Home > 전체기사
구글의 연이은 제로데이 발표에도 크롬 사용자 83%는 업데이트 안 해
  |  입력 : 2020-11-20 16:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
점유율 1위의 브라우저 크롬...공격자들의 관심과 연구가 집중되는 소프트웨어
연달아 제로데이가 나오는 상황...그럼에도 사용자들의 업데이트 비율은 낮은 상태


[보안뉴스 문가용 기자] 보안 업체 멘로시큐리티(Menlo Security)가 “최근 구글에서 패치한 제로데이 취약점이 그대로 남아 있는 크롬을 사용하는 사람들이 여전히 많다”는 경고의 목소리를 냈다. 약 83%가 취약한 버전의 크롬을 사용하고 있다는 것이다.

[이미지 = utoimage]


멘로의 보안 연구 수석인 비나이 피다탈라(Vinay Pidathala)는 “구글이 최근 연달아 다섯 개의 제로데이를 공개하며 패치를 발표했는데도 업데이트를 하지 않는다는 건 큰 문제”라고 지적한다. 왜냐하면 “제로데이들은 앞으로도 더 나올 것이 분명하기 때문”이다. “인터넷 익스플로러가 한창 공격에 시달리던 때, 해커들이 어땠나요? 집중적으로 연구해 계속해서 취약점을 발굴했죠. 지금 공격자들의 집중 연구 대상이 크롬입니다. 크롬 사용자들이 이를 알고 패치 습관을 길러야 합니다.”

멘로의 제품 마케팅 수석인 메훌 파텔(Mehul Patel)은 “이렇게만 말하면 다들 ‘왜 도대체 업데이트를 하지 않는 거야?’라고 생각할 것”이라며 “소프트웨어 업데이트라는 것이 모두에게 항상 간단한 문제인 것은 아니”라고 설명한다. “일단 업데이트가 성공적으로 적용되려면 대부분의 경우 브라우저를 껐다가 다시 켜야 합니다. 그런데 이 과정을 대부분의 사용자들이 귀찮아 합니다. 또, 기업들의 경우 옛 크롬 버전에서만 호환이 되는 업무용 애플리케이션들을 사용하는 경우가 많아요. 그런 때는 업데이트라는 것이 곧 업무 방해와 직결되기도 합니다.”

결국 업데이트를 하려면 길든 짧든 시간이 소요된다는 것인데, 이 부분을 사용자들이 곤란해 하는 경우가 왕왕 있다는 뜻이다. 보안 업체 룩아웃(Lookout)의 수석 매니저인 행크 슐레스(Hank Schless)는 “시간을 아끼려 온갖 위험에 자신을 노출시키는 것”이라고 말한다. “어쩔 수가 없습니다. 문제를 해결하려면 패치하는 수밖에 없습니다. 공격자들은 늘 취약한 버전의 소프트웨어들을 찾아 헤매고 있다는 걸 기억해야 해요. 패치를 하지 않겠다는 건 맹수가 우글거리는 정글을 맨몸으로 다니는 것과 다름이 없습니다. 지금까지 살아 있다면 순전히 운이 좋았던 겁니다.”

이럴 때 누군가는 이렇게 되묻는다. “나는 중요한 사람이 아니고, 따라서 맛좋은 먹잇감이 아니니 괜찮다”고 말이다. 슐레스는 “그렇지 않다”고 말한다. “누구나 브라우저에 좋은 정보들을 간직하고 있습니다. 브라우징 이력만 해도 해커들에게는 꽤나 가치가 높은 정보거든요. 특히 크롬을 통해 원격에서 회사 네트워크에 접속하는 일이 한 번이라도 있었다면, 이미 당신은 맛좋은 먹잇감입니다.”

패치가 정말로 불가능한 상황이라면 ‘격리 기술’을 기반으로 한 보안 플랫폼을 사용하는 것을 고려해볼 수 있다. “웹 콘텐츠를 엔드포인트로부터 격리시켜서 실행시키는 기술”이라고 파텔은 설명한다. 즉 제로데이 취약점이 아예 사용자 단에서 발동되지 않도록 하는 효과를 가지고 있다. “제로데이의 영향으로부터 벗어나면서도 안전하게 브라우저를 사용할 수 있도록 해 주는 기술입니다. 하지만 패치만큼 근본적인 해결책이라고 하기는 힘듭니다.”

한편 최근 한 달여 만에 구글이 패치한 제로데이 취약점들은 다음과 같다.
1) CVE-2020-16009 / CVE-2020-16013 : 악성 자바스크립트가 샌드박스를 탈출할 수 있도록 해 주는 취약점으로, 공격자는 이를 통해 크롬 렌더링 프로세스 내에서 네이티브 코드를 실행시킬 수 있게 된다.
2) CVE-2020-15999 : 사용자가 방문한 사이트의 폰트의 활용과 관련된 취약점으로, 폰트를 사용자 시스템으로 다운로드 받는 과정에 공격자가 개입해 브라우저에 접근할 수 있게 된다.
3) CVE-2020-16017 : 공격자가 브라우저를 장악하고, 이를 통해 장비의 파일 시스템으로까지 도달할 수 있게 해 준다.
4) CVE-2020-16010 : 안드로이드 장비를 공격자가 장악할 수 있게 해 해주고, 로컬 파일 시스템에 도달할 수 있게 해 준다.

3줄 요약
1. 구글, 최근 연달아 제로데이 패치 발표.
2. 그럼에도 83%의 크롬 사용자가 업데이트를 하지 않고 있음.
3. 업데이트가 불가할 경우 격리 기술 활용한 보안 플랫폼 활용하는 것이 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상