iOS 26.3 업데이트 총정리 : 제로데이 포함 37개 보안 취약점 패치와 새 기능

최근 애플이 iOS 26.3 업데이트를 공식 배포했는데요. 이번 업데이트는 단순한 기능 추가가 아니라, 실제로 악용된 제로데이(Zero-Day) 취약점을 포함해 무려 37개 이상의 보안 취약점을 한꺼번에 수정한 대규모 보안 패치라서 상당히 주목할 만하더라구요.

개인적으로는 이 정도 규모의 보안 업데이트가 나왔다면, 가능한 한 빨리 설치하는 게 맞다고 생각하는데요. 오늘은 iOS 26.3에서 어떤 보안 취약점들이 수정됐고, 새로 추가된 기능은 뭔지 하나하나 정리해 보겠습니다.

1. iOS 26.3 업데이트 개요

애플은 2월 11일에 iOS 26.3, iPadOS 26.3, macOS Tahoe 26.3을 동시에 배포했는데요. 이번 업데이트는 지난 12월에 나온 iOS 26.2 이후 약 두 달 만에 나온 메이저 포인트 업데이트입니다.

겉으로 보면 기능 추가보다는 버그 수정과 보안 개선에 초점을 맞춘 업데이트인데요. 실제로 애플 공식 보안 문서를 보면 CVE 기준 37개 이상의 보안 취약점이 패치된 걸 확인할 수 있습니다. 그중에서도 가장 심각한 건 실제로 악용 사례가 확인된 제로데이 취약점이 포함돼 있다는 점이에요.

2. 제로데이 취약점(CVE-2026-20700) 상세 분석

이번 업데이트에서 가장 주목해야 할 부분은 바로 CVE-2026-20700으로 등록된 dyld(동적 링크 편집기) 취약점인데요. 이게 왜 심각하냐면, 이미 실제 공격에 사용된 이력이 확인됐기 때문입니다.

구체적으로 정리하면 이렇습니다.

1> 취약점 유형 : 메모리 손상(Memory Corruption) 취약점

2> 발견자 : Google Threat Analysis Group(TAG)

3> 위험도 : 메모리 쓰기 권한을 가진 공격자가 임의 코드를 실행할 수 있음

4> 실제 악용 : iOS 26 이전 버전에서 특정 개인을 대상으로 한 “극도로 정교한 공격”에 활용된 것으로 확인

5> 수정 방법 : 개선된 상태 관리(Improved State Management)를 통해 해결

애플이 공식적으로 “극도로 정교한 공격(extremely sophisticated attack)”이라고 표현했다는 건, 일반적인 해킹이 아니라 국가 단위 또는 고도의 기술력을 가진 조직이 특정 타겟을 노린 공격이었다는 뜻이에요. 이런 표현이 나올 때는 대부분 스파이웨어 수준의 공격이 배경에 있는 경우가 많습니다.

참고로 이 취약점에는 CVE-2025-14174와 CVE-2025-43529도 함께 연관된 것으로 보고됐는데요. iOS 26 이전 버전, 그러니까 구형 iOS를 사용하는 기기에서 악용됐다는 점에서, 오래된 소프트웨어를 방치하는 게 얼마나 위험한지 다시 한번 느끼게 되더라구요.

3. 주요 보안 취약점 목록

제로데이 외에도 이번 업데이트에서 수정된 취약점들이 꽤 많은데요. 영향이 큰 것들 위주로 정리해 봤습니다.

1> 루트 권한 탈취 (CVE-2026-20617, CVE-2026-20615, CVE-2026-20626)

일반 앱이 시스템 최상위 권한인 루트(root)를 획득할 수 있는 취약점들이 여러 건 수정됐는데요. 경쟁 상태(Race Condition)나 경로 처리 오류를 이용한 것으로, 악성 앱이 설치되면 기기 전체를 장악할 수 있는 수준의 위험한 취약점이었습니다.

2> 접근성(Accessibility) 정보 노출 (CVE-2026-20645, CVE-2026-20674)

잠금 상태의 기기에 물리적으로 접근한 공격자가 민감한 사용자 정보를 열람할 수 있는 문제가 있었습니다. UI 일관성 문제와 개인정보 처리 방식을 개선해 해결했다고 하네요.

3> Bluetooth 서비스 거부 (CVE-2026-20650)

네트워크에서 특권 위치에 있는 공격자가 조작된 Bluetooth 패킷으로 서비스 거부(DoS) 공격을 수행할 수 있는 취약점이었는데요. 입력값 검증을 강화해 수정됐습니다.

4> CoreAudio 메모리 문제 (CVE-2026-20611)

악의적으로 제작된 미디어 파일을 처리할 때 앱이 예기치 않게 종료되거나 프로세스 메모리가 손상될 수 있는 문제였습니다.

5> 네트워크 트래픽 가로채기 (CVE-2026-20671)

특권 네트워크 위치의 공격자가 네트워크 트래픽을 가로챌 수 있는 로직 문제가 수정됐습니다.

6> 원격 파일 쓰기 (CVE-2026-20660)

원격 사용자가 경로 처리 취약점을 이용해 임의 파일을 기기에 쓸 수 있는 문제로, 로직 개선을 통해 해결됐습니다.

개인적으로는 루트 권한 탈취 관련 취약점이 3건이나 동시에 패치된 게 인상적이었는데요. 그만큼 iOS 26.2까지의 보안 상태가 완벽하지 않았다는 방증이기도 하구요. 보안 연구자들의 활발한 리포팅 덕분에 빠르게 수정된 셈이라고 볼 수 있겠습니다.

4. iOS 26.3 새로운 기능

보안 패치가 주된 목적이긴 하지만, iOS 26.3에는 몇 가지 새로운 기능도 포함돼 있는데요.

1> 안드로이드-아이폰 전환 간소화

안드로이드에서 아이폰으로, 또는 그 반대로 기기를 전환할 때 데이터 이전 과정이 더 쉬워졌습니다. 애플과 구글이 협력해서 만든 기능이라고 하는데, 저 같은 경우에는 두 플랫폼 사이에서 고민하는 분들에게 꽤 반가운 변화가 아닐까 싶네요.

2> 천문/날씨 배경화면 갤러리 업데이트

배경화면 갤러리에 천문(Astronomy)과 날씨(Weather) 관련 새로운 옵션이 추가됐습니다. Liquid Glass 디자인과 잘 어울리는 시각적 변화라고 하더라구요.

3> 셀룰러 위치 정보 제한 기능 (Apple C1/C1X 모뎀 탑재 기기)

Apple C1이나 C1X 모뎀을 탑재한 기기에서, 이동통신사에 공유되는 정밀 위치 정보를 제한할 수 있는 새 옵션이 추가됐는데요. 일부 통신사에서만 지원되지만, 개인정보 보호 측면에서 의미 있는 추가라고 볼 수 있습니다.

4> EU 지역 서드파티 웨어러블 지원

유럽 지역에서는 서드파티 헤드폰이나 스마트워치 같은 웨어러블 기기가 AirPods처럼 아이폰과 자연스럽게 페어링되고, 더 풍부한 알림을 받을 수 있게 됐습니다. 한국에서는 아직 적용되지 않지만, 향후 확대 가능성이 있으니 참고해 두면 좋겠습니다.

5. 업데이트 방법과 지원 기기

업데이트 방법은 간단합니다.

설정 > 일반 > 소프트웨어 업데이트로 이동하면 iOS 26.3을 다운로드하고 설치할 수 있는데요. Wi-Fi에 연결된 상태에서 배터리가 50% 이상이거나 충전기에 연결돼 있으면 바로 진행 가능합니다.

지원 기기 목록은 다음과 같습니다.

1> iPhone 11 이후 모든 모델

2> iPad Pro 12.9인치 3세대 이후

3> iPad Pro 11인치 1세대 이후

4> iPad Air 3세대 이후

5> iPad 8세대 이후

6> iPad mini 5세대 이후

저 같은 경우에는 보안 업데이트가 포함된 만큼, 미루지 말고 바로 설치하는 걸 추천드리고 싶네요. 특히 이번처럼 제로데이 취약점이 이미 악용된 사례가 있으면, 패치 내용이 공개된 시점부터 추가적인 공격 시도가 늘어날 수 있거든요.

맺음말

정리하면, iOS 26.3은 CVE 기준 37개 이상의 보안 취약점을 수정한 중요한 업데이트인데요. 그중에서도 Google TAG가 발견한 dyld 제로데이 취약점(CVE-2026-20700)은 실제 표적 공격에 사용된 이력이 있어서 특히 심각한 수준이었습니다.

루트 권한 탈취, 원격 파일 쓰기, 네트워크 가로채기 등 다양한 유형의 취약점이 동시에 패치됐구요. 안드로이드 전환 간소화, 배경화면 갤러리 업데이트, 셀룰러 위치 제한 같은 새 기능도 함께 추가됐습니다.

개인적으로는 이번 업데이트야말로 “귀찮더라도 반드시 해야 하는 업데이트”라고 생각하는데요. 이미 악용된 취약점이 포함돼 있다는 건, 지금 이 순간에도 패치하지 않은 기기가 위험에 노출될 수 있다는 의미이기 때문입니다. 아직 업데이트하지 않으셨다면, 설정 앱에서 바로 확인해 보시길 추천드립니다.