2020-04-03 07:35 (금)
구글, 크롬 패치갭 33일에서 15일로 ↓
상태바
구글, 크롬 패치갭 33일에서 15일로 ↓
  • 페소아 기자
  • 승인 2020.02.06 13:14
이 기사를 공유합니다

구글 보안 연구원들은 지난주 그들은 구글 크롬의 패치갭을 33일에서 15일로 단축했다고 알렸다.

패치갭이란 오픈 소스 라이브러리에서 보안 버그가 수정한 후 소프트웨어에 수정 내용이 반영될 때까지 걸리는 시간을 의미한다.

많은 앱이 오픈 소스인 환경에서 패치갭은 주요 보안 위험으로 간주된다.

그 이유는 오픈 소스 라이브러리에서 보안 버그가 수정되면 해당 버그에 대한 세부 정보가 오픈소스 프로젝트의 특징상 공개되기 때문이다.

해커들은 이러한 보안 결함에 대한 세부 정보를 사용하여 소프트웨어 제조업체가 패치를 릴리즈할 수 있기 전에 취약한 구성 요소에 의존하는 소프트웨어에 대한 공격을 만들고 공격을 시작할 수 있다.

소프트웨어 제조업체가 고정 릴리스 일정에 따라 몇 주 또는 몇 달마다 업데이트가 제공되는 경우 패치 간격으로 인해 대부분의 소프트웨어 프로젝트가 처리할 수 없는 공격을 해커에게 제공할 수 있다.

크롬 웹 브라우저는 PDFium PDF 보기 라이브러리에서 V8 자바스크립트 엔진에 이르기까지 수많은 오픈 소스 구성 요소를 사용하기 때문에 패치 갭에 영향을 받는 프로젝트 중 하나이다.

2019년 엑소더스 인텔리전스(Exodus Intelligence)의 보안 연구원들은 공격자들이 크롬의 큰 패치갭을 악용할 수 있는 두 가지 경우를 강조했다.

첫번째로 4월, 그리고 9월에 엑소더스 연구원은 V8 자바스크립트 엔진에서 패치되었으나 아직 크롬 코드베이스로 다운 스트림은 못한 버그에 대해 개념 증명 (proof-of-concept) 익스플로잇 코드를 개발했다. 크롬 사용자들에게는 다행히도 엑소더스 팀의 이 연구와 관련된 공격이 크롬 보안 팀에게 탐지되지는 않았다.

구글 엔지니어들은 최근 2019년 4분기에 발표된 크롬의 분기별 보안 요약에서 크롬의 패치갭을 줄이기 위해 노력했다고 밝혔다.

크롬 보안팀원인 앤드류 휄리(Andrew R. Whalley)는 "이제 최신 심각한 보안 수정 사항을 포함하여 2주마다 정기적으로 새로운 릴리즈를 만들어낸다. 이에 따라 크롬 76에서 33일이 필요했던 패치갭을 크롬 78에서 15일로 줄였으며 우리는 이를 개선하기 위해 계속 노력하고 있다."고 밝혔다.

휄리가 설명했듯이 크롬의 패치 차이를 줄이려는 구글의 해답은 보안 수정 프로그램을 더 자주 릴리즈하는 것이었다. 구글 엔지니어가 패치 간격을 훨씬 더 줄일 계획이라면 구글 엔지니어가 오픈 소스 라이브러리에서 사용자의 크롬 브라우저로 중요한 보안 수정 프로그램을 푸시함에 따라 크롬 보안 수정 프로그램이 매주 릴리즈될 수 있음을 의미한다.

크롬은 모든 사용자에게 기본적으로 사용되는 자동 업데이트 메커니즘을 제공하므로 대부분의 경우 크롬 최종 사용자는 수정 사항을 받기 위해 어떤 조치를 취할 필요가 없다.

패치갭과 비슷한 문제는 수많은 오픈 소스 구성 요소에 의존하는 구글의 두번째 주요 소프트웨어 프로젝트인 안드로이드 운영체제에도 영향을 미친다. 문제는 안드로이드의 보안 업데이트 제공 과정에서 중간이 매우 복잡하다는 것이다.

★정보보안 대표 미디어 데일리시큐!★