구글 크롬, 또 다시 제로데이 취약점 두 개 패치해

해커들이 먼저 발견해 활용하기 시작한 취약점이 3주간 5개
이번에 발견된 두 개는 고위험군…특수 웹 페이지 만들어 공격 가능

[보안뉴스 문가용 기자] 구글이 다시 한 번 크롬 브라우저의 업데이트를 배포했다. 두 개의 제로데이가 추가로 발견되었기 때문이다. 이 두 가지 취약점 모두 인증 단계를 거치지 않은 원격의 공격자들이 익스플로잇 할 수 있으며, 시스템 침해로 이어진다. 또한 현재 실제 공격에 활용되는 중이라고 한다.

[이미지 = utoimage]

이로써 지난 3주 동안 실제 해커들이 공격에 먼저 활용한 제로데이 취약점이 총 5개로 늘어났다. 구글 크롬 팀의 프루드비쿠마 보마나(Prudhvikumar Bommana)는 블로그 포스트를 통해 제로데이에 대해 상세히 기술하며 CVE-2020-16013과 CVE-2020-16017이라는 번호를 붙였다고 공개했다. 두 가지 취약점 전부 10점 만점에 8.4점으로 고위험군으로 분류됐다. 제보자는 익명으로 처리됐다.

먼저 CVE-2020-16017은 일종의 UaF 취약점이라고 하며, 사이트 격리 기능에서 발견되고 있다고 한다. 원격의 공격자는 웹 페이지를 특수하게 하나 제작하고 피해자가 여기에 접속하도록 유도해야 한다. 피해자가 접속하는 순간 취약점이 발동되며 임의의 코드가 실행된다고 한다.

CVE-2020-16013은 표준에 대한 보안 확인 기능이 제대로 구현되지 않아서 발생하는 문제라고 한다. 구글은 자바스크립트와 웹어셈블리를 처리하는 크롬의 오픈소스 요소인 V8이 부적절하게 구현되었다는 설명을 덧붙였다. 원격의 공격자가 특수하게 조작된 웹 페이지를 만들어 피해자를 유도하면 취약점을 침해할 수 있다고 한다.

11월 초 구글은 CVE-2020-16009라는 취약점을 패치하기도 했었다. 이 역시 제로데이였고, V8 구현과 관련된 것이었다. 하지만 아직까지 CVE-2020-16013과의 관련성은 뚜렷하게 드러난 바가 없다.

구글은 10월 19일부터 시작해 크롬에서 연달아 제로데이 취약점 패치를 배포하기 시작했다. 처음 발견된 건 프리타입(FreeType)에서 발견된 힙 버퍼 오버플로우 취약점이었다. 해커들이 먼저 발견해 실제 공격에 악용했었다. 구글은 제보를 받고 이틀 후에 패치를 배포했다.

그리고 바로 지난 주 구글은 두 개의 제로데이 취약점을 또 다시 패치했다. 데스크톱용 크롬과 안드로이드용 크롬에서 발견된 취약점들이었다. 둘 다 실제 공격에 활용되고 있었다.

3줄 요약
1. 구글, 또 다시 크롬에서 제로데이 취약점 패치.
2. 이번에 발견된 건 두 개로, 고위험군이며, 실제 공격에 활용되고 있었음.
3. 이것으로 지난 3주 동안 크롬에서 발견된 제로데이가 5개.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)