쿠키 및 토큰 도용을 방지하기 위한 Google의 새로운 보안 기능
디지털 보안 강화를 위한 선제적 조치의 일환으로, 구글은 기업들이 쿠키 및 인증 토큰 도용을 방지할 수 있도록 지원하는 세 가지 주요 개선 사항을 발표했습니다.구글에 따르면, 이러한 유형의 도용은 성공적인 계정 탈취의 약 37%를 차지합니다.
이메일을 통해 정보를 훔치는 악성 프로그램이 점점 더 늘어나면서 심각한 문제가 발생하고 있습니다.사이버 범죄자들은 세션 데이터를 탈취하여 사용자 계정에 무단으로 접근하는 혁신적인 전략을 고안해내고 있기 때문입니다.이러한 전략을 통해 사이버 범죄자들은 강력한 다중 인증 시스템조차 우회하여 비교적 쉽게 계정을 침해할 수 있습니다.
Passkey 지원 소개
첫 번째 주요 개선 사항은 모든 Google Workspace 사용자를 위한 패스키 지원 기능 출시입니다.이 기능은 사용자 경험을 간소화할 뿐만 아니라 보안 프로토콜을 크게 강화합니다.패스키는 개별 기기에 연결되어 피싱 공격에 대한 방어력을 제공합니다.
이제 1, 100만 명이 넘는 Google Workspace 고객에게 Passkey 지원이 일반적으로 제공되며, 등록을 감사하고 물리적 보안 키에 대한 Passkey를 제한하는 확장된 관리 기능이 제공됩니다.
장치 바인딩 세션 자격 증명(DBSC)
두 번째 개선 사항은 현재 오픈 베타 버전으로 제공되는 장치 바운드 세션 자격 증명(DBSC)의 도입입니다.이 기능은 사용자가 로그인한 후에도 사용자를 보호합니다.작동 방식은 다음과 같습니다.로그인 시 브라우저는 고유한 공개 키와 개인 키 쌍을 생성합니다.개인 키는 기기(이상적으로는 하드웨어 보안 모듈 내부)에 안전하게 저장되고, 공개 키는 서버로 전송됩니다.활성 세션을 유지하기 위해 서버는 개인 키가 있는 기기만 올바르게 응답할 수 있는 주기적인 질문을 발행합니다.
이 고급 보안 조치는 공격자가 세션 쿠키를 훔치더라도 개인 키에 접근할 수 없기 때문에 해당 기기에서 쿠키가 작동하지 않도록 합니다.현재 DBSC는 Windows용 Chrome에서만 사용할 수 있습니다.
공유 신호 프레임워크를 통한 보안 강화
Google은 올해 말 공유 신호 프레임워크(SSF) 수신기를 출시할 계획입니다.이 혁신적인 기능을 통해 다양한 보안 서비스가 표준화된 방식으로 통신할 수 있습니다. ID 제공업체가 사용자 계정의 잠재적 문제를 발견하면 Google에 즉시 세션 종료를 요청하여 무단 접근 위험을 최소화할 수 있습니다.
이러한 보안 조치의 발전은 2023년 Linus Tech Tips 해킹 사건을 포함하여 최근 발생한 주요 사건들을 고려할 때 특히 중요합니다.이 침해는 직원이 스폰서십 이메일에 링크된 PDF로 위장한 악성 파일을 무심코 열면서 발생했으며, 이로 인해 채널의 세션 토큰이 손상되었습니다. DBSC를 비롯한 새롭게 구현된 기능들은 향후 유사한 자격 증명 도용 가능성을 크게 줄이는 것을 목표로 합니다.
답글 남기기