The Chromium Project 0-day 이슈

최근에 log4j로 인해 잔뜩 홍역을 치뤘던 IT업계에서 또 새로운 홍역을 치를 예정이다. 별건아니고 정말 큰 이슈인데 바로 인터넷 에플리케이션("크롬, 엣지 등", 사파리, 파이어폭스 제외) 에서 "제로데이 취약점"이 발견되었기 때문이다. (제로데이가 뭔지 몰?루 인 사람은 다음링크를 보고오자)

 

최소 약 30억개 이상의 기기에서 문제가 생겼다고 볼 수 있는데, 단순 계산만으로도 구글크롬의 사용자가 30억명이 넘기 때문이다.

아무튼 아래의 링크를 따라 들어가 보도록 하자. 크롬 버전을 확인할 수 있는 링크이다. 금방 업데이트를 해서 따끈따근한 버전 확인 중 인 필자의 모습이다.

chrome://settings/help

Qualys에 따르면 이번 취약점을 공격하게 된다면 해당 pc를 완전히 해킹범의 소유로 만들 수 있으며, 시스템 자체를 박살낼 수 있다고 한다.(작살을 내 버리겠습니다. 쾅! 에엒따...)

 

제로데이 취약점인 만큼 이미 어디에서는 해킹을 당했을 수 도 있으며, 누군가의 자료가 탈취되었을 가능성이 농후하다. 필자도 최근 계정을 해킹당해서 비밀번호를 바꾼적이 있다.

 

이번 문제가 왜 심각하냐면...

 

잠깐 숨돌리고 생각해 보도록하자.

 

질문1.

보통 웹어플리케이션을 만들때 어떤 어플을 사용할까? 정답 자바 혹은 자바 스크립트!(C#으로도 되요! 하는 변태는 저리가세요..무서워요)

 

질문2.

근데 오픈소스가 있어요! 그러면 뭘로 할래요? 정답 그럼 그 오픈소스를 써야죠!

 

질문3. 근데 그 오픈소스 프로젝트가 구글에서 진행해요! 그러면 당연히 대기업의 힘을 빌려야겠죠? 정답 네!

 

그렇다. 지금까지의 대부분의 인터넷 어플리케이션은 이른바 "The Chromium Project" 이라는 오픈소스를 통해서 만들어져왔다. 통칭 크로미움이라고 하는데, 네이버웨일, 크롬, 엣지 등은 전부 이 오픈소스를 기반으로 생성되었다.(왜 log4j가 떠오를까) 그런데 이 크로미움에서 문제가 발생한 것이다.

 

기본적으로 CPU는 JS를 이해하지 못한다. 이해는 고사하고 이건 0이고 이건 1이구나 라는것 도 알아듣지 못한다. 그런데 웹사이트에서 JS가 없는 곳은 거희 없다고 할 수 있다. 그렇기에 이 js를 CPU가 알아들을 수 있도록 통역해 줘야하는데 이때 사용하는 프로그렘이 V8엔진 이라는 JS 엔진이다. 그런데 "통역과정에서 무엇인가 문제가 생겼다." 라고 한다.

 

지금까지 알려진 사실은 Type Confusion(유형 혼란)에 대한 취약이라고 한다. 유형 혼란은 특정 유형의 변수를 만든 상황에서 해당 변수를 다른 유형을 사용해서 엑세스를 시도할 경우, 시스템 충돌이 일어나고 헤커가 원하는 코드를 실행할 수 있게된다. 보통 PHP나 JS에서 json 파일을 만지는 공격한다고 한다.

 

이번문제는 지속적으로 발생했었는데, 2022년 2월 CVE 2022 0609를 활용해 북한이 공격을 했던 경우가 있었다.

https://www.yna.co.kr/view/AKR20220325072100009

구글 "北 정부지원 해커, 미 언론사·IT 기업 해킹 시도" | 연합뉴스

혹시 중요한 문서를 관리한다거나 남에게 보여주기 싫은 무엇인가가 있다면 반드시 업데이트를 하도록 하자.