니다. 이는 기존의 @icloud.com과 @privaterelay.appleid.com을 대체하는 것입니다 이 변경은 근본적인 취약점을 전혀 해결하지 못합니다. 오히려 다른 방식으로 프라이버시를 더 악화시킨다는 비판을 받고 있습니다 . 기존에는 Hide My Email 별칭(예:
abc123@icloud.com)이 일반 개인 iCloud 이메일 주소와 구별이 불가능해, 웹사이트 입장에서는 사용자가 익명인지 알 수 없었습니다 . 하지만 새로운
@private.icloud.com 도메인은 모든 주소가 프라이버시 별칭임을 명백히 표시하게 되어, 웹사이트나 서비스가 익명 가입을 쉽게 차단, 플래그 지정, 또는 거부할 수 있게 됩니다 . 프라이버시 옹호론자들은 이 조치가 "모호함을 완전히 제거"하여 기능의 핵심 목적을 무력화시킨다고 비판합니다
.
2026년 7월 1일 현재, 핵심 취약점은 여전히 패치되지 않은 상태로, 최초 신고 후 1년이 넘도록 방치되고 있습니다 .
애플이 1년 넘게 역추적 취약점을 진정으로 수정하지 않고 있다는 사실(2026년 3월에 패치했다고 주장했지만 실제로는 효과가 없었음)은 애플의 보안 대응 프로세스와 iCloud+ 프라이버시 기능이 충분한 엔지니어링 관심을 받고 있는지에 대한 의문을 제기합니다 .
2026년 3월, 여러 매체는 애플이 위협 조사 과정에서 FBI에 Hide My Email 별칭과 연결된 실제 iCloud 이메일 주소를 제공했다고 보도했습니다 . 법원 문서에 따르면 애플은 이 기능을 사용한 최소 2명의 iCloud+ 구독자의 신원을 넘겼습니다
. 애플의 서비스 약관에는 적법한 요청 시 이와 같은 정보 제공이 가능하다고 명시되어 있지만, 이번 사건은 애플이 얼마나 많은 정보를 보유하고 있으며, 실제로 넘길 수 있는지를 생생하게 보여주며, '익명' 이메일 마스킹이라는 마케팅 이미지와 배치됩니다
.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
애플 iCloud+ 프라이버시 기능 'Hide My Email'에서 발견된 취약점으로, 생성된 가짜 이메일 주소만으로 실제 iCloud 계정을 약 5분 만에 추적할 수 있는 것으로 확인됐다.
애플 iCloud+ 프라이버시 기능 'Hide My Email'에서 발견된 취약점으로, 생성된 가짜 이메일 주소만으로 실제 iCloud 계정을 약 5분 만에 추적할 수 있는 것으로 확인됐다. 보안 연구원 타일러 머피(Tyler Murphy)가 2025년 6월 최초로 신고했으나, 애플은 1년 넘게 근본적인 패치를 내놓지 않고 있다.
애플이 발표한 @private.icloud.com 도메인 변경은 취약점을 해결하지 못할 뿐만 아니라, 웹사이트가 익명 가입을 쉽게 차단할 수 있게 만들어 오히려 프라이버시를 악화시킨다는 비판을 받고 있다.