속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
CVE·취약점AI 초안

크롬 브라우저 치명적 UAF 취약점(CVE-2026-13775), 샌드박스 탈출 허용

구글 크롬 150.0.7871.47 이전 버전에서 GPU 처리 과정의 Use After Free 취약점으로 샌드박스 우회 공격 가능. CVSS 9.8 긴급 등급.

백남정 기자
입력 2026년 7월 8일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/ff3c81

핵심 요약

- 구글 크롬 150.0.7871.47 이전 버전에서 GPU 처리 중 Use After Free(UAF) 취약점 발견, CVSS 9.8 긴급(Critical) 등급 - 렌더러 프로세스가 침해된 상황에서 악의적 HTML 페이지를 통해 샌드박스 탈출 공격 수행 가능 - 2026년 6월 크로미움 보안 업데이트를 통해 패치 배포, 즉시 업데이트 권고

주요 내용

구글은 2026년 6월 데스크톱용 크롬 안정 채널 업데이트를 통해 치명적인 보안 취약점 CVE-2026-13775를 패치했다. 이 취약점은 크롬 브라우저의 GPU 처리 과정에서 발생하는 Use After Free(UAF) 메모리 오류로, 이미 해제된 메모리 영역을 다시 참조할 때 발생하는 전형적인 메모리 손상 취약점이다.

특히 이번 취약점의 심각성은 샌드박스 탈출(Sandbox Escape) 가능성에 있다. 공격자가 먼저 렌더러 프로세스를 장악한 후, 정교하게 조작된 HTML 페이지를 통해 이 취약점을 트리거하면 크롬의 핵심 보안 메커니즘인 샌드박스를 우회할 수 있다. 샌드박스는 웹 콘텐츠 처리를 격리된 환경에서 실행하여 시스템 전체로의 공격 확산을 차단하는 중요한 방어 계층이다.

CVSS 3.x 기준 9.8점이라는 최고 수준의 점수가 부여된 것은 네트워크를 통한 원격 공격이 가능하고, 공격 복잡도가 낮으며, 사용자 상호작용이 최소화되어 있고, 기밀성·무결성·가용성 모두에 높은 영향을 미치기 때문이다. 크로미움 프로젝트 역시 이를 'Critical' 등급으로 분류하여 최우선 대응 대상으로 지정했다.

해당 취약점은 크로미움 이슈 트래커(issues.chromium.org/issues/511766407)에 등록되어 있으며, 구글은 세부 익스플로잇 정보 공개를 제한하여 패치되지 않은 시스템에 대한 공격 가능성을 최소화하고 있다. GPU 관련 취약점은 그래픽 가속 기능을 활용하는 모든 웹 애플리케이션에서 트리거될 수 있어 공격 표면이 넓다는 특징이 있다.

전문가 시각

Use After Free 취약점은 C/C++ 기반 대규모 소프트웨어에서 지속적으로 발생하는 고전적이면서도 여전히 치명적인 메모리 안전성 문제다. 특히 멀티프로세스 아키텍처를 채택한 크롬에서 GPU 프로세스는 높은 권한으로 동작하며 하드웨어 리소스에 직접 접근하기 때문에, 이 영역의 취약점은 샌드박스 우회의 직접적인 경로가 될 수 있다. 렌더러 프로세스 침해를 선행 조건으로 하고 있지만, 실제 공격 시나리오에서는 다른 낮은 등급의 취약점과 체이닝하여 완전한 시스템 장악으로 이어질 수 있다.

기업 환경에서는 중앙집중식 패치 관리 체계를 통해 크롬 브라우저를 150.0.7871.47 이상으로 즉시 업데이트해야 한다. 특히 금융, 의료, 공공기관 등 민감정보를 다루는 조직은 브라우저 자동 업데이트 정책을 강제하고, 레거시 버전 사용을 모니터링해야 한다. ISMS-P 인증 기준상 소프트웨어 취약점 관리 절차에 따라 취약점 공지 후 30일 이내 패치 적용을 권고하고 있으나, Critical 등급의 경우 즉시 적용이 필요하다. 또한 EDR(Endpoint Detection and Response) 솔루션을 통해 브라우저 프로세스의 비정상적인 메모리 접근 패턴을 탐지하는 보완적 통제도 고려해야 한다.

영향받는 시스템 및 조치사항

영향받는 버전: Google Chrome 150.0.7871.47 이전의 모든 데스크톱 버전(Windows, macOS, Linux)

CVSS 3.x 점수 해석: - 기본 점수: 9.8 (Critical) - 공격 벡터(AV): Network - 원격 네트워크를 통한 공격 가능 - 공격 복잡도(AC): Low - 특수한 조건 없이 공격 재현 가능 - 권한 요구사항(PR): None - 사전 인증 불필요 - 사용자 상호작용(UI): None - 사용자 개입 최소화 - 영향 범위: 기밀성·무결성·가용성 모두 High

조치사항: 1. 즉시 조치: 크롬 브라우저를 최신 버전(150.0.7871.47 이상)으로 업데이트 - 메뉴 > 도움말 > Chrome 정보에서 자동 업데이트 실행 - 기업 환경: Google Admin Console을나 GPO를 통한 강제 업데이트 배포 2. 검증: chrome://settings/help에서 버전 확인 3. 대체 통제: 패치 적용 전까지 하드웨어 가속 비활성화 고려(chrome://settings > 고급 > 시스템) 4. 모니터링: 브라우저 크래시 로그 및 비정상 프로세스 행위 감시

CPPG·ISMS-P 연계 포인트

1. 샌드박스(Sandbox) 보안 메커니즘 샌드박스는 신뢰할 수 없는 코드를 격리된 환경에서 실행하여 시스템 리소스 접근을 제한하는 보안 기법이다. 크롬은 각 탭과 플러그인을 독립된 프로세스에서 실행하며, 렌더러 프로세스는 최소 권한 원칙에 따라 파일 시스템이나 네트워크 접근이 제한된다. CVE-2026-13775는 이러한 샌드박스 경계를 무너뜨릴 수 있는 탈출(Escape) 취약점으로, 다중 방어 계층(Defense in Depth) 중 핵심 계층의 우회를 의미한다. ISMS-P 인증기준 2.8.2(보안 기능 점검) 및 개인정보 안전성 확보 조치 기준에서 요구하는 접근통제 메커니즘의 무력화 사례로 해석된다.

2. Use After Free(UAF) 메모리 취약점 UAF는 프로그램이 동적으로 할당된 메모리를 해제(free)한 후, 해당 메모리 포인터를 통해 다시 접근(use)할 때 발생하는 취약점이다. 해제된 메모리가 다른 용도로 재할당되면 공격자는 메모리 내용을 조작하여 임의 코드 실행, 권한 상승 등을 시도할 수 있다. 시큐어 코딩 가이드(CWE-416)에서 지속적으로 경고하는 항목이며, ISMS-P 인증기준 2.5.3(보안 요구사항 구현)에서 요구하는 안전한 개발 생명주기(SDL)의 핵심 점검 사항이다. 메모리 안전성 확보를 위해 스마트 포인터, RAII 패턴, 정적 분석 도구 활용 등이 권고된다.

#CVE-2026-13775#크롬취약점#Use After Free#샌드박스탈출#GPU보안
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사