“크롬도 엣지도 모두 한 뿌리” 구글 크로미움 브라우저의 정체
크롬(Chrome)과 크로미움(Chromium)은 이름이 비슷하지만 전혀 다른 웹 브라우저다. 하지만 서로 관련은 있다.하나가 다른 하나로
www.itworld.co.kr
여러 브라우저가 크로미움 기반으로 개발됐다. 크로미움의 소스코드를 이용해 애플리케이션을 쉽게 만들 수 있다. 근본적인 기능을 구축하는 온갖 까다로운 작업이 필요 없다.
대부분 점유율이 작은 브라우저이고, 과거에는 중요했지만 지금은 인기가 없어진 것도 있다. 예를 들면, 다음과 같다.
오페라(Opera) : 과거 노르웨이의 브라우저였다가 지금은 중국 업체에 인수됐다. 오페라는 자체 소유한 프레스토(Presto) 렌더링 엔진을 2013년에 포기하고, 크로미움 생성 엔진인 블링크(Blink)로 전환했다. 블링크는 크롬과 엣지의 기반 엔진이다. 시장조사업체 넷 애플리케이션즈(Net Applications)에 따르면, 오페라는 10월 전년대비 절반에 불과한 0.7%의 점유율을 기록했다.
비발디(Vivaldi) : 전직 오페라 엔지니어가 주도하는 팀이 개발한 비발디는 2016년 출시됐다. 비발디 CEO는 비발디를 “미니멀리즘 UI가 유행하지 않았던 시절로의 회귀”라고 표현할 정도로 여러 기능이 기본 포함된 브라우저다. 10월 기준으로 비발디 점유율은 0%이거나 측정하기 어려울 정도로 작다.
브레이브(Brave) : 파이어폭스 개발사인 모질라의 전직 임원이 만든 브레이브는 모든 광고를 없애고 자체 광고로 대체한 것으로 잘 알려져 있다. 브레이브에 따르면, 수익을 사용자와 분배하고, 사용자는 일종의 암호화폐를 지급받는다. 사용자는 원하는 경우 자신의 암호화폐를 한 곳 또는 그 이상의 사이트로 이동시킬 수 있다. 비발디와 마찬가지로 브레이브는 넷 애플리케이션에서 점유율이 잡히지 않았다.
크로미움을 이용하는 다른 브라우저로는 QQ, 치후 360 시큐어 브라우저(Qihoo 360 Secure Browser), 에픽(Epic), 코모도 드래곤(Comodo Dragon) 등이 있다.
크로미움 브라우저에는 없는 익숙한 크롬과 엣지의 기능은 다음과 같다.
크롬 및 엣지의 업데이트 서비스 : 보안 업데이트나 기능 업그레이드가 나올 때마다 브라우저를 자동으로 업데이트하는 내장 매커니즘이다. 이런 업데이트는 보안과 관련이 있든, 기능과 관련이 있든, 결국 크로미움의 파생물이다. 크로미움은 자동으로 업데이트되지 않는다. 따라서 결함을 교정하는 수정이 공개됐을 때 사용자가 새 버전을 다운로드하지 않는 한 수정 사항이 추가되지 않는다.
와이드바인(Widevine) DRM 모듈 지원 : 크로미움은 넷플릭스 콘텐츠를 재생할 수 없다. 넷플릭스는 콘텐츠 복제를 방지하기 위해 와이드바인에 의존하기 때문이다.
구글과 마이크로소프트의 자체 엔지니어가 발견한 취약점과 독립적인 보안 연구자들이 발굴한 취약점은 크로미움에서 정기적으로 패치된다. 따라서 이는 크롬이나 엣지 만큼이나 안전하다.
미시적 수준에서 크로미움은 엔지니어가 보안 수정을 추가하는 시점이 불분명하다. 크롬의 스테이블 빌드는 2~3주마다 패치가 나오며, 엣지는 보통 크롬 패치 배포 후 2일 후에 나온다. 따라서 크로미움 브라우저도 최소한 그 정도의 빈도로 업데이트가 될 것이다. 하지만 버그 수정은 카나리 같은 불안정한 빌드에 먼저 적용되고 스테이블 빌드로 넘어오기 때문에 크로미움 프로젝트가 관리하는 소스코드와 크로미움 브라우저는 카나리 빌드로 적용되기 전에 변경될 것으로 보는 게 타당하다.
그러나 크로미움은 업데이트 메커니즘이 없기 때문에 소스코드에 적용되는 어떤 보안 패치도 사용자가 최신 버전을 수동으로 다운로드하지 않으면, 사용자의 크로미움에 반영되지 않는다.
분명한 사실 하나는 범죄자들이 크로미움에 악성코드를 심거나 공격코드를 포함한 크로미움 브라우저 업데이트 버전을 유포한다는 것이다. 그래서 크로미움 보안에 관한 의문이 꾸준히 제기된다.
브라우저 자체는 일반 브라우저와 다를 것이 없기 때문에, 크로미움도 다른 애플리케이션과 동일하게 시스템에서 제거할 수 있다.
예를 들어, 윈도우 10에서는 시작 버튼 옆에 검색 상자에 ‘제거’를 입력하면 ‘프로그램 제거 또는 추가하기’가 나타나는데, 여기에서 크로미움을 클릭해 ‘제거’ 버튼을 클릭한다. 맥OS의 경우 파인더에서 애플리케이션 폴더를 선택하고 크로미움을 지정한 후, 우클릭해서 ‘휴지통으로 이동’을 선택한다.
악성코드가 포함된 버전이거나 감염된 브라우저라면 조금 번거롭다. 공격자는 브라우저 이름을 하이재킹해서 공격 코드를 위장하고, 어떤 경우에는 브라우저에 악성코드를 넣거나 소스코드를 이용해 브라우저를 조작한다. 걸려들면 화면에 팝업 광고가 가득차고 사이트 인증 정보가 탈취된다. 허위 크로미움은 거의 윈도우에서만 발견된다.
이게 가장 치명적이다. 이들은 흔히 용량이 더 큰 프리웨어 다운로드의 일부이고, 항상 그런 것은 아니지만, 주로 부실해 보이는 웹사이트에서 발견된다. 그리고 다른 원치 않는 소프트웨어와 마찬가지로 시스템 밖으로 떼내기가 어려울 수 있다.
이런 경우엔 단순히 프로그램을 제거하는 것만으로는 효과가 없다. 구글에 ‘XX(제거하지 못한 크로미움 기반 브라우저 이름)을 제거하는 방법’을 검색해 보거나, 평판이 좋은 보안 소프트웨어로 악성코드를 식별해서 완벽히 제거한다. 보안 소프트웨어가 삭제하지 못하면, 수동으로 프로그램 추가 또는 제거에서 이를 수동으로 제거해야 한다.
크로미움 프로젝트의 결과를 일찍 보고 싶지만, 불안정한 브라우저를 실행하는 위험을 감수하고 싶지 않다면, 윈도우나 맥OS 환경에서 최고의 대안은 카나리 빌드다.
크로미움과 달리 카나리는 자동으로 업데이트되고, 크롬 또는 엣지의 전체 기능과 기기 사이의 브라우저 동기화 같은 부속 서비스가 포함되어 있다. 크로미움과 마찬가지로 카나리 빌드는 빈번히 갱신된다. 따라서 이를 통해 대다수 사용자가 실행하는 크롬이나 엣지의 ‘스테이블’ 빌드의 미래를 내다볼 수 있다.
ⓒ GOOGLE
하지만 카나리 역시 어느 정도는 불안정하다. 구글은 카나리 웹사이트에 “카나리는 불안정할 수 있습니다”라는 경고 문구를 표시해 두었다. 마이크로소프트 엣지 역시 카나리 빌드가 크로미움의 대안이 될 수 있다.
카나리 빌드는 리눅스 버전이 없다. 리눅스 사용자는 크롬이나 엣지의 데브(Dev) 빌드를 실행할 수 있다.
크로미움은 크롬 브라우저 형태로 최소한 2016년 4월부터 세계에서 가장 인기 있는 브라우저지만, 마이크로소프트가 자체 엣지 기술을 포기하고 크로미움으로 대체한 것이 중대한 전환점이었다. 2020년 1월 엣지가 크로미움 기반으로 돌아오면서 거시적으로 보아 오직 2개의 브라우저 엔진만이 남게 됐다. 구글의 블링크와 파이어폭스의 게코다. 애플의 사파리는 웹킷을 이용하는데, 웹킷은 블링크와 뿌리가 같다.
크로미움이 유일한 생존자가 될 가능성은 충분하다. 파이어폭스는 부진한 시장 점유율을 유지하는 것조차 어려움을 겪고 있다(10월 기준 7%). 그리고 모회사인 모질라는 심각한 재무적 어려움 속에 있다. 모질라가 망하고 파이어폭스가 사라진다면, 크로미움이 데스크톱을 지배할 것이다. (애플의 사파리는 PC 점유율은 낮지만, 모바일의 점유율은 17%로 상당한 편이다.).
마이크로소프트는 약 2년 전에 크로미움으로 전환한다는 결정을 하면서, “데스크톱용 마이크로소프트 엣지 개발에 크로미움 오픈소스를 도입하는 것은 고객을 위해 웹 호환성을 높이고 웹 개발자를 위해 파편화를 줄이기 위함이다”라고 말했다.
다시 말해, 마이크로소프트는 크로미움의 승리를 인정하고 과거의 적에게 동지까지는 아니더라도 협력자로서 함께할 것임을 공표한 것이다.
현재 크로미움의 위력은 그 한계를 가늠하기 어렵다. editor@itworld.co.kr
“크롬도 엣지도 모두 한 뿌리” 구글 크로미움 브라우저의 정체
크롬(Chrome)과 크로미움(Chromium)은 이름이 비슷하지만 전혀 다른 웹 브라우저다. 하지만 서로 관련은 있다.하나가 다른 하나로
www.itworld.co.kr
