구글, 올해만 다섯 번째 크롬 제로데이 취약점 긴급 업데이트

공격에 성공할 경우, 해커는 브라우저 프로세스의 권한 수준에서 악성코드를 설치하거나, 개인 정보를 탈취하거나, 추가 공격을 위한 발판을 마련할 수 있습니다. 특히 메모리 경계 밖 읽기/쓰기 기능은 해커가 ASLR(주소 공간 배치 난수화)과 같은 시스템 보호 메커니즘을 우회하는 데 매우 유용하게 사용될 수 있어, 더욱 위험합니다 .

패치 상세 내용 및 일정

이번 긴급 패치는 2026년 6월 8일, 데스크톱용 크롬 정식 채널(Stable Channel)을 통해 배포되었으며, 단일 업데이트로 무려 74개의 보안 취약점을 해결했습니다 . 구글은 CVE-2026-11645를 악용하는 해킹 코드가 이미 인터넷에 유포되고 있음을 공식 확인했기에, 모든 데스크톱 크롬 사용자에게 매우 시급한 업데이트입니다 .

패치가 적용된 버전은 다음과 같습니다.

• Windows 및 macOS: 크롬 149.0.7827.102 / 149.0.7827.103
• Linux: 크롬 149.0.7827.102

크롬 업데이트는 보통 자동으로 진행되며, 전 세계 사용자에게 순차적으로 배포되는 데 며칠 혹은 몇 주가 소요됩니다. 하지만 지금 즉시 업데이트를 적용하려면 크롬 메뉴 > 도움말 > Chrome 정보에서 수동으로 업데이트를 확인할 수 있습니다.

버그 바운티와 취약점 제보

이 취약점은 "303f06e3"라는 가명을 사용하는 익명의 보안 연구원이 2026년 4월 27일 구글에 제보했습니다 . 구글은 이 제보에 대해 자사의 '크롬 취약점 보상 프로그램'에 따라 55,000달러(한화 약 7,200만 원)의 포상금을 지급했습니다. 이는 V8 엔진의 메모리 손상 버그처럼 영향력이 큰 취약점에 책정되는 높은 등급의 포상금에 해당합니다 .

2026년 크롬 제로데이, 공격 추세가 심상치 않다

CVE-2026-11645를 포함해, 구글은 2026년에만 벌써 다섯 번째 실제 공격에 악용된 크롬 제로데이 취약점을 긴급 패치했습니다 . 6월 이전까지 발견된 전체 목록은 다음과 같으며, 브라우저를 노린 메모리 손상 공격의 빈도가 갈수록 증가하고 있음을 보여줍니다.

• CVE-2026-2441 (2026년 2월): CSS 처리 과정에서 발생하는 Use-After-Free(해제된 메모리 재사용) 결함으로, 특수 제작된 HTML 페이지를 통해 샌드박스 내 원격 코드 실행을 허용했습니다 .
• CVE-2026-3909 (2026년 3월 12일): 크롬의 2D 그래픽 렌더링을 담당하는 Skia 라이브러리의 '메모리 경계 밖 쓰기' 취약점입니다 .
• CVE-2026-3910 (2026년 3월 12일): CVE-2026-3909와 같은 날 패치된 V8 엔진의 부적절한 구현으로 인한 결함으로, 역시 샌드박스 내에서 임의 코드 실행을 허용했습니다 .
• CVE-2026-5281 (2026년 4월 1일): 크로미움의 차세대 웹 그래픽 표준인 WebGPU를 구현하는 Dawn 컴포넌트에서 발견된 Use-After-Free 버그입니다. 미국 사이버보안 및 인프라 보안국(CISA)은 이 취약점을 '알려진 악용 취약점(KEV)' 목록에 추가하고 연방 기관에 패치 기한을 지정하기도 했습니다 .
• CVE-2026-11645 (2026년 6월): 이번 긴급 패치로 해결된 V8 엔진의 메모리 경계 밖 읽기/쓰기 제로데이입니다 .

이 다섯 가지 취약점 모두 패치가 배포되기 전에 이미 해커들이 실제 공격에 사용하고 있음이 확인되었습니다. 이러한 패턴은 2026년이 예년의 구글 크롬 제로데이 전체 발생 건수를 훨씬 뛰어넘는 해가 될 것임을 예고하며, IT 관리자들로 하여금 브라우저 소프트웨어의 패치 주기를 더욱 단축해야 한다는 압박을 주고 있습니다 .

사용자라면 지금 당장 해야 할 일

크롬은 평소에 백그라운드에서 자동으로 업데이트되지만, 이 자동 배포가 모든 사용자에게 도달하는 데는 며칠이 걸릴 수 있습니다. 지금 즉시 보호받으려면 다음 단계를 따르세요.

1. 크롬 브라우저를 실행합니다.
2. 오른쪽 상단의 점 세 개 메뉴(⋮)를 클릭합니다.
3. 도움말 > Chrome 정보를 선택합니다.
4. 브라우저가 사용 가능한 업데이트를 확인하고 자동으로 적용할 때까지 기다립니다.
5. 업데이트 후, 버전 번호가 Windows/Linux에서는 149.0.7827.102 이상, macOS에서는 149.0.7827.103 이상으로 표시되어야 합니다 .

조직 내 여러 대의 크롬을 관리하는 담당자라면, 모든 엔드포인트가 최신 정식 버전을 수신하고 있는지 반드시 확인하고 이 긴급 패치의 배포 일정을 최대한 앞당겨야 합니다. 공격이 이미 진행 중이므로, 이전 버전의 크롬을 실행하는 모든 시스템은 현재 진행형인 공격에 무방비로 노출되어 있습니다.