구글이 이번 달에만 두 번째 크롬 제로데이 취약점 패치를 진행했다. 지난 2월에도 제로데이가 나왔으니, 2개월에 3개가 나온 것이다. 아직 안전을 위해 기술 정보는 밝혀지지 않았는데, 사실은 앞으로 제로데이가 더 나올까봐 더 걱정이다. 플래시의 전철을 밟는 건 아니겠지...

[보안뉴스 문가용 기자] 구글의 크롬 브라우저에서 제로데이가 또 다시 발견됐다. 해커들이 먼저 발견하여 현재 활발히 익스플로잇 하는 중이라고 한다. 올해에만 세 번째로 발견된 제로데이다. 구글은 재빨리 픽스를 개발해 배포하기 시작했다. 익스플로잇에 성공할 경우 공격자는 원격에서 코드를 실행하거나 디도스 공격을 실시할 수 있게 된다.


취약점의 정확한 근거지는 블링크(Blink)라는 브라우저 엔진이다. 윈도, 맥, 리눅스용 크롬 모두에서 발견되며, 89.0.4389.90 버전으로 업데이트해야 안전하다. 취약점에는 CVE-2021-21193이라는 관리 번호가 붙었으며 CVSS를 기준으로 8.8점을 받을 정도로 높은 위험도를 가진 것으로 분석됐다. ‘유즈 애프터 프리(Use after Free, UaF)’ 취약점으로, 프로그램 실행 시 동적 메모리가 잘못 사용되는 것과 관련이 있다.

UaF 취약점을 익스플로잇 하는 데 성공할 경우, 공격자들은 원격에서 임의의 코드를 실행하거나 디도스 공격을 실시할 수 있게 된다. 다만 구글 측은 패치 외 기술 세부 정보를 공개하지는 않았다. 충분할 정도의 크롬 사용자들이 패치를 적용하기 전까지 공격으로 이어질 수 있는 정보를 공개할 이유가 없기 때문이다. 이 취약점을 구글에 제보한 사람도 알려지지 않고 있다. 현재 이 취약점은 실제 공격에 활발히 익스플로잇 되는 중이라고 한다.

이번 제로데이 취약점에 대한 패치를 발표하며 구글은 네 가지 다른 보안 취약점에 대한 픽스도 발표했다. 이 중 위험도가 높은 두 가지는 다음과 같다.
1) CVE-2021-21191 : WebRTC에서 발견된 고위험군 UaF 취약점
2) CVE-2021-21192 : 크롬 탭 그룹에서 발견된 힙 버퍼 오버플로우 취약점, 고위험군.

최근 들어 크롬에서는 제로데이가 상당히 빈번하고 나오는 중이다. 지난 3개월에만 세 개, 이번 달에만 두 개가 나왔다. 하나는 2월 V8 오픈소스 웹 엔진에서 발견됐고, 3월 초에는 크롬의 오디오 요소들에서 나타났다. 이 두 가지 모두 실제 해킹 공격에 익스플로잇 되고 있는 상태에서 전문가들이 뒤늦게 발굴했다.

이번 업데이트를 대부분의 사용자들이 의식적으로 적용할 필요는 없을 것으로 보인다. 왜냐하면 대부분의 크롬 업데이트는 자동으로 진행되기 때문이다. 다만 자동 업데이트 옵션을 비활성화시킨 경우라면 이번 업데이트를 신경 써서 적용해야 안전하다.

한편 구글은 크롬의 인코그니토 모드(Incognito Mode)라는 ‘프라이버시 강화 모드’에서 사용자들의 개인정보를 수집해 지난 6월 고소를 당했고, 최근 이 주장을 인정하는 판결을 받았다. 이 때문에 일부 사용자들 사이에서는 크롬을 더는 믿지 못하겠다는 목소리가 나오고 있으며, 파이어폭스와 같은 프라이버시 기능이 강화된 브라우저의 이주 현상이 나타나고 있다. 다만 파이어폭스라고 해서 완벽하게 안전한 건 아니다.

현재 크롬처럼 제로데이가 자주 발견되는 소프트웨어는 곧잘 사이버 공격자들의 연구 대상이 된다. 어도비(Adobe)사의 플래시 플레이어가 대표적인 사례다. 사람들이 많이 사용하는 소프트웨어에, 제로데이가 자꾸만 나온다는 건, 공격자들이 자원을 투자해 연구해볼 가치가 충분하다는 뜻이다. 플래시는 제로데이의 원천지로 보일 정도로 많은 공격을 받았고, 때문에 현재는 어도비는 물론 여러 브라우저에서의 지원이 종료된 상태다. 크롬 브라우저가 차기 플래시 플레이어가 될 수도 있다는 우려가 나오기 시작한 이유다.

3줄 요약
1. 구글 크롬에서 이번 달 들어 두 번째 제로데이 취약점 나옴.
2. UaS 취약점으로, 공격자가 디도스 공격과 원격 코드 실행 공격을 할 수 있음.
3. 크롬 사용자라면 89.0.4389.90 버전으로 업그레이드 해야 안전함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>