구글은 도난당한 세션 쿠키가 해당 기능을 지원하는 웹사이트에서 다른 기기에서는 무용지물이 되도록 하는 새로운 쿠키 보호 조치를 개발하여 출시했습니다. 이 조치의 내용, 수혜 대상, 그리고 지금 바로 취해야 할 조치를 자세히 알아보겠습니다.
짧은 버전
정보 탈취 악성 프로그램은 비밀번호나 다단계 인증(MFA) 코드조차 필요로 하지 않습니다. 필요한 것은 로그인 후 브라우저에 저장되는 세션 쿠키라는 작은 파일뿐입니다. 수년 동안 이 파일 하나만 탈취해도 온라인에서 사용자를 사칭하여 사용자 이름, 비밀번호, 심지어 다단계 인증(MFA)까지 우회할 수 있었습니다. 하지만 이제 크롬은 이 파일을 특정 기기에 연결하여 세션 쿠키가 더 이상 작동하지 않도록 함으로써 "세션 탈취" 공격을 방지합니다.
웹사이트에 로그인하면 브라우저는 세션 쿠키라는 작은 토큰을 받습니다. 이 토큰은 사용자가 이미 로그인했음을 증명합니다. 이후 서버는 사용자의 비밀번호가 아닌 이 토큰을 신뢰합니다. 이 덕분에 웹 브라우징이 빠르고 편리해졌지만, 동시에 심각한 보안 취약점도 존재했습니다. 쿠키를 가진 자가 사용자의 세션을 독점하게 되므로, 비밀번호나 다단계 인증(MFA) 없이도 로그인할 수 있게 되는 것입니다.
LummaC2와 같은 정보 탈취 악성코드 계열은 2024년과 2025년에 걸쳐 이러한 토큰을 조용히 수집하여 온라인 시장에서 판매했습니다. 쿠키는 종종 며칠 또는 몇 주 동안 유효한 상태로 유지되기 때문에 공격자들은 아무도 알아차리기 전에 이를 사용할 충분한 시간을 확보했습니다.
어떤 운영체제에서도 소프트웨어만으로는 쿠키 유출을 완벽하게 막을 수 있는 확실한 방법이 없습니다.
구글 보안팀, 2026년 4월
구글의 답변은 다음과 같습니다. 장치 바인딩 세션 자격 증명또는 DBSC라고도 하는 이 기능은 현재 Windows용 Chrome 146에서 누구나 사용할 수 있으며 macOS 지원은 곧 제공될 예정입니다. 아이디어는 간단합니다. 쿠키 자체를 신뢰하는 대신 Chrome은 세션을 로그인한 물리적 장치에 연결합니다. 따라서 누군가 쿠키를 훔치더라도 다른 장치에서는 더 이상 작동하지 않습니다.
구글 자체 테스트 결과, DBSC는 베타 기간 동안 쿠키 탈취 시도의 94%를 차단했습니다. 성공한 6%의 경우, 사전에 컴퓨터에 개인 키를 인식하는 악성코드가 설치되어 있어야만 가능했습니다. 또한 각 세션마다 사이트별로 별도의 키를 사용하므로 웹사이트는 이 시스템을 이용해 사용자의 여러 방문 기록을 추적하거나 활동을 연결할 수 없습니다.
크롬이 가장 먼저, 그리고 가장 완벽하게 이 문제를 해결했습니다. 다음은 주요 데스크톱 브라우저별 쿠키 보호 현황을 비교한 표입니다. 애플은 세션 간 삭제 불가능한 추적을 가능하게 하는 "슈퍼 쿠키"에 대한 우려를 표명했습니다. W3C 규격은 쿠키 키가 웹사이트 데이터와 함께 삭제되도록 함으로써 이 문제를 해결합니다. 애플은 여전히 "개발 중"이 아닌 "논의 중"이라는 입장을 고수하고 있습니다.
이러한 보호는 실질적이며 중요합니다. 하지만 이것이 전부는 아닙니다. 다음 네 가지 사항을 명심하십시오.
이미 도난당한 쿠키
이미 온라인에 유포되고 있는 51.7만 개의 자격 증명 패키지는 영향을 받지 않습니다. DBSC는 활성화된 후에 생성되는 새로운 세션만 보호합니다.
구형 하드웨어
TPM 또는 보안 인클레이브가 없는 장치는 이전의 보호되지 않은 동작 방식으로 돌아갑니다. 많은 구형 업무용 컴퓨터에는 이 칩이 없으므로 사용 중인 컴퓨터를 확인하십시오.
PowerShell 명령 Get-Tpm을 실행하세요.
웹사이트도 업데이트해야 합니다.
DBSC는 웹사이트 측에서 해당 기능을 지원해야 합니다. 구글과 옥타는 이미 이 기능을 추가했지만, 다른 대부분의 앱과 플랫폼은 아직 작업 중입니다.
다른 브라우저는 지원되지 않습니다.
현재 Firefox, Safari, DBSC를 완벽하게 지원하지 않는 Edge를 사용하거나 업무용으로 모바일 브라우저를 사용하는 사용자는 이러한 보호 기능을 이용할 수 없습니다.
이 기능을 활용하기 위해 보안 전문가가 될 필요는 없습니다. Chrome은 지원되는 하드웨어에서 필요한 작업을 자동으로 처리합니다. 여러분의 역할은 Chrome이 제대로 작동하도록 지원하는 것입니다.
개인 기기에서 Chrome을 열고 설정, 도움말, Google Chrome 정보 순으로 이동하세요. 버전이 146 이상이 아니면 지금 업데이트하세요. Windows 11을 사용하는 경우, 이 기능을 작동시키는 데 필요한 TPM 칩이 기기에 거의 확실하게 탑재되어 있습니다. 구형 기기나 Windows 10을 사용하는 경우, 제조업체에서 제공하는 사양 정보를 확인하여 TPM 칩이 있는지 확인하세요.
사업주와 IT 책임자 여러분, 다음 팀 회의에 다음 사항을 추가하세요. 직원들이 Chrome 146 이상 버전을 사용하고 있는지 확인하고, IT 담당자에게 Windows 기기에서 TPM이 활성화되어 있는지 확인해 달라고 요청하세요. 또한 주요 비즈니스 애플리케이션에서 DBSC 지원 관련 공지가 있는지 주시하세요. 빠르게 진전되고 있습니다.
한 줄로 요약하자면 다음과 같습니다. 크롬을 업데이트하고, 하드웨어에 TPM 칩이 있는지 확인하세요. 그러면 곧 많은 웹사이트에서 세션 쿠키 도용 공격을 차단하여 쿠키 악용을 막을 수 있게 될 것입니다. 쿠키 괴물은 사라질 거예요!
최신 사이버 보안 동향, 팁, 모범 사례를 알아보고 공유하세요. 또한 주의해야 할 새로운 위협도 알려드립니다.
구글은 도난당한 세션 쿠키를 어떤 웹사이트에서도 사용할 수 없게 만드는 새로운 쿠키 보호 조치를 개발하여 출시했습니다.
더보기
MDASH와 Claude Mythos Preview라는 새로운 벤치마크 데이터가 제로데이 취약점을 찾아내는 데 가장 뛰어난 AI 에이전트로 선정되었습니다.
더보기
비밀번호 하나를 잊어버려서 하마터면 큰일 날 뻔했습니다. 한 소매점의 윈도우 컴퓨터에 캐시된 비밀번호 때문에 큰 문제가 발생했습니다...
더보기
