;)
;)
실전 악용된 ‘CVE-2026-5281’ 등 21개 결함 발견… CISA 즉시 패치 명령
올 1분기만 벌써 4번째 공격… 고도화된 메모리 해킹에 전 세계 보안망 ‘비상’
올 1분기만 벌써 4번째 공격… 고도화된 메모리 해킹에 전 세계 보안망 ‘비상’
이미지 확대보기
구글은 지난 3일(현지시각) 공식 채널을 통해 35억 명에 이르는 사용자들의 개인정보와 시스템 권한을 노린 ‘제로데이(Zero-day)’ 취약점이 실제 공격에 악용되고 있다는 사실을 확인하고 긴급 보안 업데이트를 배포했다.
미국 경제 전문 매체 포브스(Forbes)의 지난 3일(현지시각) 보도에서 "해커들이 이미 구글보다 앞서 보안 결함을 파악해 공격에 나서고 있다"며 상황의 심각성을 전했다.
이번 사태는 단순한 기술적 오류를 넘어 전 세계 디지털 인프라를 위협하는 중대 분기점이 될 것으로 보인다.
이번에 발견된 핵심 취약점인 'CVE-2026-5281'은 이른바 '유즈 애프터 프리(Use-after-free)'로 불리는 메모리 관리 결함이다. 프로그램이 사용을 마친 메모리를 적절히 회수하지 못한 틈을 타 해커가 악성 코드를 주입하는 방식이다.
특히 이번 공격은 크롬의 차세대 그래픽 표준인 '던 웹지피유(Dawn WebGPU)' 구성 요소를 정조준했다는 점에서 기술적 충격이 크다.
사이버 보안 전문가들 사이에서는 올해 들어 크롬을 향한 공격 빈도가 비정상적으로 잦아졌다는 분석이 나온다. 실제로 이번 사례는 지난 2월 'CVE-2026-2441'과 3월 'CVE-2026-3909', 'CVE-2026-3910'에 이어 올 1분기에만 벌써 네 번째로 확인된 제로데이 공격이다.
지난해 전체 발생 건수가 총 8건이었던 것과 비교하면, 해킹 세력의 공격 속도가 2배 이상 빨라진 셈이다.
미 연방정부 '강제 패치' 명령… 21개 보안 구멍 일제 정비
사안의 긴박성을 인지한 미국 사이버보안 및 기간시설 안보국(CISA)은 해당 취약점을 '알려진 악용 취약점(KEV)' 목록에 즉각 등재했다.
CISA는 연방 민간 행정부 기관들에 구속력 있는 지침을 내리고, 정해진 기한 내에 모든 시스템의 크롬 브라우저를 최신 버전으로 업데이트할 것을 명령했다.
구글이 이번에 수정한 결함은 제로데이를 포함해 총 21개에 이른다. 우선 가장 치명적인 제로데이 'CVE-2026-5281'은 던 웹지피유(Dawn WebGPU) 부문에서 발생해 이미 실전 공격에 노출된 상태다.
이어 그래픽 처리 장치(GPU) 부문의 힙 버퍼 오버플로 결함인 'CVE-2026-5272'와 V8 자바스크립트 엔진 실행 시 객체를 손상시키는 'CVE-2026-5279' 역시 높은 위험도로 분류되어 데이터 변조 위협을 키우고 있다.
아울러 PDF 문서 열람 시 악성코드가 유입될 수 있는 'CVE-2026-5287' 등도 이번 정비 대상에 포함됐다.
보안 업계의 한 관계자는 "해커가 특수하게 제작한 HTML 페이지에 사용자가 접속하기만 해도 임의의 코드가 실행될 수 있는 구조"라며 "단순한 브라우저 충돌을 넘어 기업 내부망 침투의 교두보가 될 수 있다"고 경고했다.
"자동 업데이트 믿다간 낭패"… 수동 조치 필수
구글은 현재 윈도우 및 맥 사용자를 위한 '146.0.7680.177/178' 버전과 리눅스용 '146.0.7680.177' 버전을 배포 중이다. 하지만 구글의 공식 발표에 따르면, 자동 업데이트가 전 세계 모든 사용자에게 적용되기까지는 수일에서 수주가 소요될 수 있다.
이에 따라 전문가들은 '수동 업데이트'를 통한 즉각적인 대응을 주문한다. 크롬 브라우저 우측 상단의 '맞춤설정 및 제어(점 3개)' 메뉴를 클릭한 뒤, [도움말] → [Chrome 정보] 순으로 접속하면 즉시 최신 버전을 내려받을 수 있다.
업데이트 후에는 반드시 브라우저를 완전히 종료했다가 다시 실행해야 패치가 활성화된다.
최근 글로벌 빅테크 기업들을 향한 제로데이 공격의 급증은 생성형 AI 기술을 활용한 해킹 툴의 보급과 무관하지 않다는 것이 시장의 지배적인 해석이다. 특히 웹 브라우저가 단순한 정보 탐색 도구를 넘어 금융, 업무, 개인 일상의 통합 플랫폼으로 진화하면서 해커들에게는 '가장 가성비 좋은 공격 대상'이 되었다.
앞으로 기업 보안 담당자들은 단순히 백신 소프트웨어에 의존하기보다, 임직원들의 브라우저 버전 관리(Patch Management)를 최우선 순위에 두어야 한다.
개별 사용자들 역시 "나중에 업데이트" 버튼을 누르는 사소한 습관이 자칫 막대한 자산 손실이나 프라이버시 침해로 이어질 수 있다는 경각심을 가져야 한다. 디지털 세계의 문단속은 이제 선택이 아닌 생존의 문제다.
진형근 글로벌이코노믹 기자 jinwook@g-enews.com
![[뉴욕증시 주간전망] 이란 전쟁 속 FOMC 의사록·3월 CPI에 촉각](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=2026040503383005612be84d87674118221120199.jpg)
