크롬에서 ‘XSLT’가 사라진다: 우리에게 중요한 이유는 보안과 레거시

Categories ,

요약(3줄)
크롬(Chromium)이 오래된 웹 기능인 XSLT를 단계적으로 지원 중단·삭제할 계획을 공개했습니다.
핵심 이유는 “요즘 거의 안 쓰는 기능인데도 브라우저 안에 남아 있으면 보안 공격면이 된다”는 점입니다.
일반 사용자는 체감이 작을 수 있지만, 사내/레거시 사이트를 쓰는 조직은 미리 점검이 필요합니다.

1) XSLT가 뭐길래? (간단 비유)

XSLT는 XML 문서를 다른 형태(대표적으로 HTML)로 “변환”하는 규칙 언어입니다. 쉽게 말해, ‘원본 데이터(XML)’를 ‘보기 좋은 화면(HTML)’으로 바꾸는 변환기 같은 역할을 했습니다.

예전에는 “서버가 아니라 브라우저가” XML을 받아서 XSLT로 화면을 만들기도 했는데, 요즘은 대부분 JSON + 자바스크립트 프레임워크(React 등) 방식으로 바뀌었습니다. 그래서 브라우저 안에 남아 있는 XSLT 기능은 ‘레거시’가 된 셈이죠.

2) 왜 없애나: ‘안 쓰는데 위험한 부품’은 제거하는 게 이득

Chrome 개발자 문서는 XSLT가 이제는 드물게 쓰이는 기능이지만, 브라우저가 신뢰할 수 없는 웹 콘텐츠를 처리하는 과정에서 공격면이 될 수 있다고 설명합니다. 특히 브라우저 엔진의 핵심 자바스크립트 영역에 비해, 이런 레거시 변환 기능은 유지보수·보안 검토가 상대적으로 얇아지기 쉽습니다.

비유하면, 집에서 거의 쓰지 않는 오래된 멀티탭이 있는데, 그 멀티탭이 종종 스파크를 일으킨다면 “필요할 때만 조심해서 쓰자”보다 교체하거나 치우는 게 안전하다는 판단에 가깝습니다.

3) 언제부터 영향이 생기나: ‘지금 당장’보다는 ‘단계적’

Chrome 개발자 문서에 따르면, 크롬은 이미 경고/지원 중단 단계를 거치고 있고, 2026년 후반~2027년까지 단계적으로 기능을 끄는 로드맵을 제시합니다. 특히 기업 환경을 위해, 일정 기간은 Enterprise PolicyOrigin Trial 형태로 “시간을 벌어주는 장치”도 함께 안내하고 있습니다.

즉, 일반 개인 사용자는 갑자기 웹이 대규모로 깨지는 느낌보다는, 특정 레거시 페이지(예: 오래된 사내 시스템, 오래된 장비 관리 페이지)에서 먼저 문제가 드러날 가능성이 큽니다.

4) 같이 보면 좋은 변화: ‘브라우저가 점점 AI 기능을 안으로 넣는다’

한편 Google의 Chrome Enterprise/Education 출시 노트(Chrome 143 요약)에는 크롬에 AI 모드 기능이 통합되어 새 탭 페이지나 주소창에서 접근할 수 있고, 관리자는 정책으로 제어할 수 있다는 설명이 포함돼 있습니다.

정리하면, 브라우저는 한쪽에서는 오래된 기능(레거시)을 정리하고, 다른 한쪽에서는 새 기능(AI 기능)을 ‘기본 탑재’로 늘리는 방향으로 움직이고 있습니다. 사용자 입장에선 “업데이트가 왜 자주 있지?” 싶지만, 보안과 기능 경쟁이 동시에 진행되는 영역이 브라우저입니다.

5) 일반 사용자가 오늘 할 일(체크리스트)

  • 회사/학교 PC에서 특정 업무 사이트가 ‘가끔만’ 이상하다면: 브라우저 업데이트 이슈인지, 레거시 기능 의존인지 IT 담당자에게 공유하기
  • 개인 사용자: 크롬 업데이트를 미루지 않기(브라우저는 공격 표면이 큰 앱입니다)
  • 조직/개발자: 사내 시스템 중 “XML + XSLT로 화면 렌더링”하는 곳이 있는지 점검(있다면 마이그레이션 계획 수립)

한계/주의

  • 이번 글은 공식 문서에 공개된 로드맵과 설명을 바탕으로 정리한 것이며, 실제 적용 시점은 버전/채널/정책에 따라 달라질 수 있습니다.
  • XSLT 영향은 ‘인터넷 전체’가 아니라, 레거시 구현에 의존하는 일부 사이트/도구에서 먼저 나타날 가능성이 큽니다.

출처

이미지 출처: Wikimedia Commons: File:Google Chrome OS browser ru.png · License: CC BY-SA 4.0 · https://creativecommons.org/licenses/by-sa/4.0