구글 크롬, 하루만에 뚫렸다

구글이 야심차게 내놓은 웹브라우저 크롬이 베타판 배포 하루만에 보안에 구멍이 뚫렸다.

미국 국토안보부 산하 컴퓨터긴급대응팀(US-CERT)은 2일(현지시간) 구글이 공개한 웹브라우저 ‘구글 크롬’에서 경고창이 뜨지 않은 채 파일이 다운로드되거나, 특정 명령어가 들어간 사이트에 접속할 경우 모든 브라우저가 종료되는 등 치명적인 보안 취약점들이 발견됐다고 경고했다.

대응팀은 “크롬에서는 파일을 클릭할 경우 이용자의 다운로드 동의를 구하는 창이 뜨지 않는다”며 “누리꾼들은 자신도 모르게 악성 코드가 첨부된 파일을 다운받아 실행할 우려가 있다”고 지적했다.

이 허점을 발견한 아비브 라프(Aviv Raff) 연구원은 “구글 크롬은 새로운 발명품이 아니라 ‘사파리’와 ‘자바 V8’을 이용해 만들어진 제품”이라며 “크롬은 보안상 취약점이 고쳐지지 않은 3.1(WebKit 525.13) 버전의 렌더링 엔진을 사용했기 때문에 이러한 문제가 발생했다”고 밝혔다. 이 취약점은 사파리 v3.12에 이르러서야 해결된 것으로 알려졌다.

이 연구원은 또 구글 크롬의 이용자가 가짜 실행파일을 보안 경고 없이 곧바로 다운로드받아 실행하는 데모를 시연하기도 했다.

컴퓨터긴급대응팀은 보안 문제를 해결하기 위해 구글 크롬의 옵션에서 ‘파일을 다운로드하기 전 저장할 장소를 찾는다’는 옵션을 켜 놓으라고 권고했다. 대응팀은 “이 옵션을 켜면 취약점이 없어지는 것은 아니나, 파일의 다운로드 여부를 묻는 경고창이 표시되게 된다”고 설명했다.

　한편, 보안 블로그 에빌핑거스닷컴(EvilFingers.com)과 보안 연구사이트 시큐리팀(Securiteam)은 구글 크롬을 사용해 특수문자가 들어간 명령어 오류(undefined handlers)를 포함한 악성 사이트에 접속할 경우 브라우저 창이 모두 닫히는 현상이 발생한다고 지적했다. 이 경우 ‘크롬’ 화면에서 “Whoa, Google Chrome has crashed. Restart now?(구글 크롬이 크래시 됐습니다.

다시 시작합니까?)”라는 메시지가 표시된다.

/fxman@fnnews.com백인성기자