새롭게 발표된 크롬 84, 코로나 때문에 중단됐던 강화 조치 재개해

작년 5월부터 예고되었던 보안 강화 조치 사항들...코로나 때문에 한동안 중단
크롬 84부터 새롭게 시작된 것들...세임사이트 쿠키 변경과 오래된 TLS 프로토콜 미지원

[보안뉴스 문가용 기자] 구글이 크롬 84를 공개했다. 이전 버전에서 발견된 취약점 38개가 전주 패치됐다고 한다. 뿐만 아니라 한참 전부터 예고되었던 세임사이트(SameSite) 쿠키 작동 방식 변경도 이번에 적용되었다.

[이미지 = utoimage]

세임사이트 쿠키 변경은 2019년 5월부터 예고되기 시작했다. ‘교차 사이트 요청 조작(CSRF)’ 공격으로부터 크롬 사용자들을 보호하기 위한 수단으로써 이 변경이 고안됐었다. 안전한 연결이 성립된 상태에서 ‘SameSite=None; Secure’로 설정된 쿠키들만 서드파티에서 접근할 수 있도록 하는 것이 이 변경의 핵심이다.

변경이 점진적으로 적용되기 시작한 건 2월부터다. 당시 구글은 크롬 80을 발표했었다. 하지만 코로나 사태가 터지면서 ‘점진적 변경’ 과정이 중단됐다. 중단 시점은 4월이었다. 이번 크롬 84는 한 동안 중단됐던 세임사이트 변경 작업이 재시작한다는 의미를 가지고 있다.

이번 크롬 84에서부터 사용자들은 지나치게 화려해 폭력적이기까지 한 알림에서부터도 더 나은 보호를 받게 된다. 즉 요란한 팝업 창과 알림 창을 띄우는 웹사이트들에 크롬으로 접속할 경우, 각종 알림 창들이 좀 더 조용하고 차분한 UI로 대체된다는 것이다. 또한 일부 알림은 아예 사용자 화면에 나타나지 않게 된다. 다만 알림 창이 차단되었다는 것을 알리는 창이 조용히 나타날 뿐이다.

또한 크롬 84부터 웹 OTP(1회용 비밀번호) API도 지원된다. 이를 통해 크롬은 문자메시지를 통해 들어오는 1회용 비밀번호를 탐지해 기입 란을 자동으로 채워줄 수도 있다. 그 외에 또 주목할 만한 건, TLS 1.0과 TLS 1.1 프로토콜에 대한 지원이 중단된다는 것이다. 이 역시 구글이 오래 전부터 예고해오던 것으로, 코로나 때문에 연기됐었다.

한편 크롬 84 발표와 동시에 패치된 38가지 취약점 중 26개는 외부 전문가들이 구글에 알린 것이라고 한다. 이중 가장 심각한 건 CVE-2020-6510로, 일종의 버퍼 오버플로우 취약점이며 보안 업체 치후360(Qihoo360이 발견해 구글에 알렸다. 치명적 위험도를 가진 것으로 분석됐다.

외부 전문가들이 알린 취약점 들 중 고위험군에 속한 것도 7개 있었다.
1) CVE-2020-6511 : 부채널 정보 노출 취약점
2) CVE-2020-6512 : 타입 컨퓨전(type confusion) 취약점
3) CVE-2020-6513 : 힙 버퍼 오버플로우 취약점
4) CVE-2020-6514 : WebRTC의 부정확한 구현
5) CVE-2020-6515 : UaF 취약점
6) CVE-2020-6516 : CORS의 정책 우회 취약점
7) CVE-2020-6517 : 힙 버퍼 오버플로우 취약점

업데이트가 완료된 윈도우, 맥, 리눅스용 브라우저의 정확한 버전 번호는 84.0.4147.89다. 지역에 따라 순차적으로 사용자들에게 자동 배포될 예정이다.

3줄 요약
1. 4월부터 코로나 때문에 중단됐던 크롬 보안 강화 절차, 다시 시작.
2. 다시 시작하면서 새롭게 나온 것이 크롬 84. 38개 취약점 패치됨.
3. 세임사이트 쿠키 작동 방식 변경되고 TLS 1.0과 1.1 프로토콜 지원 중단됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)