Chrome 제로데이 CVE-2026-5281 — WebGPU use-after-free 실제 악용, CISA 긴급 패치 요구

배경 및 맥락

WebGPU는 GPU 가속 컴퓨팅을 웹 브라우저에서 직접 수행할 수 있게 하는 새로운 웹 표준으로, 2023년 Chrome에 공식 도입되었다. AI 추론 가속, 실시간 3D 렌더링, 대규모 행렬 연산 등에 활용되며, Stability AI, Google의 웹 기반 Gemini 기능 등 다수의 AI 애플리케이션이 WebGPU를 활용하고 있다.

Dawn은 Google이 개발한 WebGPU의 오픈소스 크로스플랫폼 구현체다. Chromium 기반 브라우저(Chrome, Edge, Brave 등) 전반에 사용된다.

2026년 들어 Chrome 제로데이 취약점이 급증하는 추세다. 이번 CVE-2026-5281이 벌써 네 번째로, 공격자들이 WebGPU, WebAssembly 등 고성능 웹 API를 집중 타깃으로 삼고 있음을 보여준다.

핵심 내용

취약점 개요:

• CVE ID: CVE-2026-5281
• 유형: Use-After-Free (CWE-416) in Dawn (WebGPU 구현체)
• 심각도: High
• 영향 버전: Chrome v146.0.7680.177/178 미만
• 패치 버전: v146.0.7680.177(Linux), v146.0.7680.177/178(Windows/macOS)

공격 방식: 원격 공격자가 renderer 프로세스를 이미 침해한 상태에서, 악성 HTML 페이지를 통해 임의 코드 실행이 가능하다. 즉 '샌드박스 탈출' 시나리오의 2단계 공격에 사용될 수 있다.

CISA 대응:

• 2026년 4월 1일 KEV(Known Exploited Vulnerabilities) 목록 등록
• FCEB(연방 민간 행정부 기관)에 4월 15일까지 패치 의무화
• 실제 악용(in-the-wild exploitation) 확인됨

경쟁 구도 / 비교

2026년 Chrome 제로데이 현황:

1. Q1에 이미 3건 패치 완료
2. CVE-2026-5281 (WebGPU Dawn) — 4번째

비교 대상인 Firefox와 Safari는 각각 SpiderMonkey, WebKit 기반의 별도 WebGPU 구현체를 사용하므로 이번 취약점의 직접 영향은 없다. 그러나 Electron 기반 앱(VS Code, Slack, Discord 등)은 Chromium을 내장하므로 해당 앱 업데이트도 필요할 수 있다.

Edge(Chromium 기반)도 동일 Dawn 코드를 사용하므로, Microsoft Edge 업데이트도 함께 확인이 필요하다.

의미

이번 취약점은 단순한 브라우저 버그를 넘어 AI 개발 환경의 보안에 대한 중요한 시사점을 준다. 웹 기반 AI 코딩 도구(Codex 웹앱, Claude.ai 등)와 기업 내 Chromium 기반 내부 도구가 확산되면서, 브라우저 취약점이 곧 AI 개발 파이프라인의 취약점으로 이어질 수 있다. 특히 WebGPU가 클라이언트사이드 AI 추론에 활발히 사용되기 시작한 시점에 이 취약점이 등장한 것은, 고성능 웹 API의 보안 검증에 더 많은 리소스가 필요함을 보여준다. 기업 보안팀은 'Chrome 자동 업데이트 = 보안 완료'라는 인식에서 벗어나, 업데이트 후 반드시 브라우저 재시작이 이루어졌는지 확인하는 프로세스를 갖춰야 한다.