구글, 미패치 크롬 취약점 악용 코드 공개로 수백만 사용자 위협
원제: Google publishes exploit code threatening millions of Chromium users
왜 중요한가
크로미움 생태계의 보안 취약점이 장기간 미해결 상태로 남아 브라우저 보안 관리 체계 개선 필요성을 드러냄
구글이 수요일 크롬, 엣지 등 크로미움 기반 브라우저들의 미패치 취약점 악용 코드를 실수로 공개했다. 해당 취약점은 2022년 말 신고됐지만 42개월째 수정되지 않은 상태로, 웹사이트 방문만으로 공격 가능하며 사용자 기기를 제한적 봇넷에 편입시킬 수 있다.
구글이 크로미움 브라우저의 미수정 취약점에 대한 악용 코드를 버그 추적기에 조기 공개해 크롬, 마이크로소프트 엣지 등 크로미움 기반 브라우저 사용자 수백만 명이 위험에 노출됐다. 해당 취약점은 Browser Fetch 프로그래밍 인터페이스를 악용하는 것으로, 대용량 파일을 백그라운드에서 다운로드할 때 사용되는 표준 기능이다. 공격자는 이를 통해 사용자 브라우저 사용량 모니터링용 연결을 생성하고, 사이트 조회나 서비스 거부 공격을 위한 프록시로 활용할 수 있다. 브라우저나 기기 재부팅 후에도 연결이 유지되거나 재개되는 특징이 있다. 독립 연구원 Lyra Rebane이 2022년 말 구글에 개인적으로 신고한 이 취약점은 42개월째 수정되지 않았다. 크로미움 개발자 두 명은 이를 '심각한 취약점'으로 분류했으며, 우선순위 P1(2번째 최고 등급), 심각도 S2(3번째 최고 등급)로 평가받았다. 구글은 게시물을 삭제했지만 아카이브 사이트에는 여전히 악용 코드와 함께 남아있다. 구글 측은 코드 공개를 인지하고 있으며 수정 작업 중이라고 발표했다.