 — 애플의 첫 번째 백그라운드 보안 개선 완전 정리 : 무엇이 달라졌나){kind=link}
Apple · 보안 업데이트 · 2026.03.17
iOS 26.3.1 (a) — 애플의
첫 번째 백그라운드 보안 개선
완전 정리 : 무엇이 달라졌나
첫 번째 백그라운드 보안 개선
완전 정리 : 무엇이 달라졌나
🛡️ CVE-2026-20643 패치
⚡ 재시작 없이 자동 설치
📍 설정 위치 완전 안내
📋 핵심 요약 — 무슨 업데이트인가
2026년 3월 17일, 애플이 iOS 26.3.1 (a)를 배포했습니다. 이름 끝의 소문자 (a)가 낯설게 느껴졌다면 정상입니다. 이것은 기존 소프트웨어 업데이트와 전혀 다른 새로운 방식, Background Security Improvements(백그라운드 보안 개선, BSI)의 첫 번째 공식 배포입니다.
이 업데이트는 설정 앱의 일반 소프트웨어 업데이트 화면에 나타나지 않습니다. 대신 설정 → 개인 정보 보호 및 보안 → 백그라운드 보안 개선에서 확인하거나, 자동 설치를 켜두면 디바이스가 사용 중이지 않을 때 알아서 설치됩니다.
업데이트 버전
iOS 26.3.1 (a)
iPadOS · macOS 동일
배포일
2026.03.17
첫 공식 BSI 릴리즈
패치 취약점
CVE-2026-20643
WebKit Same Origin Policy 우회
설치 방식
백그라운드
재시작 불필요 (대부분)
지원 시작 버전
iOS 26.1~
이전 버전은 일반 업데이트로 통합
되돌리기 가능
가능
사용자 또는 Apple이 롤백 가능
✅ 한 줄 요약: "일반 소프트웨어 업데이트에서 보이지 않는 새 보안 패치. Safari 엔진(WebKit)의 보안 구멍을 몰래 막아줬습니다. 자동 설치를 켜두면 아무것도 안 해도 됩니다."
🔍 Background Security Improvements(BSI)란?
BSI는 애플이 iOS 26.1부터 새로 도입한 보안 패치 전달 방식입니다. 과거 Rapid Security Responses(RSR)라고 불렸던 기능의 리브랜딩 버전으로, 전체 iOS 업데이트 없이도 Safari, WebKit, 기타 시스템 라이브러리에 긴급 보안 패치를 빠르게 전달하는 것이 목적입니다.
🔴 기존 방식 (Rapid Security Responses)
구버전 / 단종
iOS 16~17 시대에 사용
업데이트 버전 뒤에 (a) 접미사
2023년 RSR 오류 사건으로 사실상 중단
iOS 18·25 사이클에서 미사용
설정 위치가 불명확해 혼란 야기
🟢 Background Security Improvements
iOS 26.1~
iOS 26.1부터 공식 도입 (26.3에서 사전 테스트)
동일하게 (a), (b)... 접미사 방식
명확한 설정 위치 제공 (개인 정보 보호 및 보안)
Safari 전용 패치는 재시작 없이 즉시 적용
사용자가 직접 제거 가능
Apple도 서버 측에서 원격 롤백 가능
💡 왜 이름을 바꿨나요? 2023년 RSR 업데이트에서 일부 디바이스의 Safari 주소창 표시에 오류가 발생하자 애플이 급히 배포를 중단했습니다. 이후 iOS 18·25 사이클 동안 RSR을 완전히 미사용했고, iOS 26에서 개선된 시스템으로 부활시키며 이름을 바꿨습니다.
🐛 CVE-2026-20643 — 어떤 취약점이었나
이번 업데이트가 수정한 취약점은 단 하나입니다. WebKit의 Navigation API에서 발견된 크로스 오리진(Cross-Origin) 보안 결함입니다.
보안 취약점
CVE-2026-20643
영향 범위
iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, macOS 26.3.2
취약점 위치
WebKit — Navigation API
공격 방식
악의적으로 제작된 웹 콘텐츠로 Same Origin Policy(SOP) 우회
실제 위험
다른 탭에서 열린 웹사이트 데이터에 무단 접근 가능 (예: 로그인 세션, 쿠키)
수정 방법
Navigation API 입력 유효성 검사 강화
발견자
Thomas Espach (외부 보안 연구자)
WebKit 버그
#306050
🔴 Same Origin Policy(SOP)란? 브라우저의 핵심 보안 규칙으로, 한 웹사이트(예: evil.com)가 다른 웹사이트(예: bank.com)의 데이터에 접근하지 못하도록 차단합니다. 이 정책이 우회되면 공격자는 사용자가 열어둔 다른 탭의 민감한 데이터(로그인 토큰, 쿠키 등)를 탈취할 수 있습니다. WebKit은 Safari뿐 아니라 iOS·iPadOS 위의 모든 브라우저(Chrome, Firefox 등)에서도 사용하므로 영향 범위가 넓습니다.
📱 내 기기에도 업데이트가 있나요?
| 기기 | 업데이트 버전 | 조건 |
|---|---|---|
| 🍎 iPhone (대부분) | iOS 26.3.1 (a) | iOS 26.3.1이 설치된 기기 (iOS 26.4 베타 제외) |
| 📱 iPad (대부분) | iPadOS 26.3.1 (a) | iPadOS 26.3.1이 설치된 기기 |
| 💻 Mac (대부분) | macOS Tahoe 26.3.1 (a) | macOS 26.3.1이 설치된 Mac |
| 💻 MacBook Neo 전용 | macOS Tahoe 26.3.2 (a) | MacBook Neo 전용 별도 버전 |
| ❌ 구버전 iOS 사용자 | BSI 없음 | BSI 대신 해당 취약점 패치가 다음 일반 업데이트에 통합 포함됨 |
| ❌ iOS 26.4 베타 참여자 | BSI 없음 | 베타 버전은 BSI 업데이트 적용 제외 |
💡 iOS 26.3.1이 뭔가요? 2026년 3월 4일 출시된 iOS 버전으로, 주로 Apple Studio Display 지원 추가 및 버그 수정이 목적이었습니다. 비교적 적은 수의 사용자만 26.3.1으로 업데이트했기 때문에 이번 BSI 수혜자도 제한적입니다. iOS 26.3이나 그 이전 버전 사용자는 다음 일반 업데이트에서 이 패치를 받게 됩니다.
⚙️ 설치 방법 — 찾는 곳이 다릅니다
BSI 업데이트는 일반 소프트웨어 업데이트(설정 → 일반 → 소프트웨어 업데이트)에 나타나지 않습니다. 전혀 다른 경로에 있습니다.
📍 수동 설치 방법 (iPhone · iPad)
1
설정 앱 열기
홈 화면 또는 앱 라이브러리에서 설정(⚙️)을 탭합니다.
2
개인 정보 보호 및 보안으로 이동
스크롤 내려 개인 정보 보호 및 보안 항목을 탭합니다.
설정 → 개인 정보 보호 및 보안
3
백그라운드 보안 개선 탭
하단 쪽에 "백그라운드 보안 개선(Background Security Improvements)" 항목이 있습니다.
4
설치 버튼 탭
iOS 26.3.1 (a) 업데이트가 보이면 설치를 탭합니다. 일부 기기에서는 기기 암호(Face ID·Touch ID) 입력이 필요합니다.
🤖 자동 설치 설정 방법
1
설정 → 일반 → 소프트웨어 업데이트
일반 소프트웨어 자동 업데이트가 켜져 있다면, 백그라운드 보안 개선도 자동 설치로 연동됩니다.
설정 → 일반 → 소프트웨어 업데이트 → 자동 업데이트
2
또는 개별 토글 설정
설정 → 개인 정보 보호 및 보안 → 백그라운드 보안 개선에서 자동 설치 토글을 독립적으로 켜고 끌 수 있습니다.
💡 Mac에서는? macOS에서는 Safari 전용 패치의 경우 재시작 없이 Safari 재실행만으로 적용됩니다. 더 광범위한 시스템 라이브러리 패치는 재시작이 필요할 수 있습니다. 이번 CVE-2026-20643 패치는 WebKit 관련이므로 대부분 Safari 재실행으로 충분합니다.
❓ 자주 묻는 질문
일반 소프트웨어 업데이트에서 안 보이는데 정상인가요?
정상입니다. Background Security Improvements는 의도적으로 일반 소프트웨어 업데이트(설정 → 일반 → 소프트웨어 업데이트) 화면에 표시되지 않습니다. 설정 → 개인 정보 보호 및 보안 → 백그라운드 보안 개선 경로로 찾아야 합니다. 이미 자동으로 설치된 경우에는 해당 메뉴에서 설치 완료 상태로 표시됩니다.
설치 안 하면 위험한가요?
가능하면 설치하는 것이 좋습니다. CVE-2026-20643은 악의적인 웹사이트가 다른 탭의 데이터(로그인 세션, 쿠키 등)에 접근할 수 있는 취약점입니다. 웹 서핑을 자주 하는 사용자라면 노출 위험이 있습니다. 다만, 이 취약점이 현재 활발히 악용되고 있다는 공개 보고는 없습니다. BSI 업데이트는 언제든 제거(롤백)도 가능하므로 설치 부담이 낮습니다.
iOS 26.3이나 이전 버전에서는 어떻게 하나요?
iOS 26.3.1이 아닌 구버전 사용자는 이번 BSI 업데이트를 받을 수 없습니다. 대신 CVE-2026-20643 패치는 다음 일반 iOS 업데이트(iOS 26.4 등)에 자동으로 포함됩니다. iOS 26.4 RC가 이미 개발자에게 배포되어 수일 내 공개 출시가 예상되므로, 일반 업데이트를 기다리셔도 됩니다.
설치했다가 되돌릴 수 있나요?
네, 가능합니다. Background Security Improvements의 핵심 특징 중 하나가 롤백 가능성입니다. 설정 → 개인 정보 보호 및 보안 → 백그라운드 보안 개선 화면에서 제거 옵션이 제공됩니다. 또한 필요하다면 Apple 서버 측에서도 강제 롤백이 가능합니다(2023년 RSR 오류 당시처럼). 단, iOS 전체 버전 다운그레이드와는 다릅니다.
Chrome, Firefox 사용자도 영향받나요?
iOS와 iPadOS에서는 Chrome, Firefox 등 서드파티 브라우저도 내부적으로 WebKit 엔진을 사용해야 합니다(애플 앱스토어 정책). 따라서 CVE-2026-20643 취약점은 Safari만이 아니라 iOS/iPadOS 위의 모든 브라우저에 영향을 줍니다. 이번 패치로 모든 브라우저가 보호됩니다.
✅ 결론
iOS 26.3.1 (a)는 단순한 보안 패치 이상의 의미를 가집니다. 애플이 3년 만에 긴급 보안 업데이트 시스템을 성공적으로 부활시켰다는 선언이기도 합니다. 2023년 RSR 오류 사건 이후 조심스러웠던 애플이 이름을 바꾸고, 설치 위치를 명확히 하고, 롤백 기능을 강화한 뒤 신중하게 첫 번째 공식 BSI를 배포했습니다.
실질적으로 이 업데이트는 아주 간단합니다. iOS 26.3.1 사용 중이라면 설치하세요. 자동 설치를 켜두면 알아서 됩니다. 설치가 귀찮다면 곧 나올 iOS 26.4 정식 버전에서 동일한 패치를 받게 됩니다.
📅 Apple 관련 주목 일정
수일 내
iOS 26.4 정식 출시 예정
RC(릴리즈 후보) 이미 배포 완료 — 이번 CVE 패치 포함, Playlist Playground 등 신기능 추가
향후
iOS 26.3.1 (b) 또는 추가 BSI 업데이트
필요 시 추가 보안 취약점에 대해 (b), (c)... 순서로 BSI 배포 예정
2026년 6월
WWDC 2026 — iOS 27 최초 공개 예정
차기 iOS 버전 및 Apple 플랫폼 전체 로드맵 발표
⚠️ 안내: 본 포스팅은 2026년 3월 22일 기준 공개된 Apple 지원 문서 및 신뢰할 수 있는 IT 미디어 보도를 바탕으로 작성된 정보 제공용 자료입니다. 보안 업데이트 관련 최신 정보는 Apple 공식 지원 페이지(support.apple.com)에서 확인하시기 바랍니다.
댓글 쓰기