보안 · 2 min read · Dec 21, 2025

해커들이 파이어폭스, 크롬 및 사파리의 18년 된 보안 결함을 악용하다

이스라엘에 본사를 둔 사이버 보안 회사 Oligo의 연구원들이 구글의 크로미움, 모질라 파이어폭스, 애플의 사파리를 포함한 모든 주요 웹 브라우저에 영향을 미치는 18년 된 심각한 취약점을 발견했습니다. 이 취약점은 공격자가 로컬 네트워크를 침해할 수 있게 합니다.

“0.0.0.0 데이”라는 이름이 붙은 이 취약점은 모든 주요 브라우저의 보안 기능을 우회하고 조직의 로컬 네트워크에서 실행 중인 서비스와 상호 작용합니다.

이 상호 작용은 위협 행위자에게 민감한 정보에 대한 무단 접근을 허용할 수 있으며, 어떤 경우에는 로컬 서비스에서 원격 코드를 실행할 수 있게 합니다.

다시 말해, 공격자는 네트워크 외부에서 파일, 메시지 및 자격 증명에 접근하고, 데이터를 조작하거나 훔치고, 작업을 중단시키거나 추가 악성 소프트웨어를 설치할 수 있습니다.

그러나 이 심각한 결함은 리눅스와 macOS를 실행하는 컴퓨터에만 영향을 미치며, 마이크로소프트가 운영 체제 수준에서 IP 주소를 차단하기 때문에 윈도우에는 영향을 미치지 않는다는 점에 유의해야 합니다.

Oligo의 AI 보안 연구원인 Avi Lumelsky에 따르면, 공용 웹사이트(예: .com으로 끝나는 도메인)는 로컬 네트워크(로컬호스트)에서 실행 중인 서비스와 통신할 수 있으며, 0.0.0.0 주소를 사용하여 방문자의 호스트에서 임의의 코드를 실행할 수 있습니다.

“문제는 서로 다른 브라우저에서 보안 메커니즘의 일관되지 않은 구현과 브라우저 산업의 표준화 부족에서 비롯됩니다. 결과적으로, 겉보기에는 무해한 IP 주소인 0.0.0.0이 개발, 운영 체제 및 내부 네트워크에 사용되는 로컬 서비스를 악용하기 위한 강력한 도구가 될 수 있습니다.”라고 Lumelsky는 보안 블로그 게시물에서 썼습니다.

Oligo는 또한 이 취약점이 Cross-Origin Resource Sharing (CORS) 및 Private Network Access (PNA)와 같은 기존 보호 메커니즘을 우회한다고 설명합니다. 이러한 메커니즘은 이 위험한 활동을 방지하지 못합니다.

Oligo의 보안 연구원들은 ShadowRay 및 SeleniumGreed와 같은 캠페인 공격을 포함하여 이 결함을 악용하는 여러 위협 행위자를 관찰했습니다.

ShadowRay에서는 이 캠페인이 개발자의 머신(Ray 클러스터)에서 로컬로 실행되는 AI 작업 부하를 적극적으로 겨냥했으며, Selenium에서는 위협 행위자들이 Selenium Grid 공용 서버를 활용하여 조직에 대한 초기 접근을 얻고, 알려진 원격 코드 실행(RCE) 취약점을 사용했습니다.

Oligo의 공개에 대응하여 웹 브라우저 개발자들은 구글 크롬, 모질라 파이어폭스 및 애플 사파리에서 0.0.0.0에 대한 접근을 차단하기 위한 조치를 취하기 시작했습니다:

구글 크롬: 세계에서 가장 인기 있는 웹 브라우저는 0.0.0.0에 대한 접근을 차단하기로 결정했습니다(핀치 롤아웃). 이는 크로미움 128부터 시작하여 점진적으로 롤아웃되며, 크롬 133에서 완료됩니다. 그 시점에서 IP 주소는 모든 크롬 및 크로미움 사용자에게 완전히 차단됩니다.

모질라 파이어폭스: 파이어폭스 사용자는 패치를 위해 조금 더 기다려야 할 수도 있습니다. 모질라는 0.0.0.0을 차단하는 것이 해당 주소를 사용하는 서버에 상당한 호환성 문제를 일으킬 수 있다고 밝혔습니다. 따라서 현재 0.0.0.0에 대한 접근을 차단하지 않았지만, 향후 차단할 계획이 있습니다.

애플 사파리: 애플은 macOS Sequoia의 공개 베타 버전으로 웹사이트가 0.0.0.0에 쿼리를 보내는 모든 시도를 차단할 계획입니다. 이 업데이트는 Safari 18과 함께 제공되며, macOS Sonoma 및 macOS Ventura에 롤아웃될 것으로 예상됩니다.

브라우저 수정이 도착할 때까지 Oligo는 앱 개발자들이 로컬 애플리케이션을 보호하기 위해 아래 조치를 따를 것을 제안합니다:

  • PNA 헤더를 구현합니다.

  • DNS 리바인딩 공격으로부터 로컬호스트 또는 127.0.0.1을 보호하기 위해 요청의 HOST 헤더를 검증합니다.

  • 로컬호스트 네트워크를 신뢰하지 마십시오. 로컬에서도 최소한의 인증 계층을 추가합니다.

  • 가능할 때 HTTPS를 사용합니다.

  • 로컬 애플리케이션에도 CSRF 토큰을 구현합니다.

  • 개발자는 브라우저가 게이트웨이 역할을 하며, 많은 브라우저에서 내부 IP 주소 공간에 대한 라우팅 기능을 가지고 있다는 점을 기억해야 합니다.

Share: X/Twitter LinkedIn
#보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.