CVE-2026-5281: Chrome Dawn(WebGPU) Use-After-Free 제로데이
요약
2026년 4월 1일(현지 기준), Google은 Chrome 안정 채널 업데이트를 통해 21건의 보안 취약점을 수정했다. 이 중 CVE-2026-5281은 Google이 실제 공격에 악용되고 있음을 공식 확인한 제로데이 취약점이다. 취약점은 Chrome의 WebGPU 구현체인 Dawn 컴포넌트에서 발생하는 Use-After-Free(UAF) 버그로, 렌더러 프로세스가 먼저 침해된 상태에서 임의 코드 실행(ACE)으로 이어질 수 있다. 2026년 들어 Chrome 제로데이가 네 건 연속 확인되었으며, 모두 그래픽·렌더링 서브시스템에 집중되는 패턴이 뚜렷하다.
핵심 판단
- 실제 공격 확인: Google은 "CVE-2026-5281에 대한 익스플로잇이 실제 환경에서 사용되고 있음을 인지하고 있다"고 공식 인정했다.
- 공격 체인의 2단계로 추정: NVD 설명에 따르면 이 취약점은 렌더러 프로세스가 이미 침해된 상태를 전제한다. 단독 악용보다는 별도의 렌더러 탈출 버그와 결합한 샌드박스 탈출 체인의 후속 단계로 쓰일 가능성이 높다.
- 동일 연구자의 연속 제보: 이번 취약점을 포함해 최근 두 차례 Chrome 업데이트에서 수정된 Dawn UAF 버그 세 건(CVE-2026-4675, CVE-2026-4676, CVE-2026-5284)이 모두 같은 익명 연구자에 의해 제보되었다. Chrome 그래픽 스택을 집중 타깃으로 하는 지속적인 리서치가 진행 중임을 시사한다.
- Chromium 기반 브라우저 전체에 영향: Dawn은 Chromium 공통 컴포넌트이므로, 패치가 적용되지 않은 Edge, Brave, Opera, Vivaldi 등도 동일하게 취약하다.
취약점 개요
| 항목 | 내용 |
|---|---|
| CVE 번호 | CVE-2026-5281 |
| 취약점 유형 | Use-After-Free (CWE-416) |
| 영향 컴포넌트 | Dawn (Chrome WebGPU 구현체) |
| 취약 버전 | Chrome 146.0.7680.177/178 미만 (Windows/macOS), 146.0.7680.177 미만 (Linux) |
| 패치 버전 | 146.0.7680.177 (Linux), 146.0.7680.178 (Windows/macOS) |
| 악용 여부 | 실제 공격 확인 (Google 공식 인정) |
| 공격 결과 | 렌더러 침해 조건 하 임의 코드 실행 |
| CVSS Score | 미공개 (High 등급) |
기술 분석
Use-After-Free란
Use-After-Free는 메모리가 해제(free)된 이후에도 해당 메모리를 가리키는 포인터를 계속 역참조할 때 발생하는 메모리 오류다. 해제된 블록이 다른 용도로 재할당되면, 공격자는 그 영역을 자신이 제어하는 데이터로 채운 뒤 stale 포인터를 통해 제어 흐름을 탈취할 수 있다. C++로 작성된 Chromium 코드베이스는 구조적으로 이 유형의 버그에 취약한 환경을 갖는다.
Dawn과 WebGPU
Dawn은 Google이 개발한 WebGPU 표준의 오픈소스 크로스플랫폼 구현체로, Chromium 프로젝트에 통합되어 있다. WebGPU는 웹 애플리케이션이 GPU 하드웨어에 직접 접근할 수 있게 해주는 API로, 3D 렌더링·머신러닝 추론·고성능 연산 등 다양한 용도로 활용된다. API 표면이 확장될수록 신뢰할 수 없는 웹 콘텐츠에 노출되는 저수준 C++ 코드 경로도 함께 늘어난다.
공격 시나리오 (추정)
NVD 공식 설명 기준으로, 이 취약점이 악용되기 위한 조건은 다음과 같다.
[공격자 제어 웹 페이지]
│
▼
[1단계] 렌더러 프로세스 침해 (별도 취약점 필요)
│ 예: CVE-2026-5273 (UAF in CSS), CVE-2026-5279 (V8 object corruption) 등
▼
[2단계] CVE-2026-5281 트리거
Dawn UAF → stale pointer 역참조
→ 힙 데이터 오염 또는 제어 흐름 탈취
│
▼
[결과] 렌더러 내 임의 코드 실행
→ 추가 샌드박스 탈출 취약점과 연계 시 시스템 전체 침해 가능
공격 체인 가능성
이 취약점 하나만으로 완전한 시스템 침해가 보장되지는 않는다. 그러나 실제 공격이 이미 확인된 점, 동일 업데이트에서 렌더러·V8·그래픽 스택 전반의 취약점 21건이 함께 수정된 점을 고려하면, 완성된 공격 체인이 이미 운용 중일 가능성을 배제하기 어렵다.
2026년 Chrome 제로데이 현황
| 월 | CVE | 컴포넌트 | 유형 |
|---|---|---|---|
| 2026-02 | CVE-2026-2441 | CSS (CSSFontFeatureValuesMap) | Use-After-Free |
| 2026-03 | CVE-2026-3909 | Skia (2D 그래픽 라이브러리) | Out-of-Bounds Write |
| 2026-03 | CVE-2026-3910 | V8 (JavaScript/Wasm 엔진) | 부적절한 구현 |
| 2026-04 | CVE-2026-5281 | Dawn (WebGPU) | Use-After-Free |
4개월 연속으로 그래픽·렌더링 서브시스템이 타깃이 되고 있다. 단순 우연이 아닌 체계적인 공격 리서치 패턴으로 봐야 한다.
영향 평가
- 영향 대상: Chrome 146.0.7680.177 미만을 사용하는 Windows, macOS, Linux 전체 사용자. Chromium 기반 브라우저(Edge, Brave, Opera, Vivaldi 등)도 패치 적용 전까지 동일하게 취약하다.
- 기업 환경: 브라우저 업데이트를 중앙에서 관리하는 조직은 배포가 완료되지 않은 엔드포인트가 노출 구간이 된다.
- 개인 사용자: 자동 업데이트가 활성화된 경우 비교적 빠르게 패치되지만, 브라우저를 재시작하지 않으면 업데이트가 실제로 적용되지 않는다.
- 공격자 및 악용 방식: Google은 공격자 정보와 구체적인 악용 방법을 공개하지 않았다. 현재까지 기술 세부 정보 및 PoC 코드는 공개된 바 없다.
공개 정보의 한계
Google은 대다수 사용자가 패치를 적용할 때까지 기술 세부 정보를 공개하지 않는 것이 일반적인 관행이다. 공격자 귀속, 피해 대상, 구체적인 익스플로잇 기법은 현재 공개된 정보만으로 확인할 수 없다.
대응 포인트
- 즉시 업데이트: Chrome을
146.0.7680.177/178이상 버전으로 업데이트하고 반드시 재시작한다. - 메뉴 → 도움말 → Chrome 정보 → 업데이트 후 재시작
- Chromium 기반 브라우저: Microsoft Edge, Brave, Opera, Vivaldi 등도 각 벤더의 패치가 배포되는 즉시 업데이트한다.
- 기업 관제 환경: EDR 또는 자산 관리 시스템으로 브라우저 버전 현황을 점검하고, 패치가 적용되지 않은 엔드포인트를 우선 처리한다.
- 그래픽 스택 취약점 모니터링: 2026년 들어 Dawn, WebGL, Skia, WebCodecs 등 그래픽·미디어 서브시스템 취약점이 반복적으로 실제 공격에 활용되고 있다. 관련 컴포넌트에 대한 취약점 피드 모니터링을 강화할 것을 권고한다.
업데이트 적용 확인 방법
Chrome은 백그라운드에서 업데이트를 자동으로 내려받지만, 브라우저를 재시작해야 실제로 적용된다. 주소창에 chrome://settings/help를 입력하거나 "Chrome 정보" 화면에서 버전을 직접 확인하는 것이 가장 확실하다.
참고 자료
- The Hacker News — New Chrome Zero-Day CVE-2026-5281 Under Active Exploitation
- Help Net Security — Google fixes Chrome zero-day with in-the-wild exploit (CVE-2026-5281)
- Security Affairs — Google fixes fourth actively exploited Chrome zero-day of 2026
- NVD — CVE-2026-5281
- CISA Known Exploited Vulnerabilities Catalog