승인되지 않은 데이터 접근 및 RCE 위험 확인
구글, 긴급 업데이트 배포

[보안뉴스 김형근 기자] 구글은 크롬 브라우저의 웹뷰 태그 구성 요소에서 보안 제한을 우회할 수 있는 고위험 취약점(CVE-2026-0628)을 발견하고 긴급 업데이트를 시행했다.



이 취약점은 웹뷰 태그 내에서 정책 강제 집행이 불충분하게 이루어지는 정책 집행 미비 문제로 발생했다.

웹뷰는 전체 브라우저를 실행하지 않고도 앱 인터페이스 내에서 웹 콘텐츠를 표시할 수 있게 해주는 필수 구성 요소다.

공격자가 이 결함을 악용할 경우, 정상적 보안 제어 장치를 건너뛰고 승인되지 않은 데이터에 접근하거나 기밀 정보를 탈취할 위험이 크다.

최악의 경우 웹뷰를 사용하는 앱 내에서 해커가 임의의 악성 코드를 실행(RCE)해 사용자 기기를 완전히 장악할 수도 있다.

구글은 책임 있는 공개 관례에 따라 대다수 사용자가 패치를 설치할 때까지 취약점에 대한 구체적 기술 정보 공개를 일시적으로 제한했다.

이 조치는 해커들이 패치 내용을 역설계해 업데이트를 하지 않은 사용자를 공격하는 것을 방지하기 위해서다.

구글은 이번 취약점 발견에 기여한 외부 보안 연구원들의 공로를 인정하며, 협력적 보안 생태계의 중요성을 다시 한번 강조했다.

개발 과정에서 구글은 주소검사기(ASAN)나 리브퍼저같은 고도화된 탐지 도구를 사용해 결함을 찾아내고 있지만, 여전히 새로운 취약점은 발생하고 있다.

업데이트 대상은 윈도우와 맥용 크롬 버전 143.0.7499.192/.193과 리눅스용 143.0.7499.192 버전이다.

안드로이드용 크롬 역시 동일한 보안 수정 사항을 포함한 최신 버전으로 업데이트가 진행 중임을 확인했다.

사용자는 크롬 설정 메뉴의 ‘도움말-구글 크롬 정보’를 통해 브라우저가 최신 상태인지 즉시 확인해야 했다.

기업 환경에서 크롬을 사용하는 조직들은 인프라 전반에 걸쳐 이 보안 패치를 최우선적으로 적용할 필요가 있다.

구글은 보안 연구원들에게 취약점 제보 버그바운티에 참여할 것을 권고하고 보안 강화에 총력을 기울이고 있다.

웹 기술이 복잡해질수록 이를 지탱하는 하부 구성 요소들의 보안 무결성 유지가 중요 과제로 떠오르는 상황이다. 사용자의 작은 실천인 ‘업데이트’가 거대한 사이버 공격을 막는 가장 강력한 방어선이 된다고 전문가들은 권고한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>