Google이 3월 10일, Chrome 브라우저의 고위험 제로데이 취약점 2건을 발견하고 긴급 패치를 배포했습니다. 두 취약점 모두 실제 공격에 악용되고 있어 즉각적인 업데이트가 필요합니다.
무슨 취약점인가
CVE-2026-3909 — Skia 엔진 메모리 손상
Skia는 Chrome이 이미지와 화면 요소를 그리는 데 사용하는 그래픽 엔진입니다. 이 취약점은 out-of-bounds write(범위 밖 쓰기) 결함으로, 공격자가 메모리를 조작해 악성 코드를 실행할 수 있습니다.
쉽게 말하면 — 악의적으로 조작된 이미지가 포함된 웹페이지를 방문하는 것만으로 공격이 가능합니다.
CVE-2026-3910 — V8 자바스크립트 엔진 결함
V8은 Chrome의 자바스크립트 실행 엔진입니다. 이 취약점은 "부적절한 구현(inappropriate implementation)" 문제로, 악성 자바스크립트 코드를 통해 브라우저 보안을 우회할 수 있습니다.
| CVE | 영향 범위 | 심각도 | 공격 조건 | |-----|----------|--------|----------| | CVE-2026-3909 | Skia 그래픽 엔진 | High | 악성 웹페이지 방문 | | CVE-2026-3910 | V8 JS 엔진 | High | 악성 JS 실행 |
왜 위험한가
두 취약점의 공통점은 사용자 상호작용이 거의 필요 없다는 점입니다. 링크 클릭 한 번이면 공격이 시작됩니다. Google 내부 보안팀이 직접 발견했고, 이미 야생(in the wild)에서 익스플로잇이 확인됐습니다.
Chrome은 전 세계 브라우저 시장 점유율 65% 이상을 차지합니다. 영향 범위가 그만큼 넓습니다.
지금 해야 할 것
- Chrome 즉시 업데이트 — 버전
146.0.7680.75이상으로 업데이트하세요 - 주소창에
chrome://settings/help입력 → 자동 업데이트 확인 - 업데이트 후 브라우저 재시작 필수 (탭만 닫으면 안 됩니다)
- Chromium 기반 브라우저(Edge, Brave, Opera)도 며칠 내 패치 예정 — 수동 확인 권장
올해만 Chrome 제로데이가 3건째입니다. 2월에도 폰트 처리 관련 CVE-2026-2441이 긴급 패치됐습니다. 브라우저 자동 업데이트를 꺼놓은 분이라면 다시 켜는 걸 권장합니다.
참고