세션 바인딩으로 쿠키 도용 방지하기 (베타)

관리자는 기기 바운드 세션 사용자 인증 정보 (DBSC)를 구현하여 사용자의 온라인 세션 보안을 강화할 수 있습니다. DBSC는 쿠키 도용이라고도 하는 세션 하이재킹을 방지하도록 설계되었습니다.

이러한 유형의 사이버 공격은 승인되지 않은 당사자가 로그인 중에 웹사이트에서 발급한 세션 쿠키를 훔쳐(사용자 기기의 멀웨어를 통해) 사용자의 활성 웹 세션을 제어하는 경우에 발생합니다. 세션 쿠키는 로그인 중에 웹사이트에서 발급한 고유한 세션 식별자가 포함된 작은 데이터 파일입니다. 공격자는 이 도난당한 쿠키를 제시하여 적법한 사용자의 명의를 도용하고 인증된 세션을 계속 진행할 수 있습니다.

DBSC는 사용자의 세션을 특정 기기에 바인딩하는 방식으로 작동하므로 공격자가 훔친 쿠키를 다른 기기에서 사용하기 어렵게 만듭니다. DBSC를 사용하면 사용자 계정에 대한 무단 액세스의 위험을 줄여 민감한 사용자 데이터를 안전하게 보호할 수 있습니다.

DBSC 사용 요구사항

  • Chrome for Windows: 현재 DBSC는 Windows 기기의 Chrome 브라우저 에서만 사용할 수 있습니다.
  • 하드웨어 보안 (TPM): 사용자의 기기에는 Windows 11을 실행하는 대부분의 기기에서 이미 사용할 수 있는 표준 하드웨어 구성요소인 신뢰 플랫폼 모듈 (TPM)이 있어야 합니다. 이 하드웨어는 세션을 기기에 바인딩하는 데 사용되는 암호화 키를 안전하게 저장합니다. 사용자는 일반적으로 기기의 시스템 설정에서 TPM 사용 가능 여부에 관한 정보를 확인하거나 기기 제조업체의 문서를 참고할 수 있습니다.
  • Chrome 버전: 사용자에게 Chrome 버전 136 이상이 설치되어 있어야 합니다. 자세한 내용은 Chrome 업데이트를 참고하세요.
  • 기본 계정: DBSC 보호 및 로그 이벤트 데이터는 Chrome 브라우저 프로필의 기본 계정에서만 사용할 수 있습니다.

참고: 세션 바인딩은 대부분의 Google 쿠키를 보호하지만 일부 쿠키 또는 세션은 바인딩되지 않은 상태로 유지될 수 있습니다.

DBSC 사용 설정

시작하기 전에: 필요한 경우 부서 또는 그룹에 설정을 적용하는 방법을 알아보세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 액세스 및 데이터 관리 다음 Google 세션 제어로 이동합니다.

    보안 설정 관리자 권한이 필요합니다.

  2. (선택사항) 일부 사용자에게만 설정을 적용하려면 옆에서 조직 단위 (부서에서 주로 사용됨) 또는 구성 그룹 (고급)을 선택합니다.

    그룹 설정은 조직 단위보다 우선 적용됩니다. 자세히 알아보기

  3. 기기 바운드 세션 사용자 인증 정보에서 DBSC 사용 설정을 선택합니다.
  4. 저장 을 클릭합니다. 또는 조직 단위에 대해 재정의를 클릭할 수도 있습니다.

    상속된 값을 나중에 복원하려면 상속 (또는 그룹의 경우 설정되지 않음)을 클릭합니다.

컨텍스트 인식 액세스로 DBSC 적용하기

데스크톱 웹 앱으로 제한되며 모바일 앱 또는 API에는 적용되지 않음

사용자가 특정 Google Workspace 앱에 액세스할 때 DBSC를 요구함으로써 보안을 더욱 강화할 수 있습니다. DBSC를 적용하면 시스템에서 이전에 설정된 바운드 세션과의 차이점을 감지할 경우 사용자에게 다시 로그인하라는 메시지가 표시됩니다. 이 재인증을 통해 시스템은 새로운 보안 바인딩을 시도할 수 있습니다. 지원되지 않는 플랫폼의 사용자는 보호된 앱에 액세스할 수 없습니다. 이 보안 조치는 컨텍스트 인식 액세스를 통해 구성됩니다.

DBSC 시행을 설정하려면 다음 안내를 따르세요.

  1. 보호하려는 사용자에 대해 DBSC를 사용 설정합니다. 자세한 단계는 DBSC 사용 설정을 참고하세요.
  2. DBSC 바운드 세션에서만 앱 액세스 허용의 안내에 따라 맞춤 액세스 수준을 만듭니다.
  3. DBSC 바운드 세션에서만 액세스할 수 있도록 하려는 앱에 액세스 수준을 할당합니다. 모니터링 모드 를 사용하면 사용자 액세스를 차단하지 않고 시행을 시뮬레이션할 수 있습니다.
  4. 영향을 평가한 후 활성 모드 에서 액세스 수준을 할당하여 DBSC 바운드 세션에서만 액세스를 시행합니다. 자세한 내용은 컨텍스트 인식 액세스 배포하기를 참고하세요.

DBSC 시행은 즉시 적용되지 않으며 사용자가 로그인한 후 시행이 적용되기까지 유예 기간이 있습니다. 이러한 설계는 일시적 바인딩 문제 발생 가능성을 고려한 것입니다. 바인딩되면 시스템은 지정된 앱에 액세스하는 사용자가 DBSC 바운드 세션을 사용하는지 정기적으로 확인합니다. 재인증하면 이 유예 기간이 재설정되며 재인증 중에는 DBSC가 적용되지 않습니다.

DBSC 보호 및 세션 문제 조사

보안 조사 도구를 사용하여 DBSC 보호를 모니터링하고 세션 중단을 해결할 수 있습니다. DBSC 활동에는 다음과 같은 두 가지 로그 소스가 있습니다.

  • 사용자 로그 이벤트 : 액세스 토큰이 사용자 기기에 바인딩되는 것을 모니터링합니다.
  • 액세스 평가 로그 이벤트 : 특정 쿠키의 상태를 검토합니다.

1단계: 사용자 로그 이벤트에서 DBSC 활동 검색

이 데이터 소스를 사용하여 DBSC가 키를 사용자 기기에 바인딩하고 세션을 검증하는지 확인합니다.

DBSC가 키를 바인딩하는지 확인하려면 다음 안내를 따르세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스에서 사용자 로그 이벤트를 선택합니다.
  3. 조건 추가 를 클릭합니다.
  4. 속성에서 이벤트다음Is를 연산자로다음DBSC 키 바인딩을 이벤트로 선택합니다.
  5. 검색 을 클릭합니다.
  6. 결과 표에서 이벤트 상태 열을 검토합니다.
    • 성공 : 사용자에게 DBSC 보호가 사용 설정되어 있으며 세션이 보호됩니다.
    • 실패 : DBSC 바인딩이 실패했으며 사용자에게 보호가 사용 설정되어 있지 않습니다.
    • 결과 없음 : 이 사용자 세션에 대해 DBSC 보호가 시도되지 않았습니다.

DBSC가 세션을 검증하는지 확인하려면 다음 안내를 따르세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 조건 추가 를 클릭합니다.
  3. 속성 에서 이벤트다음Is 를 연산자로다음DBSC 키 인증 을 이벤트로 선택합니다.
  4. 검색 을 클릭합니다.
  5. 결과 표에서 이벤트 상태 열을 검토합니다.
    • 성공 : 쿠키가 성공적으로 검증되었습니다.
    • 실패 : DBSC 검증이 실패했습니다. 상태 를 클릭하면 오류 코드와 같은 추가 정보를 확인할 수 있습니다.

실패가 한 번 발생했다고 해서 반드시 사용자에게 세션 중단이 발생한 것은 아닙니다. 검증 실패가 여러 번 연속으로 발생하면 사용자에게 중단이 발생할 수 있습니다.

2단계: 액세스 평가 로그 이벤트에서 액세스 거부 확인

이 데이터 소스를 사용하여 사용자의 쿠키에 대한 액세스가 거부되었는지 확인합니다.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스에서 액세스 평가 로그 이벤트를 선택합니다.
  3. 조건 추가 를 클릭합니다.
  4. 속성 에서 이벤트다음Is 를 연산자로다음쿠키 검증 요청 거부 를 이벤트로 선택합니다.
  5. 검색 을 클릭합니다.
  6. 결과 표에서 거부됨을(를) 이벤트 상태 열에서 클릭하거나 설명 열의 링크를 클릭하여 다음 실패 이유를 검토할 수 있는 측면 패널을 엽니다.
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

로그 이벤트는 세션별로 그룹화됩니다. 액세스 시도가 여러 번 차단되더라도 사용자당 매시간 하나의 이벤트만 기록됩니다.

3단계: DBSC로 인해 세션 중단이 발생하는지 조사

사용자는 세션 길이 제한, 관리자가 정의한 정책 또는 네트워크 문제와 같은 다양한 이유로 로그아웃될 수 있습니다. 로그아웃이 항상 DBSC 문제를 나타내는 것은 아니지만 특정 로그 시퀀스를 사용하면 잠재적인 DBSC 관련 활동 또는 시스템에서 손상된 세션을 차단한 인스턴스를 식별하는 데 도움이 될 수 있습니다.

다음 사항을 사용하여 DBSC 관련 활동을 식별하세요.

  • 로그 시퀀스 검토: DBSC 키 인증 실패 후 쿠키 검증 요청 거부가 표시되면 DBSC가 사용자의 로그아웃 원인일 수 있습니다.
  • 사용자에게 미치는 영향 파악 : 계정을 안전하게 보호하려면 바인딩 프로세스에서 오류가 발생할 경우 사용자가 다시 로그인해야 합니다.
  • 사용자에게 DBSC 적용 면제 : 사용자가 지속적으로 로그아웃되는 경우 DBSC가 적용되지 않는 구성 그룹을 만들고 사용자를 해당 그룹에 추가하여 DBSC가 로그아웃을 유발하는지 평가할 수 있습니다.


Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.