구글이 긴급 보안 업데이트를 배포하며 크롬 브라우저의 고위험 제로데이 취약점을 해결했다. 이번 취약점은 CVE-2026-11645로 분류되며, 브라우저의 핵심 구성 요소인 V8 자바스크립트 엔진에서 발견되었다. 2026년 들어 구글이 패치한 다섯 번째 실제 악용 사례다. 보안 권고문에 따르면 이 결함을 악용하는 코드가 이미 외부에서 관찰된 상태다. 이번 사건은 사이버 범죄자, 정부 지원 해킹 단체, 상용 스파이웨어 운영자들이 웹 브라우저를 주요 공격 표면으로 삼는 현실을 다시 한 번 확인시켜 주었다.
전 세계 사용자 대상 긴급 업데이트
구글은 익명의 보안 연구원이 이 취약점을 발견한 직후 모든 주요 데스크톱 플랫폼(윈도, macOS, 리눅스)에 대해 패치 버전 배포를 시작했다. 업데이트된 빌드는 Chrome 149.0.7827.102(윈도·리눅스)와 Chrome 149.0.7827.103(macOS)이다. 전체 롤아웃은 표준 업데이트 채널을 통해 며칠에서 몇 주까지 걸릴 수 있다고 회사 측은 밝혔다. 그러나 보안 연구원들은 크롬의 수동 업데이트 기능을 통해 즉시 패치를 받을 수 있다고 확인했다. 사용자는 브라우저 설정 메뉴에서 'Chrome 정보' 섹션으로 들어가 업데이트를 수동으로 트리거할 수 있다.
V8 엔진의 메모리 오류가 핵심
이번에 해결된 취약점은 V8 엔진 내 버퍼 오버플로우(boundary out-of-bounds read/write) 결함이다. 이는 소프트웨어가 할당된 메모리 영역을 벗어난 위치에 접근할 때 발생하며, 메모리 손상, 정보 유출, 애플리케이션 충돌, 나아가 임의 코드 실행까지 초래할 수 있다. 구글은 공격자가 CVE-2026-11645를 악용하기 위해 악성 또는 감염된 웹사이트를 통해 특수 제작된 HTML 콘텐츠를 전달할 가능성이 있다고 경고했다. 피해자가 해당 페이지를 방문하기만 해도, 크롬의 샌드박스 보호 계층을 우회해 결함이 작동할 수 있다. 샌드박스는 웹 콘텐츠와 운영체제를 분리하는 핵심 보안 장치이지만, 이번 취약점은 그마저도 무력화할 위험을 지녔다.
메모리 손상 취약점의 위험성
브라우저 엔진의 메모리 손상 결함은 가장 값비싼 소프트웨어 취약점 중 하나로 꼽힌다. 복합 공격의 첫 단계로 활용되는 경우가 많기 때문이다. 구글이 공개한 기술 정보에 따르면 CVE-2026-11645의 성공적 악용은 다음과 같은 결과를 초래할 수 있다:
- 지정된 경계를 벗어난 메모리 내용 읽기
- 힙 메모리 구조 손상
- 브라우저 프로세스 내 저장된 민감 정보 유출
- 브라우저 충돌 및 불안정 유발
- 메모리 보호 메커니즘 우회
- 추가 취약점과 연계한 코드 실행 공격 가능
이런 종류의 버퍼 오버플로우 결함은 주소 공간 배치 난수화(ASLR) 같은 방어 체계를 우회하는 데 자주 사용된다. ASLR은 메모리 배치 정보를 숨겨 공격을 어렵게 만드는 기술이다. 공격자가 메모리 레이아웃을 알아내거나 핵심 구조를 손상시키면 후속 공격의 신뢰성을 크게 높일 수 있다. 추가 취약점이 존재할 경우 시스템 전체가 장악될 위험도 있다.
구글, 악용 방지를 위해 세부 정보 제한
구글은 현재 악용 중인 취약점에 대한 표준 관행에 따라 기술적 세부 정보를 공개하지 않기로 했다. 회사 측은 버그 세부 내용, 개념증명 코드, 관련 문서 등은 대다수 사용자가 보안 업데이트를 설치할 때까지 제한될 것이라고 밝혔다. 이 정책은 취약한 시스템이 패치되기 전에 추가 공격자가 모방 익스플로잇을 개발하는 것을 막기 위한 것이다. 구글은 또한 유사한 코드를 사용하는 타사 소프트웨어 프로젝트가 아직 수정 사항을 적용하지 않은 경우, 정보 공개 제한이 연장될 수 있다고 밝혔다. 누가 이 취약점을 발견했는지, 누가 악용하고 있는지, 그리고 이 공격이 금전적 동기의 사이버 범죄자, 국가 행위자, 상용 감시 업체와 연관되었는지는 공개되지 않았다.
2026년 다섯 번째 크롬 제로데이
CVE-2026-11645는 올해 구글이 해결한 다섯 번째 실제 악용 크롬 취약점이다. 2026년 상반기 동안 회사는 일련의 중대한 보안 결함에 대응해 왔다:
- CVE-2026-2441: 2월에 패치됨. CSSFontFeatureValuesMap의 반복자 무효화 문제로, CSS 글꼴 기능 값을 처리하는 구성 요소에 영향을 줬다.
- CVE-2026-3909: 3월에 공개됨. Skia 그래픽 라이브러리에서 발생한 버퍼 오버플로우 쓰기 결함이다. Skia는 크로미움 생태계 전반에서 사용되는 오픈소스 그래픽 엔진이다.
- CVE-2026-3910: 같은 3월에 패치됨. V8 자바스크립트 및 웹어셈블리 엔진 내 구현 취약점으로, 특정 조건에서 브라우저 동작을 조작할 수 있었다.
- CVE-2026-5281: 4월에 해결됨. Dawn(구글의 WebGPU 구현체)에서 발견된 use-after-free 취약점이다. WebGPU는 고급 그래픽 처리와 하드웨어 가속을 지원한다.
메모리 안전성 취약점(use-after-free, out-of-bounds read/write)은 브라우저 공격 활동에서 여전히 지배적인 위치를 차지한다. 브라우저 업체들이 방어 체계를 강화해 왔음에도 불구하고 이런 결함은 계속해서 등장하고 있다. 이러한 패턴은 브라우저 개발에 Rust 같은 메모리 안전 언어를 더 폭넓게 도입해야 한다는 목소리를 다시 높이고 있다. 구글, 마이크로소프트 등 주요 기술 기업들은 메모리 관리 오류가 중요한 소프트웨어 취약점의 상당 부분을 차지한다는 연구 결과에 따라 메모리 안전 이니셔티브를 강화해 왔다. 크롬은 이미 사이트 격리, 샌드박싱, 익스플로잇 탐지 시스템, 강화된 프로세스 분리 등 다양한 보호 장치를 갖추고 있다. 그러나 보안 전문가들은 메모리 안전성이 낮은 코드를 줄이는 것이 브라우저 공격에 대한 가장 효과적인 장기적 방어책이라고 지적한다.