내장 브라우저의 위험, 스마트TV와 전자책, 스팀 덮쳐

우리 주변에 업데이트 되지 않는 웹 브라우저들이 생각보다 많다는 지적이 나왔다. 벨기에 루벤가톨릭대학의 연구원들로부터다. 이들은 보고서를 통해 “데스크톱과 모바일 기기용 웹 브라우저들은 주기적으로 업데이트를 받는데, 게임 콘솔이나 스마트TV, 전자책 단말기나 자동차 시스템 등에 내장된 브라우저들은 그렇지 않다”고 지적했다. “이러한 브라우저가 각종 공격의 단초가 될 수도 있습니다.”

연구원들은 이와 관련된 내용을 ‘유즈닉스 사용성 프라이버시 보안 심포지움(USENIX Symposium on Usable Privacy and Security, SOUPS) 2025’에서 발표했다. 이들이 지적하고 싶었던 건 “폐쇄형 소프트웨어와 펌웨어를 사용하는 제품의 경우 평가의 난이도가 크게 올라간다”는 것이었다. 이 문제를 해결하기 위해 연구원들은 체크엔진(CheckEngine)이라는 브라우저 평가 프레임워크를 만들기도 했다.

주요 평가는 스마트TV와 전자책

“저희는 2024년 2월부터 2025년 2월까지 총 35대의 스마트TV와 5대의 전자책 단말기를 평가했습니다. 스마트TV 중 24대, 전자책 단말기 5대 전부에서는 최소 3년 이상 뒤처져 있는 브라우저들을 발견할 수 있었습니다. 이 분야 장비들 중 최근에 출시된 것들도 상황이 크게 다르지 않았습니다. 이런 장비들은 우리 생활 속에 점점 깊숙하고 넓게 들어오고 있습니다만, 우리는 이런 위험을 인지하지 못하고 있습니다.” 연구원들의 설명이다.

이번 연구를 통해 연구원들은 내장 브라우저가 독립형 브라우저보다 업데이트를 훨씬 덜 받는다는 가정을 확인할 수 있었다고 한다. “문제는 이런 장비들의 최신 모델들조차 구형 브라우저를 탑재한 채 출시된다는 겁니다. 이런 사실은 조사 전에 예상하기 힘들었습니다. 최신 제품은 상황이 좀 나아졌을 거라고 막연히 생각했었는데, 보기 좋게 틀려버렸습니다. 제조사들이 기기를 무료로 업데이트 할 때조차 브라우저 업데이트는 포함되지 않는 경우가 많았습니다.”

논문에 등장한 사례 중 하나는 2024년 1월에 출시된 전자책 단말기인 북스노트 에어3(Boox Note Air 3)이다. 전자잉크 태블릿인데, 내부에는 네오브라우저(NeoBrowser)라는 이름의 브라우저가 설치돼 있었다. 그런데 네오브라우저는 2020년 8월에 출시된 크로미움 85를 기반으로 하고 있었다. “북스노트 에어3의 경우, 현재까지 네 차례나 소프트웨어 업데이트가 진행됐습니다. 그런데 그 네 번 가운데 브라우저 업데이트는 한 번도 없었습니다. 보안 취약점 신고 채널도 운영되지 않고 있었고, 고객 지원 센터 직원은 엉뚱한 대답만 했습니다. 이런 일들 때문에 유럽연합 규제 당국에 문제를 제보한 상황입니다.”

각종 애플리케이션에도 내장된 브라우저

그 외에도 연구원들은 스팀(Steam), 유비소프트 커넥트(Ubisoft Connect), AMD아드레날린(AMD Adrenalin)과 같은 게임 애플리케이션에 내장된 브라우저들도 분석했다. 그 결과 브라우저의 버전들이 상당히 오래됐음이 드러났다. “전자책이나 스마트TV 수준으로 심각한 건 아니었습니다. 그러나 안심해도 무방한 것도 아니었습니다. 2023년에 출시된 크로미움 109 기반 브라우저가 2개, 2024년 6월에 출시된 크로미움 126 기반 브라우저가 1개였습니다.”

이런 앱들에 내장된 브라우저의 경우 “오래됐다는 것”만으로 문제가 된 건 아니었다. “스팀 내장 브라우저의 경우 시스템 만료 시나 재로그인이 필요할 때 경고창을 띄웁니다. 그런데 이 창에 공격자가 아무 URL이나 띄울 수 있다는 취약점이 있습니다. 이 때문에 피싱 공격이 가능하게 됩니다.” 유비소프트 커넥트 내장 브라우저는 샌드박스가 비활성화된 채 작동했고, AMD 아드레날린은 주소 표시줄을 공격자가 조작할 수 있는 취약점이 있다고 한다.

연구원들은 이러한 내용을 각 회사들에 전달했다. 그리고 각 회사들이 어떻게 대응하는지까지도 관찰했다고 한다. “스팀은 내용을 접수했다고 저희에게 답신을 하긴 했습니다만, 그걸 어떻게 고쳤는지, 해결하긴 했는지는 따로 알려주지 않았습니다. 하지만 최근 크로미움 126 버전을 기반으로 한 내장 브라우저로 교체했고, 저희가 그 전에 발견한 공격 시나리오는 더 이상 재현할 수 없게 됐습니다. 스팀 서비스를 최근 업데이트 하면서 저희가 제보한 문제점을 어느 정도 손 본 것으로 보입니다.”

유비소프트는 아무런 답신도, 움직임도 보여주지 않았으며, 따라서 내장 브라우저의 위험성은 여전히 존재한다고 연구원들은 경고했다. “지금 당장 사고가 발생하는 중이라는 의미는 아닙니다만, 언제든지 그런 상황이 벌어져도 이상하지 않다는 의미가 됩니다.” AMD는 연구원들에게 문제를 확인했다고 답했으며, 현재 수정 작업을 진행하고 있다고도 알려왔다고 한다. 문제가 끝난 건 아니지만, 가장 적극적으로 대응한 것, 그러므로 조만간 해결될 것으로 기대되는 건 AMD였다고.

내장 브라우저 수정의 한계

내장 브라우저가 취약한 상태로 탑재되면서, 심지어 수정까지도 느리게 진행된다는 것은 표면상의 문제라고 연구원들은 강조한다. 여기에는 구조적인 한계가 존재하며, 그게 진짜 문제라는 것이다. “스마트TV나 전자책 장비를 제조하는 기업, 스팀이나 AMD 등 기타 웹 서비스를 개발하는 기업 입장에서 자신들이 탑재하는 브라우저는 자신들의 물건이 아닙니다. 그러면서도 장비나 서비스 내 다른 기능들과도 복잡하고 깊숙하게 얽혀 있기도 하죠. 내 것이 아니니 함부로 만지기도 애매한데, 설사 내 것이라 하더라도 이것 저것 다른 요소들과 묶여 있어 손 대는 게 상당히 난이도 높은 작업이 된다는 의미입니다.”

실제로 브라우저들은 스마트TV나 전자책, 자동차 인포테인먼트 시스템, 각종 게임 플랫폼에서 구현되는 사용자 인터페이스, 인증 및 결제 시스템, 장비/서비스 본연의 로직에 깊게 관여되어 있다. 브라우저를 새로운 것으로 바꾸거나, 취약한 부분을 고친다고 하다가 인터페이스가 이상하게 작동하거나, 결제가 엉뚱하게 되거나, 심지어 서비스 전체가 다운될 수도 있다. 이 때문에 남의 브라우저를 가져다 쓰는 기업 입장에서는 브라우저의 최신화에 높은 우선순위를 부여하기가 힘들다.

“내장 브라우저의 보안은, 이를 활용하여 장비나 서비스를 만들어내는 기업들의 자발적 업데이트에 맡겨두기는 힘듭니다. 지금까지 자발적으로 업데이트가 이뤄진 사례가 드물기도 하고, 여러 기술 구조적 문제 때문에라도 업데이트가 쉬운 결정은 아닌 채로 남아 있게 됩니다. 따라서 강제성이 있는 규제가 별도로 마련되어야 합니다. 그렇지 않으면 이런 장비나 서비스를 사용하는 수많은 사용자들이 위험에 고스란히 노출되게 됩니다.” 연구원들의 결론이다.

유럽연합은 2024년 12월 사이버복원력법(Cyber Resilience Act)을 발효했으며, 2027년 12월까지 계도 기간을 갖는다. 이 법에 의하면 이번 연구에 언급된 모든 기업들과, 이번 연구에 포함되지는 못했으나 구형 내장 브라우저를 사용하는 모든 기업들이 ‘규정 위반’을 저지른 것으로 판명될 가능성이 높다. 연구원들도 이를 언급하며 “2027년 12월 이후에까지 이 문제가 남아 있다면 적잖은 손해를 보게 될 수 있다”고 언급했다.

일반 소비자들에게는 어떤 의미?

소비자들은 특정 앱이나 장비에서 아무렇지도 않게 사용하는 인터페이스가 브라우저일 수 있다는 사실과, 그 브라우저들이 대부분 취약하다는 것을 먼저 인지해야 한다고 보안 전문가들은 말한다. 유명 가전 제조사나 개발사에서 만든 거라고 해서 안전하다고 여겨서는 안 된다는 것이다. “수많은 사이버 공격이 각종 브라우저들을 통해 일어납니다. 브라우저는 공격자와 방어자가 가장 첨예하게 부딪히는 공간이라고도 할 수 있습니다. 그러니 그런 브라우저를 사용할 때 안심해서는 안 됩니다.” 연구원들의 설명이다.

그러므로 가능하면 내장 브라우저는 사용하지 않는 게 안전하다. 사용해야 한다면, 기본적인 기능만 이용해야 하지, 로그인을 한다거나, 금융 서비스를 활용한다거나, 개인 정보를 입력하는 등의 행위는 자제하는 게 좋다. “운전석에 앉아서 인포테인먼트 시스템으로 이런 작업을 해서는 안 된다는 소리입니다. 전자책에서나 스마트TV에서도 마찬가지입니다.”

하지만 부득이 그런 작업을 그런 장비들로 해야 한다면 어떨까? 그럴 때는 브라우저를 따로 설치해 최신화부터 해야 한다. “예를 들어 게임 앱 내에서 링크를 따라 들어가야 할 때, 그 링크 주소를 복사해 앱 외부의 브라우저 주소 창에 붙여넣어 접속하는 게 안전합니다. TV나 자동차 내에서 그런 작업을 해야 한다면, 차라리 화면이 작더라도 스마트폰을 쓰는 게 좋습니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Outdated Embedded Browsers Expose Smart TVs, Gaming Apps, Game Consoles to Cyber Risks - TechNadu (KU Leuven CheckEngine 연구 요약), 2025년 (스마트TV 35대 중 24대, e‑리더 전부가 최소 3년 이상 오래된 브라우저를 탑재하고 있어 피싱·CSP 우회·Referrer Policy 우회 공격에 취약함을 분석)
• Your car's web browser may be on the road to cyber ruin - The Register, 2025년 (CheckEngine 결과를 바탕으로 스마트TV, e‑리더, 게임 플랫폼(특히 Steam·Ubisoft Connect·AMD Adrenalin)의 임베디드 브라우저가 구식 Chromium 기반으로 남아 있어 알림창 스푸핑·권한 상승 공격이 가능하다고 지적)
• Exploiting Smart TVs using the HbbTV Protocol - TU Wien 석사학위논문, 2024년 (스마트TV의 HbbTV 브라우저가 구식 Chrome 엔진을 사용해 2,000개 이상 CVE, 그 중 64개 RCE 취약점에 노출돼 있다는 점을 실험적으로 입증)
• Exploiting Steam: Usual and Unusual Ways in the CEF Framework - Dark Navy Security 블로그, 2024년 (Steam 클라이언트의 CEF 기반 내장 브라우저를 대상으로 v8 취약점·Mojo JS 악용 등 브라우저 계층을 통한 공격 기법을 상세히 설명)

크롬미움 브라우저 노리는 ‘논리 시한폭탄’, 브래시 공격

💡Editor’s Pick - 크로미움 기반 브라우저 전부 비상 - DOM 연산 과도히 수행하게 해 브라우저 마비 - 공격자 편에서 시간 설정 가능하다는 게 특히 위험 크로미움(Chromium)의 렌더링 엔진인 블링크(Blink)에서 심각한 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공할 경우 수초 만에 브라우저에 충동 오류를 일으킬 수 있다고

The Tech Edge문가용 기자

TV 때문에 텍사스서 고발 당한 삼성과 LG

💡Editor’s Pick - 스마트TV 제조사 다섯 군데 고발한 텍사스 주 - ACR 기능 몰래 탑재시키고 제대로 설명하지 않았다는 게 이유 - ACR은 화면 캡쳐 기능인데, 제조사들이 제대로 알리지 않음 미국 텍사스 주가 여러 스마트TV 제조사들을 고발했다. 그러면서 주 정부 대 국제적 기업들 간 소송전이 벌어지게 됐다. 텍사스 주 측은 “이들

The Tech Edge문가용 기자