[사이버 보안 경보] "지금 당장 크롬 업데이트하라"... 구글, 48시간 새 긴급 패치 두 번 배포

스마트폰과 노트북으로 뉴스를 보고 쇼핑을 즐기는 동안, 당신의 기기는 이미 해커의 표적이 되어 있을 수 있다. 전 세계 인터넷 사용자 절반이 넘는 35억 명이 쓰는 구글 크롬(Chrome) 브라우저에서 실제 공격에 악용 중인 치명적 결함 두 건이 동시에 확인됐다.

구글은 주 1회 정기 패치 원칙을 깨고 48시간 만에 두 번째 긴급 업데이트를 내보내는 이례적 대응에 나섰다. 같은 날, 미국 법무부(DoJ)와 유로폴(Europol)은 16년간 163개국에서 36만 대 이상의 가정용 기기를 범죄 도구로 전락시켜 온 봇넷(botnet) '삭스에스코트(SocksEscort)'를 해체했다. 두 사건이 같은 날 터진 것은 우연이 아니다. 허술한 브라우저 보안과 방치된 공유기·사물인터넷(IoT) 기기가 맞물려 거대한 사이버 범죄 생태계를 유지해 온 구조적 민낯이 동시에 드러난 것이다.



구글은 지난 14일(현지시간) 크롬 브라우저에서 두 건의 제로데이(Zero-day) 취약점을 발견해 긴급 패치를 배포했다. 제로데이란 보안 패치가 세상에 나오기 전부터 공격자가 이미 실제 침투에 악용하고 있는 결함을 뜻한다. 사이버 보안 전문 매체 포브스(Forbes)의 데이브 위인더(Davey Winder) 분석가는 "구글이 정기 업데이트 주기를 무시하고 48시간 만에 재차 패치를 배포했다는 사실 자체가 위협의 심각성을 방증한다"고 짚었다.
이번 취약점은 CVE-2026-3909와 CVE-2026-3910 두 건으로, 브라우저의 핵심 엔진에서 각각 발견됐다. 두 결함 모두 구글 내부 보안팀이 직접 찾아냈다.

CVE-2026-3909는 해커가 만든 웹 페이지에 접속하는 것만으로 악성코드가 자동 실행된다는 점에서 일반 사용자 피해가 광범위하다. CVE-2026-3910은 크롬의 보안 격리 공간인 '샌드박스(Sandbox)'를 뚫고 사용자의 운영체제(OS) 전체를 원격에서 통제할 수 있어, 파급력 면에서 더 위험하다는 것이 보안 업계의 공통된 분석이다.

구글은 추가 피해 확산을 막기 위해 악용 경로의 세부 내용을 비공개로 유지하고 있다. 사용자는 크롬 우측 상단 메뉴에서 '도움말 → Google Chrome 정보'를 눌러 현재 버전을 확인하고, 146.0.7680.75 또는 76 미만이라면 즉시 업데이트한 뒤 브라우저를 완전히 종료했다가 재시작해야 패치가 실제로 적용된다.


크롬 긴급 패치와 같은 날, 미국 법무부는 유로폴을 비롯한 9개국 수사기관과 공조해 봇넷 삭스에스코트를 전격 해체했다고 발표했다. 2010년 활동을 시작한 이 봇넷은 16년간 163개국에서 36만 9000대의 가정용 공유기(라우터)와 IoT 장비를 감염시켰다.

운영 방식은 단순하지만 교묘했다. 운영자들은 감염된 가정용 기기를 다른 범죄자에게 시간제로 빌려줬다. 임차한 범죄자들은 일반 가정의 IP 주소를 경유지로 삼아 금융 계좌 탈취, 가상자산 절도, 랜섬웨어 유포, 대규모 분산 서비스 거부(DDoS·디도스) 공격을 자행하며 추적을 교란했다.
피해 규모는 수치로 확인된다. 뉴욕의 가상자산 투자자 한 명은 이 경유망을 통한 공격으로 100만 달러(약 14억 9900만 원)를 잃었고, 펜실베이니아 소재 한 기업은 70만 달러(약 10억 4930만 원)의 손실을 입었다. 미 법무부가 추산하는 미국 내 총 피해액만 수백만 달러에 달한다.

이번 작전에서 당국은 서버 23대와 도메인 34개를 차단하고 350만 달러(약 52억 원) 상당의 가상자산을 압수했다.


한국은 이 문제에서 결코 자유롭지 않다. 오히려 더 높은 경계가 필요한 환경에 처해 있다는 것이 업계의 시각이다.

전 세계 최고 수준의 초고속 인터넷 보급률과 높은 스마트홈 기기 밀도는 편의성만큼이나 공격 표면(attack surface)을 넓힌다. 국내 보안 업계 관계자에 따르면 "국내 가정에 설치된 공유기 상당수가 출고 시 기본 관리자 비밀번호를 수년째 변경하지 않은 채 사용되고 있으며, 이는 삭스에스코트 같은 봇넷이 가장 손쉽게 노리는 전형적인 취약 환경"이라는 지적이다. 한국인터넷진흥원(KISA)이 매년 발표하는 사이버 위협 동향 보고서에서도 국내 공유기·IP카메라를 대상으로 한 취약점 신고 건수는 지속적인 증가세를 나타내고 있다.

크롬 브라우저 측면에서도 상황은 유사하다. 글로벌 웹 브라우저 시장에서 크롬의 점유율은 65%를 넘는다. 국내 이용자의 경우 이 비율이 더 높다는 점을 감안하면, 이번 제로데이 취약점의 잠재적 피해 대상에 국내 사용자 대다수가 포함된다고 봐야 한다.


IT 전문 매체 톰스하드웨어(Tom's Hardware)의 브루노 페레이라(Bruno Ferreira) 기자는 "공유기와 스마트 가전 등 IoT 장비는 제조사의 지원이 조기 종료되거나 사용자가 업데이트 방법을 모르는 경우가 많아, 범죄자들에게 사실상 열린 통로가 되고 있다"고 경고했다. 전문가들이 공통으로 권고하는 보안 수칙은 세 가지다.

첫째, 크롬 업데이트 후 반드시 재시작하는 것이다. 업데이트 다운로드만으로는 패치가 적용되지 않는다. 브라우저를 완전히 종료했다가 다시 열어야 한다.

둘째, IoT 기기 비밀번호 즉시 변경이다. 공유기, IP카메라, 스마트TV의 관리자 계정 초기 비밀번호를 고유한 조합으로 교체하고, 제조사 홈페이지에서 최신 펌웨어 여부를 점검한다.

셋째, 불필요한 인터넷 연결 차단이다. 상시 접속이 불필요한 스마트 기기는 미사용 시 네트워크에서 분리하는 것이 가장 확실한 예방책이다.

구글은 지난해 보안 취약점 신고 보상 프로그램(VRP)에 1700만 달러(약 254억 원) 이상을 투입했다. 이 규모의 자원을 방어에 쏟아부어도 제로데이 공격을 완전히 차단하지 못했다는 사실은, 사이버 위협이 얼마나 빠르게 진화하는지를 단적으로 보여준다.

디지털 보안은 이제 IT 담당자만의 영역이 아니다. 자동차를 정기 점검에 맡기듯, 브라우저를 최신 상태로 유지하고 집 안의 공유기 비밀번호를 주기적으로 바꾸는 것이 현대인의 기본 생활 습관이 됐다. 오늘 5분의 업데이트가 내 기기가 범죄 생태계의 부품으로 전락하는 것을 막는 가장 현실적이고 확실한 방어선이다.


김주원 글로벌이코노믹 기자 park@g-enews.com