크롬 업데이트 필수! 또 제로데이 나와
- 크롬 브라우저에서 발견된 제로데이 취약점
- 사용자 입력값 제대로 확인하지 않는 취약점
- 그 외 고위험군 취약점 5개 더 패치
구글 크롬에서 제로데이 취약점이 발견됐다. 공격자들이 먼저 발견해 이미 익스플로잇 하고 있다. 구글도 이를 파악하고 긴급 보안 권고문을 패치와 함께 발표했다. 크롬 사용자들이라면 최신 버전으로의 업데이트가 필요하다.
문제의 취약점은 CVE-2025-6558로, 윈도 및 맥 환경에서는 138.0.7204.157/.158 미만 버전에, 리눅스 배포판에서는 138.0.7204.157 미만 버전에 영향을 준다. 구글에 의하면 이 취약점은 “ANGLE 및 GPU 구성 요소에서 발견되는 것으로, 사용자 입력값을 제대로 확인하지 않는 것”이 그 특징이라고 한다.
구글은 이 제로데이 취약점을 포함해 총 6개의 보안 취약점을 같이 패치했다고 알렸다. 그 중 3개는 고위험군으로 분류됐다며 조속한 패치 적용이 필요하다고 강조했다. “즉각적인 업데이트를 권합니다. 패치되지 않은 채 크롬을 사용하면 심각한 보안 위험에 노출될 수 있습니다.”
CVE-2025-6558은 구글 내 위협분석그룹(Threat Analysis Group, TAG)이 발견해 보고했다. 일반적으로 구글 내부 팀에서 취약점을 먼저 발견했다는 건 사건 대응 활동이 먼저 있었다는 의미가 된다. 즉, 구글에만 접수된 보안 사고나 소식이 있었고, 이에 대응하다가 취약점을 찾아냈을 가능성이 높다는 것. 제로데이 취약점이 대부분 그렇듯, 사고가 먼저 있고, 그 다음 발견이 이뤄졌음을 시사한다.
이것 외 두 개의 고위험군 취약점이 더 있는데, 이는 다음과 같다.
1) CVE-2025-7656 : 크롬 자바스크립트 엔진인 V8에서 발견된 정수 오버플로우 취약점
2) CVE-2025-7657 : 웹RTC(WebRTC) 기능에서 발견된 UaF 취약점
하지만 이 취약점들에 대한 세부 내용은 아직 공개되지 않았다. 구글은 충분히 많은 사용자들이 패치를 적용할 때까지 기술 정보를 숨기는 편이다. 기술 세부 내용은 방어자들에게도 도움이 되지만 공격자들이 실제 공격 코드를 만드는 데 중대한 힌트가 되기도 한다.
크롬은 수년 째 가장 많은 제로데이 취약점이 발견되는 소프트웨어로 남아 있다. 그만큼 사용자들이 많다는 뜻이다. 사용자들이 많은 소프트웨어는 제로데이 취약점 연구의 1순위가 된다. 과거에는 어도비 플래시 플레이어가 1위를 굳건히 지켰었다. 하지만 제로데이 취약점이 거듭 문제가 되자, 어도비는 플래시 플레이어 자체를 아예 개발 중단했다. 아직 구글이 크롬을 단종시킬 가능성은 없다.
Related Materials
- CVE-2025-6554 details - NIST, 2025년
- Investigation into Google's 'Privacy Sandbox' browser changes - UK Government, 2025년
- Alerte Chrome : Faille Zero-Day CVE-2025-4664 Exploitée ! - Ouest France, 2025년
- Google pushes emergency fix for high-severity Chrome 0-day - The Register, 2025년
- Chrome Zero-Day CVE-2025-6554 Under Active Attack - The Hacker News, 2025년
CheifEditor
