배경 및 맥락
Chrome은 2025년에도 10건 이상의 제로데이가 발견된 기록을 갖고 있다. 2026년에는 이미 3개월 만에 4번째 제로데이가 발견됐다 — 이는 브라우저 공격 표면이 AI 관련 신규 API(WebGPU, WebNN, WebTransport 등)의 도입으로 지속적으로 확대되고 있음을 반영한다.
CVE-2026-5281은 Dawn, 즉 Chrome의 WebGPU 구현체에서 발견된 use-after-free 취약점이다. WebGPU는 WebGL의 후속 표준으로, GPU를 브라우저에서 직접 프로그래밍할 수 있게 해준다. 2025년 이후 Chrome에서 기본 활성화된 이후 AI 추론, 고성능 데이터 시각화, 3D 렌더링 등에서 광범위하게 사용되고 있으며, 그만큼 공격 표면도 급격히 확대됐다.
핵심 내용
- CVE: CVE-2026-5281
- 취약점 유형: Use-After-Free (UAF) in Dawn (Chrome의 WebGPU 구현체)
- 영향 버전: 패치 이전 Chrome 안정 채널 전 버전
- 위협 수준: In-the-Wild Exploitation 확인 — 실사용 공격 탐지됨
- 함께 수정된 결함: 21개 보안 취약점 동시 패치
- 2026년 Chrome 제로데이 누적: 4건 (CVE-2026-5281이 네 번째)
- 패치 방법: Chrome 설정 → 도움말 → Chrome 정보 → 자동 업데이트 (재시작 필수)
경쟁 구도 / 비교
브라우저 제로데이 발생 빈도 비교 (2026 YTD):
- Chrome: 4건 (CVE-2026-5281 포함)
- Firefox: 2건
- Safari/WebKit: 1건
- Edge: Chrome과 Chromium 엔진 공유, Chrome 업데이트와 연동 패치
Chrome의 높은 발생 빈도는 시장 점유율 70%+와 무관하지 않다. 공격자 입장에서 최대 타깃을 확보하기 위해 Chrome 취약점에 집중 투자하는 구조다. WebGPU가 Chrome 기본 활성화된 이후, Dawn API의 취약점은 전체 Chrome 사용자를 잠재적 피해자로 만든다.
의미
WebGPU 기반 취약점의 등장은 브라우저 보안의 새로운 국면을 예고한다. AI 추론을 브라우저에서 직접 실행하는 WebNN·WebGPU 기반 앱이 증가할수록, GPU 드라이버와 브라우저 API 사이의 공격 표면이 넓어진다. 엔터프라이즈 보안팀은 브라우저 업데이트를 '빠른 배포'가 아닌 '즉각 배포'로 정책을 전환해야 할 시점이다. AI 시대의 브라우저는 단순 뷰어가 아니라 연산 인프라이며, 그에 맞는 보안 거버넌스가 요구된다.