크롬이 다시 공격받다: 구글, 2025년 네 번째 제로데이 취약점 패치

구글은 월요일에 전 세계의 윈도우 및 맥 사용자에게 영향을 미치는 제로데이 취약점을 해결하기 위해 크롬에 대한 긴급 보안 업데이트를 발표했습니다. 이는 2025년 초 이후로 수정된 네 번째 크롬 제로데이입니다.

제로데이 취약점은 CVE-2025-6554로 추적되며, 크롬의 V8 자바스크립트 및 웹어셈블리 엔진에서 발생하는 고위험 “타입 혼동” 버그 취약점으로 설명되었습니다.

구글의 위협 분석 그룹(TAG) 소속 보안 연구원인 클레멘트 레신(Clement Lecigne)은 2025년 6월 25일 제로데이 취약점을 신고한 공로로 인정받고 있습니다. TAG는 국가 행위자와 관련된 정교한 공격을 밝혀내는 것으로 알려져 있습니다.

취약점이란 무엇인가?

V8, 크롬의 자바스크립트 엔진에서 발생하는 타입 혼동 결함은 브라우저가 처리하는 데이터의 유형에 혼란을 겪을 때 발생합니다. 이는 크롬이 메모리를 잘못 해석하게 하여 임의의 읽기/쓰기를 가능하게 하고, 경우에 따라 전체 원격 코드 실행(RCE)을 허용할 수 있습니다.

이 실수는 해커가 접근해서는 안 되는 메모리의 일부에 접근할 수 있게 하여, 해커가 악성 코드를 실행하거나 브라우저를 충돌시킬 수 있게 할 수 있습니다.

“구글은 CVE-2025-6554에 대한 익스플로잇이 실제로 존재한다는 것을 알고 있습니다.”라고 기술 대기업은 월요일에 발표한 보안 자문에서 밝혔습니다.

국가 취약점 데이터베이스(NVD)에 따르면, 이 결함은 138.0.7204.96 이전의 크롬 버전에 영향을 미치며, 공격자가 악성 코드를 실행하거나 애플리케이션을 충돌시킬 수 있게 할 수 있습니다.

완화 조치

구글은 2025년 6월 26일, 크롬의 안정적인 채널을 통해 제로데이 취약점을 수정하기 위해 서버 측에서 임시 완화 조치를 배포했습니다. 이 회사는 안정적인 데스크탑 채널의 크롬 사용자에게 전체 패치를 배포했습니다: 윈도우(138.0.7204.96/.97), 맥(138.0.7204.92/.93), 리눅스 사용자(138.0.7204.96).

“버그 세부정보 및 링크에 대한 접근은 대다수의 사용자가 수정된 후까지 제한될 수 있습니다. 또한, 다른 프로젝트가 의존하고 있지만 아직 수정되지 않은 제3자 라이브러리에 버그가 존재하는 경우에도 제한을 유지할 것입니다.”라고 구글은 말했습니다.

구글은 공격의 착취 또는 공격 뒤에 있는 위협 행위자에 대한 세부정보를 아직 공개하지 않았습니다. 결함이 실제로 악용되고 있기 때문에, 사용자는 가능한 한 빨리 보안 패치를 적용하여 장치와 자신을 중대한 보안 위험으로부터 보호하는 것이 강력히 권장됩니다.

크롬의 자동 업데이트가 결국 수정 사항을 설치하겠지만, 설정 > 도움말 > 구글 크롬 정보로 이동하여 크롬을 수동으로 업데이트할 수도 있습니다.

왜 네 번째인가?

** 2025년 동안 크롬에서 패치된 이전 제로데이에는 CVE20252783(3월): 윈도우의 모조에서 특정 상황에서 잘못된 핸들이 제공됨; CVE20254664(5월): 로더에서 불충분한 정책 시행; CVE20255419(6월): V8에서 경계 초과 읽기 및 쓰기가 포함됩니다.

CVE20256554가 이제 패치됨에 따라, 이는 단 7개월 만에 해결된 네 번째 활성 제로데이 익스플로잇을 의미합니다.