구글은 크롬에서 취약점을 제거하여 도난당한 쿠키를 비효율적으로 만들었습니다

구글은 Chrome 146에서 쿠키 세션 도난 방어 기능을 추가했습니다

*새로운 기술인 Device Bound Session Credentials (DBSC)는 사용자 세션을 장치 하드웨어에 암호학적으로 연결합니다.*

변경 사항
플랫폼 보호 방식 Windows TPM(Trusted Platform Module) 모듈 사용. 칩은 내보낼 수 없는 고유 키를 생성합니다. 새로운 쿠키 세션은 Chrome이 개인 키 소유권을 확인한 후에만 발급됩니다. macOS는 Secure Enclave(TPM과 유사)를 통해 향후 업데이트에서 보호 기능을 추가할 예정입니다.

작동 원리
1. 새 세션을 만들 때 Chrome은 보안 칩에 연결된 공개/개인 키를 생성합니다.
2. 서버는 공개 키만 받고 이를 사용해 쿠키 세션을 암호화합니다.
3. 데이터를 접근하려면 클라이언트가 개인 키 소유권을 증명해야 하며, 이는 같은 장치에서만 가능합니다.
4. 공격자가 쿠키를 훔쳐도 칩에 접근할 수 없으면 세션은 즉시 무효화됩니다.

중요성
* 세션 쿠키는 인증 토큰으로 사용자가 비밀번호 재입력 없이 서비스에 로그인하도록 합니다.
* 악성 소프트웨어(인포스틸러) 예: LummaC2는 이러한 파일과 브라우저 메모리를 읽어 데이터를 훔칩니다.
* 소프트웨어 방어만으로는 완전하지 않으며, 공격자가 기계에 접근하면 쿠키를 얻을 수 있습니다.

DBSC는 데이터 교환을 최소화합니다. 공개 키만 서버로 전송되고 장치 식별자는 숨겨집니다. 각 세션은 별도의 키로 보호되어 서로 다른 세션 간 사용자의 활동 추적이 어렵습니다.

테스트 및 지원
* 구글은 Okta를 포함한 여러 웹 플랫폼과 함께 DBSC 초기 버전을 테스트했습니다.
* 세션 도난이 눈에 띄게 감소했습니다.
* 프로토콜은 마이크로소프트와 협력해 공개 웹 표준으로 개발되었으며, 웹 보안 전문가의 승인을 받았습니다.

사이트가 활용하는 방법
1. DBSC를 사용하는 세션 쿠키 등록 및 갱신 포인트를 백엔드에 추가합니다.
2. 기존 프론트엔드는 영향을 받지 않으며 호환성이 유지됩니다.

사양은 W3C 웹사이트에서 확인할 수 있으며, 구현 가이드는 구글 문서와 GitHub 리포지토리에서 찾을 수 있습니다.

결론: Chrome 146의 새로운 기능은 쿠키 세션 도난 방어를 강화하여 사용자 하드웨어에 연결함으로써 훔친 토큰을 거의 즉시 무효화하고 웹 애플리케이션 전반의 보안을 향상시킵니다.