세션 바인딩으로 쿠키 도용 방지하기 (베타)

관리자는 기기 바운드 세션 사용자 인증 정보 (DBSC)를 구현하여 사용자의 온라인 세션 보안을 강화할 수 있습니다. DBSC는 쿠키 도용이라고도 하는 세션 하이재킹을 방지하도록 설계되었습니다.

이러한 유형의 사이버 공격은 승인되지 않은 당사자가 세션 쿠키를 훔쳐 사용자의 활성 웹 세션을 제어하는 경우에 발생합니다. 세션 쿠키는 사용자의 기기에 있는 멀웨어를 통해 훔쳐지는 경우가 많습니다. 세션 쿠키는 로그인 중에 웹사이트에서 발급한 고유한 세션 식별자가 포함된 작은 데이터 파일입니다. 공격자는 이 도난당한 쿠키를 제시하여 적법한 사용자의 명의를 도용하고 인증된 세션을 계속 진행할 수 있습니다.

DBSC는 사용자의 세션을 특정 기기에 바인딩하는 방식으로 작동하므로 공격자가 훔친 쿠키를 다른 기기에서 사용하기 어렵게 만듭니다. DBSC를 사용하면 사용자 계정에 대한 무단 액세스의 위험을 줄여 민감한 사용자 데이터를 안전하게 보호할 수 있습니다.

DBSC 사용 요구사항

  • Windows용 Chrome: 현재 DBSC는 Windows 기기용 Chrome 브라우저에서만 사용할 수 있습니다.
  • 하드웨어 보안 (TPM): 사용자의 기기에는 Windows 11을 실행하는 대부분의 기기에서 이미 사용할 수 있는 표준 하드웨어 구성요소인 신뢰 플랫폼 모듈 (TPM)이 있어야 합니다. 이 하드웨어는 세션을 기기에 바인드하는 데 사용되는 암호화 키를 안전하게 저장합니다. 사용자는 일반적으로 기기의 시스템 설정에서 TPM 사용 가능 여부에 관한 정보를 확인하거나 기기 제조업체의 문서를 참고할 수 있습니다.
  • Chrome 버전: 사용자에게 Chrome 버전 136 이상이 설치되어 있어야 합니다. 자세한 내용은 Chrome 업데이트를 참고하세요.
  • 기본 계정: DBSC 보호 및 로그 이벤트 데이터는 Chrome 브라우저 프로필의 기본 계정에서만 사용할 수 있습니다.

참고: 세션 바인딩은 대부분의 Google 쿠키를 보호하지만 일부 쿠키 또는 세션은 바인딩되지 않은 상태로 유지될 수 있습니다.

DBSC 사용 설정

시작하기 전에: 필요한 경우 부서 또는 그룹에 설정을 적용하는 방법을 알아보세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 액세스 및 데이터 관리 다음 Google 세션 제어로 이동합니다.

    Google 세션 제어로 이동합니다.

    보안 설정 관리자 권한이 필요합니다.

  2. (선택사항) 일부 사용자에게만 설정을 적용하려면 옆에서 조직 단위(부서에서 주로 사용됨) 또는 구성 그룹(고급)을 선택합니다.

    그룹 설정은 조직 단위보다 우선 적용됩니다. 자세히 알아보기

  3. 기기 바운드 세션 사용자 인증 정보에서 DBSC 사용 설정을 선택합니다.
  4. 저장을 클릭합니다. 또는 조직 단위에 대해 재정의를 클릭할 수도 있습니다.

    상속된 값을 나중에 복원하려면 상속(또는 그룹의 경우 설정되지 않음)을 클릭합니다.

컨텍스트 인식 액세스로 DBSC 적용하기

데스크톱 웹 앱으로 제한되며 모바일 앱 또는 API에는 적용되지 않음

사용자가 특정 Google Workspace 앱에 액세스할 때 DBSC를 요구함으로써 보안을 더욱 강화할 수 있습니다. DBSC를 적용하면 시스템에서 이전에 설정된 바운드 세션과의 차이점을 감지할 경우 사용자에게 다시 로그인하라는 메시지가 표시됩니다. 이 재인증을 통해 시스템은 새로운 보안 바인딩을 시도할 수 있습니다. 지원되지 않는 플랫폼의 사용자는 보호된 앱에 액세스할 수 없습니다. 이 보안 조치는 컨텍스트 인식 액세스를 통해 구성됩니다.

DBSC 시행을 설정하려면 다음 안내를 따르세요.

  1. 보호하려는 사용자에 대해 DBSC를 사용 설정합니다. 자세한 단계는 DBSC 사용 설정하기를 참고하세요.
  2. DBSC 바운드 세션에서만 앱 액세스 허용의 안내에 따라 맞춤 액세스 수준을 만듭니다.
  3. DBSC 바운드 세션에서만 액세스할 수 있도록 하려는 앱에 액세스 수준을 할당합니다. 모니터링 모드를 사용하면 사용자 액세스를 차단하지 않고 시행을 시뮬레이션할 수 있습니다.
  4. 영향을 평가한 후 활성 모드에서 액세스 수준을 할당하여 DBSC 바운드 세션에서만 액세스를 시행합니다. 자세한 내용은 컨텍스트 인식 액세스 배포하기를 참고하세요.

DBSC 시행은 즉시 적용되지 않으며 사용자가 로그인한 후 시행이 적용되기까지 유예 기간이 있습니다. 이 설계는 일시적 바인딩 문제 발생 가능성을 고려한 것입니다. 바인딩되면 시스템은 지정된 앱에 액세스하는 사용자가 DBSC 바운드 세션을 사용하는지 정기적으로 확인합니다. 재인증하면 이 유예 기간이 재설정되며 재인증 중에는 DBSC가 적용되지 않습니다.

DBSC 보호 및 세션 문제 조사

보안 조사 도구를 사용하여 DBSC 보호를 모니터링하고 세션 중단을 해결할 수 있습니다. DBSC 활동에는 두 가지 로그 소스가 있습니다.

  • 사용자 로그 이벤트: 액세스 토큰과 사용자 기기의 바인딩을 모니터링합니다.
  • 액세스 평가 로그 이벤트: 특정 쿠키의 상태를 검토합니다.

1단계: 사용자 로그 이벤트에서 DBSC 활동 검색

이 데이터 소스를 사용하여 DBSC가 키를 사용자 기기에 성공적으로 바인드하고 세션을 검증하는지 확인합니다.

DBSC가 키를 바인딩하는지 확인하려면 다음 단계를 따르세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스에서 사용자 로그 이벤트를 선택합니다.
  3. 조건 추가를 클릭합니다.
  4. 속성에서 이벤트를 선택하고다음Is를 연산자로 선택하고다음DBSC 키 바인딩을 이벤트로 선택합니다.
  5. 검색을 클릭합니다.
  6. 결과 표에서 이벤트 상태 열을 검토합니다.
    • 성공: 사용자에 대해 DBSC 보호가 사용 설정되어 있으며 세션이 보호됩니다.
    • 실패 - DBSC 바인딩이 실패하고 사용자에게 보호가 사용 설정되지 않았습니다.
    • 결과 없음: 이 사용자 세션에 대해 DBSC 보호가 시도되지 않았습니다.

DBSC가 세션을 검증하는지 확인하려면 다음 단계를 따르세요.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 조건 추가를 클릭합니다.
  3. 속성에서 이벤트를 선택하고다음연산자로 Is를 선택하고다음이벤트로 DBSC 키 유효성 검사를 선택합니다.
  4. 검색을 클릭합니다.
  5. 결과 표에서 이벤트 상태 열을 검토합니다.
    • 성공: 쿠키가 성공적으로 검증되었습니다.
    • 실패: DBSC 유효성 검사에 실패했습니다. 상태를 클릭하면 오류 코드와 같은 추가 정보를 확인할 수 있습니다.

한 번의 실패가 반드시 사용자에게 세션 중단이 발생하고 있음을 의미하지는 않습니다. 유효성 검사 실패가 연속으로 여러 번 발생하면 사용자에게 중단이 발생할 수 있습니다.

2단계: 액세스 평가 로그 이벤트에서 액세스 거부 확인

이 데이터 소스를 사용하여 사용자의 쿠키 액세스가 거부되었는지 확인합니다.

  1. Google 관리 콘솔에서 메뉴 다음 보안 다음 보안 센터 다음 조사 도구로 이동합니다.

    보안 센터 관리자 권한이 필요합니다.

  2. 데이터 소스에서 액세스 평가 로그 이벤트를 선택합니다.
  3. 조건 추가를 클릭합니다.
  4. 속성에서 이벤트를 선택하고다음연산자로 Is를 선택한 후다음이벤트로 Deny Cookie Validation Request를 선택합니다.
  5. 검색을 클릭합니다.
  6. 결과 표에서 이벤트 상태 열의 거부됨을 클릭하거나 설명 열의 링크를 클릭하여 다음 실패 이유를 검토할 수 있는 측면 패널을 엽니다.
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

로그 이벤트는 세션별로 그룹화됩니다. 시간당 한 번만 이벤트가 기록됩니다. 이 시간 동안 여러 번 액세스를 시도해도 차단됩니다.

3단계: 세션 중단이 DBSC로 인해 발생하는지 조사

사용자는 세션 길이 제한, 관리자가 정의한 정책, 네트워크 문제 등 다양한 이유로 로그아웃될 수 있습니다. 로그아웃이 항상 DBSC 문제를 나타내는 것은 아니지만 특정 로그 시퀀스는 잠재적인 DBSC 관련 활동이나 시스템에서 보안이 침해된 세션을 차단한 인스턴스를 식별하는 데 도움이 될 수 있습니다.

다음 사항을 사용하여 DBSC 관련 활동을 식별하세요.

  • 로그 시퀀스 검토: DBSC 키 검증 실패 후 쿠키 검증 요청 거부가 표시되면 DBSC가 사용자의 로그아웃 원인일 수 있습니다.
  • 사용자에게 미치는 영향 이해: 계정을 안전하게 유지하려면 바인딩 프로세스에서 오류가 발생할 경우 사용자가 다시 로그인해야 합니다.
  • 사용자에게 DBSC 적용 제외: 사용자가 지속적으로 로그아웃되는 경우 DBSC가 로그아웃을 유발하는지 평가하기 위해 DBSC가 적용되지 않는 구성 그룹을 만들고 해당 그룹에 사용자를 추가할 수 있습니다.


Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.