아이폰 사용자라면 지금 하던 일을 멈추고 당장 설정 앱부터 열어보는 게 좋겠다. 애플이 iOS 26.5 버전을 배포하며 유저들에게 ‘즉시 업데이트할 것’을 강력하게 권고하고 나섰기 때문이다. 이번 업데이트는 단순히 자잘한 버그나 잡는 마이너 패치가 아니다. 무려 60개가 넘는 굵직한 보안 취약점들이 한꺼번에 수정된, 꽤나 무겁고 시급한 업데이트다. 늘 그렇듯 애플은 구체적인 보안 결함의 내역을 낱낱이 밝히지 않고 있는데, 이는 해커들이 취약점의 디테일을 파악해 악용하기 전에 유저들이 기기를 안전하게 업데이트할 수 있도록 최소한의 시간을 벌어주기 위한 애플 특유의 방식이다.
심장부까지 파고든 보안 위협
현재까지 드러난 파편적인 정보들만 모아봐도 상황의 심각성은 충분히 짐작이 간다. iOS 운영체제의 핵심인 커널에서만 6개의 결함이 발견됐다. 그중 CVE-2026-28951로 명명된 취약점은 꽤나 치명적인데, 악의적으로 설계된 앱이 시스템의 최고 권한(root)을 통째로 탈취할 수 있는 빌미를 제공하기 때문이다. 여기에 사파리 브라우저의 렌더링 기반이 되는 웹킷(WebKit) 엔진에서도 10여 개의 버그가 쏟아져 나왔다. 삭제된 알림을 남이 훔쳐볼 수 있었던 황당한 버그를 잡기 위해 iOS 26.4.2 긴급 패치를 내놓은 지 고작 2주 만에 벌어진 일이다.
애플은 구형 기기 사용자들을 위해 iPadOS 17.7.11, iOS 16.7.16, iOS 15.8.8은 물론 iOS 18.7.9까지 줄줄이 패치를 내놓으며 알림 관련 결함과 보안 이슈들을 막아냈다. 흥미로운 점은, 최신 아이폰 유저들이 굳이 새 운영체제로 넘어가지 않고 기존 iOS 18버전에 머물며 보안 업데이트만 쏙쏙 골라 챙길 수 있도록 허용했던 방식이 이번만큼은 통용되지 않는다는 것이다. 워낙 결함의 규모가 크고 치명적이다 보니, 꼼수 없이 iOS 26.5로 넘어가는 것만이 유일한 해결책이 된 셈이다.
보안 업계의 시선도 이와 크게 다르지 않다. ESET의 글로벌 사이버 보안 고문인 제이크 무어는 아이폰을 노리는 스파이웨어의 위험성을 거듭 경고한다. 특히 웹킷 제로데이(Zero-day) 같은 취약점은 유저가 무언가를 다운로드하거나 클릭하는 일련의 상호작용이 전혀 없더라도, 그저 교묘하게 조작된 웹페이지만 방문하면 기기가 감염될 수 있어 그 파급력이 상상을 초월한다. 그가 “역대급 규모의 보안 패치 하나만 보더라도 지금 당장 업데이트 버튼을 눌러야 할 이유는 차고 넘친다”고 단언하는 데에는 그만한 이유가 있다.
초록색 말풍선과의 평화 협정: RCS 도입
보안 이슈가 이번 업데이트의 채찍이라면, 유저들이 반길 만한 확실한 당근도 준비되어 있다. 바로 RCS(Rich Communication Services)의 정식 편입이다. 애플 생태계 안에서 iMessage는 언제나 강력한 암호화를 바탕으로 유저의 프라이버시를 지켜왔지만, 안드로이드 기기와 문자를 주고받을 때는 낡디낡은 SMS 규격으로 회귀하며 사실상 보안의 사각지대에 놓일 수밖에 없었다.
하지만 오늘부터 안드로이드와 iOS 사이의 견고했던 장벽에 의미 있는 틈이 생겼다. 애플과 구글이 주도한 업계 간 협력이 마침내 결실을 맺으며, 통신사가 지원한다는 전제하에 iOS 26.5를 설치한 아이폰 유저와 최신 구글 메시지 앱을 사용하는 안드로이드 유저 사이에도 종단간 암호화(E2E)가 적용된 RCS 메시징 베타 서비스가 시작된 것이다.
이제 기기 간에 오가는 대화는 철저하게 암호화되어 전송 도중 그 누구도 내용을 훔쳐볼 수 없다. 이 기능은 기본적으로 활성화되며, 채팅창에 새롭게 나타난 자물쇠 아이콘을 통해 대화가 안전하게 보호받고 있는지 직관적으로 확인할 수 있다. 물론 애플 기기 생태계 안에서 주고받는 소통에서는 여전히 iMessage가 가장 매끄럽고 완벽한 경험을 제공한다. 하지만 텍스트 메시지의 세대교체라는 큰 흐름 속에서, 스마트폰 플랫폼을 가리지 않고 서로의 프라이버시를 지킬 수 있는 기반이 마련되었다는 사실 자체로 꽤나 상징적인 변화가 아닐 수 없다.
