구글 크롬, ‘실제 공격 중’ 고위험 취약점 긴급 수정
X 기자
metax@metax.kr | 2025-12-16 11:00:15
[메타X(MetaX)] 구글이 크롬(Chrome) 데스크톱 브라우저 안정(Stable) 채널을 143 버전으로 업데이트하며, 이미 실제 공격에 악용되고 있는 고위험 보안 취약점을 포함한 총 3건의 보안 결함을 수정했다. 이번 업데이트는 단순한 기능 개선이 아니라, 전 세계 크롬 사용자들을 대상으로 한 즉각적인 보안 대응 조치라는 점에서 의미가 크다.
구글은 2025년 12월 10일(현지 시각) 크롬 안정 채널을 Windows와 macOS 환경에서는 143.0.7499.109 및 143.0.7499.110 버전으로, Linux 환경에서는 143.0.7499.109 버전으로 업데이트했다고 밝혔다. 해당 버전은 수일에서 수주에 걸쳐 순차적으로 배포될 예정이며, 구글은 12월 12일 추가 공지를 통해 특정 버그에 대한 상세 설명을 보완했다.
이번 업데이트의 핵심은 고위험 등급으로 분류된 CVE-2025-14174 취약점이다. 이 취약점은 크롬의 그래픽 처리 계층인 ANGLE 컴포넌트에서 발생한 메모리 경계 초과 접근(out-of-bounds memory access) 문제로, 애플 보안 엔지니어링 조직(SEAR)과 구글 위협 분석 그룹(TAG)에 의해 공동으로 보고됐다. 구글은 해당 취약점에 대해 “이미 실제 공격에 활용되고 있음을 인지하고 있다”고 공식적으로 밝히며, 사실상 제로데이 취약점에 준하는 위협임을 인정했다.
메모리 경계 초과 접근 취약점은 공격자가 브라우저 메모리를 임의로 조작하거나 악성 코드를 실행할 수 있는 통로가 될 수 있으며, 경우에 따라 브라우저 샌드박스를 우회하는 고도화된 공격으로 이어질 가능성도 있다. 특히 ANGLE은 WebGL, 그래픽 가속, 영상 처리 등과 직결된 핵심 모듈로, 웹 기반 콘텐츠를 통해 공격이 이뤄질 수 있다는 점에서 위험도가 더욱 높게 평가된다.
이번 업데이트에는 이외에도 중간 위험도(Medium)로 분류된 두 건의 취약점이 함께 수정됐다. 하나는 크롬 비밀번호 관리자에서 발생한 Use-after-free 취약점(CVE-2025-14372)으로, 메모리 해제 이후 잘못된 참조가 이뤄질 수 있는 구조적 결함이다. 또 다른 하나는 툴바 구현 과정에서 부적절한 처리로 인해 발생한 취약점(CVE-2025-14373)이다. 두 취약점 모두 외부 보안 연구자에 의해 발견됐으며, 각각 2,000달러의 버그 바운티가 지급됐다.
구글은 보안 패치와 관련한 세부 기술 정보에 대해 “대다수 사용자가 업데이트를 적용할 때까지 접근을 제한한다”고 설명했다. 이는 공격자들이 패치 이전 환경을 노려 추가적인 공격을 시도하는 것을 방지하기 위한 일반적인 보안 대응 절차다.
이번 사건은 크롬이 단순한 웹 브라우저를 넘어, 사실상 글로벌 디지털 인프라의 핵심 관문 역할을 하고 있음을 다시 한 번 보여준다. 크롬은 전 세계 데스크톱 브라우저 시장에서 가장 높은 점유율을 차지하고 있으며, 크로미움 기반 브라우저 생태계 전반에도 영향을 미친다. 그만큼 하나의 취약점이 개인 사용자뿐 아니라 기업과 공공기관의 업무 환경까지 동시에 위협할 수 있다.
구글은 크롬 개발 과정에서 AddressSanitizer, MemorySanitizer, Control Flow Integrity, 퍼징 도구(libFuzzer, AFL) 등 다양한 자동화 보안 기술을 활용하고 있다고 밝혔지만, 이번 사례는 자동 탐지 체계를 우회한 취약점이 실제 공격으로 이어질 수 있음을 보여주는 사례로 남았다.
보안 전문가들은 개인 사용자에게는 즉각적인 크롬 업데이트와 브라우저 재시작을, 기업과 기관에는 자동 업데이트 정책과 버전 관리 체계 점검을 권고하고 있다. 특히 GPU 가속 웹 애플리케이션을 다수 사용하는 환경에서는 브라우저 보안이 곧 업무 연속성과 직결된다는 점에서 각별한 주의가 필요하다는 지적이 나온다.
이번 크롬 143 안정 채널 업데이트는 “선택 가능한 업데이트”가 아니라 “즉시 적용해야 할 보안 조치”에 가깝다. 웹 브라우저가 일상과 업무, 금융과 행정의 출발점이 된 시대에서, 브라우저 보안은 더 이상 부가 기능이 아니라 필수 인프라임을 이번 사건은 분명히 보여주고 있다.
[ⓒ META-X. 무단전재-재배포 금지]