구글은 사이버 공격자의 쿠키 도용 위협에 대응하기 위해 새로운 보안 기능인 '디바이스 바운드 세션 자격증명'(DBSC)을 도입했다고 밝혔다. 이 기능은 인증 시스템의 취약점을 악용하도록 설계된 멀웨어에 대응하기 위해서다.

사용자의 인증 정보와 기본 설정을 저장하는 쿠키는 개인 및 민감한 데이터에 무단으로 액세스하려는 사이버 범죄자들의 주요 표적이 되고 있다. 이러한 쿠키는 일단 도난당하면 다단계 인증(MFA) 조치를 우회하는 데 악용될 수 있어 사용자의 온라인 보안에 심각한 위험을 초래할 수 있다.

이 문제를 해결하기 위해 구글 크롬 보안팀은 기기의 TPM(신뢰할 수 있는 플랫폼 모듈) 칩을 사용하여 인증 쿠키를 특정 기기에 암호로 바인딩하는 메커니즘인 DBSC를 고안했다. 이 암호화 바인딩은 공격자가 탈취한 쿠키를 유출하여 활용하기 매우 어렵게 만들어 사용자 계정을 탈취하려는 시도를 차단한다.

구글 크롬 측은, DBSC가 도난당한 쿠키를 본질적으로 쓸모없게 만들어 불법 쿠키 도용 산업을 무력화시키는 것이 목적이라고 설명했다. 인증 세션이 기기에 연결되고 TPM 칩에 안전하게 저장되므로 쿠키 도난이 발생하더라도 공격자는 사용자 계정에 액세스할 수 없게 된다.

DBSC를 구현하려면 각 인증 세션에 대해 고유한 공개/개인 키 쌍을 생성해야 하며, 공개 키는 사용자의 디바이스에 저장되고 개인 키는 TPM 칩 내에 안전하게 유지된다. 이 접근 방식은 보안을 강화할 뿐만 아니라 웹사이트가 동일한 디바이스에서 여러 세션에 걸쳐 사용자를 추적하는 것을 방지하므로 사용자 개인정보를 보호할 수 있다.

아직 프로토타입 단계에 있는 DBSC는 크롬 설정에서 '활성화-바운드-세션-자격증명' 플래그를 통해 기능을 활성화할 수 있는 사용자들을 대상으로 테스트를 거칠 예정이다. DBSC가 완전히 배포되면 일반 사용자와 기업 사용자 모두에게 업그레이드된 보안을 자동으로 제공하여 구글 계정에 대한 추가적인 보호 기능을 제공할 수 있을 것으로 예상된다.

또한 구글은 이 기술을 구글 워크스페이스 및 구글 클라우드 고객에게도 확대 적용해 서비스 전반에 걸쳐 포괄적인 계정 보안을 강화하려고 하고 있다.

최근 몇 달 동안 위협 행위자들은 문서화되지 않은 Google OAuth '멀티로그인' API 엔드포인트를 비롯한 인증 시스템의 취약점을 악용해 새로운 인증 쿠키를 생성하고 보안 조치를 회피했다. 하지만 DBSC가 도입되면 공격자가 도난당한 쿠키를 활용하는 데 필요한 암호화 키에 액세스할 수 없게 되므로 이러한 위협을 효과적으로 완화할 수 있을 것으로 보인다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★