Chrome 제로데이 CVE-2026-5281: WebGPU Dawn 취약점 긴급 패치
목차
개요
구글이 Chrome 브라우저의 보안 업데이트를 발표하여 실제 공격에 악용되고 있는 제로데이 취약점을 포함한 21개의 보안 결함을 수정했다. 가장 심각한 취약점은 CVE-2026-5281로, WebGPU 구현체인 Dawn 라이브러리에서 발견된 use-after-free 버그이다. 구글은 이 취약점이 실제 공격 사례가 존재한다고 공식 인정했다.
취약점 세부사항
CVE-2026-5281은 Chrome의 WebGPU 구현을 담당하는 Dawn 라이브러리에서 발견된 use-after-free 취약점이다.
| 항목 | 내용 |
|---|---|
| CVE 번호 | CVE-2026-5281 |
| 영향 컴포넌트 | Dawn (WebGPU 구현체) |
| 취약점 유형 | Use-After-Free |
| 공격 벡터 | 악의적 HTML 페이지 |
| 악용 상태 | 실제 공격 사례 확인 |
use-after-free는 이미 해제된 메모리 영역에 접근하는 버그로, 공격자가 이를 악용하면 임의 코드 실행이 가능하다. 렌더링 프로세스를 제어한 공격자가 악의적으로 제작된 HTML 페이지를 통해 원격 코드 실행을 시도할 수 있다.
영향 범위
Chrome 146.0.7680.178 이전 버전이 이 취약점의 영향을 받는다. 이번 업데이트에서는 CVE-2026-5281을 포함하여 총 21개의 보안 결함이 수정되었다. WebGPU는 웹 브라우저에서 GPU 가속 그래픽과 연산을 수행하는 최신 API로, 3D 렌더링이나 머신러닝 추론 등에 사용된다. Chrome 기반 브라우저(Edge, Brave, Opera 등)도 동일한 Chromium 엔진을 사용하므로 영향을 받을 수 있다.
대응 방법
즉시 Chrome을 최신 버전(146.0.7680.178 이상)으로 업데이트해야 한다. Chrome 메뉴에서 “도움말 - Chrome 정보”를 선택하면 자동 업데이트가 시작된다. 업데이트 후 브라우저를 재시작해야 패치가 적용된다. 기업 환경에서는 Chrome 관리 정책을 통해 강제 업데이트를 배포하는 것이 권장된다.
의미와 시사점
이번 사례는 브라우저 보안에서 몇 가지 중요한 점을 보여준다. WebGPU와 같은 새로운 웹 API가 새로운 공격 표면을 만들어내고 있다. GPU 관련 코드의 메모리 안전성이 중요한 보안 이슈로 부상하고 있다. 제로데이 취약점이 실제 공격에 활용되고 있으므로, 브라우저 업데이트를 지연하지 않는 것이 중요하다.
결론
CVE-2026-5281은 WebGPU Dawn 라이브러리의 use-after-free 취약점으로, 실제 공격에 악용되고 있다. Chrome 사용자는 즉시 146.0.7680.178 이상으로 업데이트해야 한다. 브라우저의 새로운 기능이 확대됨에 따라 공격 표면도 넓어지고 있으므로, 정기적인 보안 업데이트 적용이 필수적이다.