by Wizard

긴급! 크롬 브라우저 제로데이 취약점 또 발견: V8 엔진 Type Confusion 주의보

최근 몇 달 사이 벌써 세 번째입니다. 구글 크롬 브라우저의 핵심 엔진인 V8 JavaScript 엔진에서 잠재적으로 심각한 제로데이 취약점이 발견되어 구글이 긴급 수정에 나섰습니다. 이번 취약점은 CVE-2025-13223으로 명명되었으며, 구글 내부 위협 분석 그룹(TAG)의 Clément Lecigne에 의해 발견되었습니다.

제로데이 취약점, 활발히 악용 중

더욱 심각한 것은 구글이 이 취약점이 실제 환경에서 활발히 악용되고 있다는 증거를 발견했다는 점입니다. 다른 공격 그룹에게 힌트를 주지 않기 위해 구글은 구체적인 내용은 밝히지 않았지만, "CVE-2025-13223에 대한 익스플로잇이 야생에서 존재한다는 것을 인지하고 있습니다."라고 언급했습니다. CVSS 점수는 8.8로 '높음' 등급으로 분류되었습니다.

취약점의 정체: V8 엔진 Type Confusion

취약점에 대한 설명 또한 매우 간략합니다. V8 JavaScript 엔진의 Type Confusion 취약점이라는 것 외에는 구체적인 정보가 없습니다. V8 엔진은 크롬뿐만 아니라 마이크로소프트 엣지, 브레이브, 오페라 등 크로미움 기반 브라우저의 핵심 요소입니다. 즉, 전 세계적으로 가장 널리 사용되는 브라우저들에 영향을 미칠 수 있다는 의미입니다.

패치 적용까지 제한적인 정보 공개

구글은 대부분의 사용자가 수정 사항으로 업데이트될 때까지 버그에 대한 자세한 내용과 링크에 대한 접근을 제한할 수 있다고 밝혔습니다. 또한, 버그가 다른 프로젝트가 유사하게 의존하는 타사 라이브러리에 존재하는 경우에도 제한을 유지할 것이라고 덧붙였습니다. 따라서 CVE-2025-13223에 대한 자세한 설명은 당분간 기대하기 어려울 수 있습니다.

Type Confusion 취약점의 위험성

V8 엔진은 2008년 구글에서 JavaScript 속도를 향상시키기 위해 도입되었습니다. Type Confusion은 C++ 코드로 작성된 컴포넌트에서 메모리 손상, 경계 외 접근, 최악의 경우 코드 실행을 유발할 수 있는 취약점입니다. CVE-2025-13223은 사용자가 악성 웹사이트를 방문하는 것만으로도 악용될 수 있다는 가능성을 내포하고 있습니다.

기업 환경에서의 신속한 대응

기업 고객은 윈도우용 크롬 버전 142.0.7444.175/.176, 맥용 142.0.7444.176, 리눅스용 142.0.7444.175로 업데이트하여 두 가지 취약점을 모두 해결할 수 있습니다. 일반적으로 기업은 8주마다 ESC(Extended Stable Channel)를 통해 패치를 적용하지만, 제로데이 취약점의 경우 수동으로 며칠 내에 적용해야 합니다.

공유 컴포넌트의 위험성

위험 관리 회사 Safetica의 CTO인 Zbyněk Sopuch는 "제로데이는 빠른 패치와 테스트를 위한 힘든 싸움을 의미하기 때문에 기업 관리자에게 큰 부담입니다. 크롬 업데이트는 예고 없이 자주 발생하기 때문에 팀은 휴식을 취할 수 없습니다."라고 말했습니다. 또한, "공유 컴포넌트는 위험 범위를 확대하며, 더 넓은 커뮤니티가 조직적으로 패치를 적용할 때까지 V8은 가장 매력적인 대상 중 하나로 남을 것입니다."라고 덧붙였습니다.

결론

공격자들은 항상 V8을 표적으로 삼을 방법을 찾고 있습니다. V8은 크롬뿐만 아니라 다른 많은 앱에서도 사용되기 때문입니다. 크롬 사용자들은 최신 버전으로 업데이트하여 보안을 강화하고, 기업 환경에서는 더욱 신속한 패치 적용을 통해 제로데이 공격에 대비해야 합니다. V8 엔진의 취약점은 언제든 발생할 수 있으며, 그 파급력은 매우 클 수 있다는 점을 명심해야 합니다.