구글, 크롬 업데이트 발표하며 시만텍 인증서 66개 제거

작년부터 예고된 대로, 시만텍 인증서 일부의 신뢰성 제거
스펙터 관련 보안 기능, 일부 시험 적용...62개 취약점 패치

[보안뉴스 문가용 기자] 구글이 크롬 브라우저에서 시만텍이 2016년 6월 1일 이전에 발행한 66개의 웹사이트 인증서를 신뢰하지 않도록 조치를 취했다. 동시에 62개의 취약점들에 대한 패치도 함께 발표했다.

[이미지 = iclickart]

오래된 시만텍 인증서들이 구글의 버림을 받은 건 인증서가 부적절하게 발급된 사례가 지난 몇 년 동안 몇 차례 발견되었기 때문이다. 그래서 작년 구글은 올해 가을 발표될 크롬 70 이전에 시만텍이 발행한 모든 웹사이트 인증서들을 대체할 것이라고 발표한 바 있다. 파이어폭스를 만드는 모질라도 구글에 동참했다.

이에 시만텍은 작년 인증 기관 사업을 디지서트(DigiCert)에 매각했다. 또한 전 세계 최상위 1백만 웹사이트들 모두 시만텍의 인증서들을 다른 것으로 대체하고 있는 상태다. 디지서트는 2017년 12월 1일부터 시만텍의 인증 사업을 대신하며, 시만텍의 인증서를 디지서트의 그것으로 대체해주는 작업을 진행하고 있다.

이번 구글의 발표에는 크롬의 새로운 기능인 사이트 아이솔레이션(Site Isolation)의 시험 버전도 포함됐다. 이 기능은 크롬 63 버전에 처음 공개된 것으로, 주로 스펙터(Spectre) 취약점이 야기시키는 보안 위협들을 경감하기 위해 고안된 것이다.

또한 62개의 크롬 업데이트도 함께 발표됐다. 이중에 치명적인 취약점은 두 개였는데, CVE-2018-6085와 CVE-2018-6086이다. 둘 다 네드 윌리엄슨(Ned Williamson)이라는 보안 전문가가 찾아내 보고했고, UaF 유형의 취약점이다.

이번에 발표된 취약점들의 절반 이상은 구글 내부 연구원들이 아니라 외부 전문가들이 발견한 것이라고 한다. 외부인들이 발견한 것은 고위험군에 속하는 취약점이 6개, 중간급이 16개, 낮은 위험도를 가진 취약점이 10개였다.

고위험군 취약점들은 다음과 같다.
1) WebAssembly 내의 UaF 취약점인 CVE-2018-6087
2) PDFium의 UaF 취약점인 CVE-2018-6088
3) Service Worker의 동일 출처 정책 우회 취약점인 CVE-2018-6089
4) Skia의 힙 버퍼 오버플로우인 CVE-2018-6090
5) Service Worker의 플러그인 내 오류인 CVE-2018-6091
6) WebAssembly의 정수 오버플로우 취약점인 CVE-2018-6092

중간급 위험도를 가진 취약점들은 Service Worker, Oilpan, 파일 업로드, Omnibox, DevTools, Permissions, V8에서 발견되었다고 구글은 발표했다. 낮은 위험도 취약점들은 FileAPI, file;//, DevTools, WebAssembly, Navigation에서 발견됐다.

윈도우, 맥, 리눅스용 최신판 크롬 버전은 66.0.3359,117이며, 수일 안에 배포가 시작될 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)