Breaking
사이버 보안(Cybersecurity)
구글 크롬 이전 버전에서 보안 취약점 발견, 10억 명에 영향 가능성
2019-05-28 17:19:39
허서윤
▲연구진에 따르면 구글 크롬의 이전 버전에서 취약점이 발견됐으며 이것은 이미 패치됐다(사진=ⓒ셔터스톡)

[라이헨바흐=허서윤 기자] 한 연구원이 최근 패치된 구글(Google) 크롬 이전 버전의 취약점을 발견했다. 그러나 개발자들은 크롬 버전 73에 존재하는 보안 결함에 대해 영구적인 해결책을 공개하지 않았다. 수십억 명의 사용자가 위험에 처할 우려가 있다.

크롬 취약점을 발견한 사람은 엑소더스 인텔리전스(Exodus Intelligence)의 보안 연구원인 이스트반 쿠루사이다. 그는 v8 자바스크립트 소스 트리에 대한 보안 결함은 패치됐지만, 크롬 v73.0.3683.86에 대해서는 확신할 수 없다고 말했다.

취약점 분석

 쿠루사이는 블로그 게시물을 통해 크롬 브라우저의 취약점과 잠재적인 위협 행위자가 이 취약점을 악용할 가능성에 대해 조사한 내용을 공개했다. 그는 크롬 v8의 깃로그에서 수정 사항 메시지를 발견했다.'[TurboFan] Array.prototype.map wrong ElementsKind for output array'라는 내용이었다.

쿠루사이는 터보팬(TurboFan)이 최근 위협 행위자 사이에서 목표물이 된 v8 엔진의 최적화된 JIT 컴파일러이자 어레이 취약점이라고 지적했다. 그는 "어레이 취약점은 늘 나타나는 것인데, 이번 취약점은 요소 간의 유형 혼동을 암시한다. 이것을 노리는 공격은 상대적으로 직관적일 수 있다"고 전했다. 실시된 패치에는 취약점을 효과적으로 유발하는 회귀 테스트가 포함돼 있어 익스플로잇 개발 시간을 단축할 수 있다.

v8은 또한 특정 형질의 어레이를 저장할 때 다른 최적화를 시행하는 것으로 확인됐다. 그러나 요소 간의 유형 혼동은 보안 취약점의 근원이 될 수 있다.

 

쿠루사이는 익스플로잇을 식별하다가 손상된 플로트 어레이를 발견했으며 이에 대해 "[output of Array.map][packed float array][typed array][obj] 등은 유형화된 어레이의 보조 기억 장치 포인터를 수정하는 데 사용되고 임의의 객체 주소가 노출되는 방향으로 이어진다"고 설명했다.

그는 취약점을 제거 (또는 적어도 완화)하기 위해 웹 브라우저의 고급 설정 속성의 개인 정보 및 보안 탭에서 자바스크립트 실행을 비활성화해야 한다고 지적했다.

끊임없이 이어진다

이런 종류의 사건이 발생한 것은 구글에게 새로운 일이 아니다. 이 회사는 거의 6주마다 새로운 버전의 크롬 브라우저를 출시해 왔다. 거의 6주마다 새로운 패치를 만들어 배포한 셈인데, 엄격한 마감 기한이 끊임없이 이어지는 상황이나 마찬가지다.

이렇게 압박적인 출시 일정은 구글이 크롬 소프트웨어 및 웹 브라우저 사용자의 안전에 진심으로 신경을 쓰고 있다는 뜻이지만 한편으로는 모든 문제를 해결할 효과적인 방법은 아니다. 사용자들은 매번 새로운 버전의 브라우저를 사용해야 한다.

쿠루사이는 "오픈 소스 개발 모델의 결과로 소스 트리에서 보안 수정 결과를 즉시 볼 수 있지만 자동 업데이트 메커니즘을 통해 이것이 모든 사용자층에 배포되기 전에 크롬의 논스테이블 릴리스 채널에서 테스트돼야 한다. 사실상 취약점의 세부 사항은 거의 공개됐으나 사용자들이 패치를 얻지 못하는 시간상의 갭이 발생하면서, 공격자들은 그 며칠 또는 몇 주를 기회로 삼게 된다"고 설명했다.

 

간단히 말해 구글은 현재 사용되고 있는 크롬 브라우저 버전에서 발견된 취약점 등을 늘 모니터링하며 다음 패치에서 수정 및 보완한다. 그러나 패치가 실시되면 새로운 보안 문제가 발생할 가능성이 있다. 그러면 구글은 또 다음 패치 기한까지 이 문제를 수정한다. 개발자들이 계속해서 마감 기한을 앞두고 수정 사항을 만들어내기 때문에 이들을 비난하기도 쉽지 않다.

임박한 공격

구글은 지속적으로 크롬 브라우저의 보안 취약점을 수정하고 있지만 지나치게 빈번한 패치 출시 일정으로 인해 발생하는 위험성도 크다. 따라서 구글은 잠재적인 공격자가 기존의 보안 문제를 이용해 효과적인 공격을 가할 가능성이 있다는 것을 염두에 둬야 한다.

숙련된 해커들은 보안 결함이 발표된 날과 해당 보안 결함이 패치될 날 사이의 기한을 이용해 공격을 실시하기 때문이다.

소셜 미디어 거물인 텐센트(Tencent)의 보안 연구진은 블랙햇 아시아(Black Hat Asia) 컨퍼런스에서 공격자가 브라우저 샌드박스 내에서 지속성을 유지하고 스파이웨어를 활성화해 예상치 못한 공격을 가할 몇 가지 기술을 확인했다고 발표했다.

▲크롬 개발자들은 크롬 버전 73에 남아 있는 보안 결함에 대한 영구적인 해결책을 아직 공개하지 않았다(사진=ⓒ셔터스톡)

일부 트위터(Twitter) 사용자 및 기술 전문 기자들은 쿠루사이가 제시한 개념 증명으로는 위험이 제한돼 있다고 전했다. 이 보고서에는 공격에 필수적인 샌드박스 이스케이프가 포함돼 있지 않기 때문이다. 크롬 버전에 대한 공격은 샌드박스에 아무런 영향을 미치지 않고도 큰 피해를 남길 수 있다. 한편 구글은 패치 배포 주기를 더 짧게 바꿔 테스트된 패치의 효율성을 높일 수 있다.

크롬 브라우저는 전 세계 대부분의 사람들이 검색을 위해 사용하는 인터넷 브라우저이기 때문에 구글은 보안 결함을 해결할 방법을 빨리 찾아야 한다.

[라이헨바흐=허서윤 기자]