구글 크롬, 하드웨어 기반 세션 보호 기능 'DBSC' 공식 도입으로 계정 탈취 차단 강화
4/12/2026
토킹 포인트
- 구글 크롬 146 버전부터 윈도우 사용자를 대상으로 기기 결합 세션 자격 증명(DBSC) 기능의 공식 지원 개시.
- 인포스틸러 악성코드를 통한 세션 쿠키 탈취 및 무단 계정 접속 위협에 대응하는 선제적 방어 체계 구축.
- 신뢰 플랫폼 모듈(TPM) 등 하드웨어 보안 영역에 암호화 키를 저장하여 인증 정보의 기기 외부 유출을 원천 봉쇄.
- W3C 개방형 웹 표준 추진 및 마이크로소프트, 옥타 등 주요 업계 파트너와의 협업을 통한 보안 생태계 확장.
시황 포커스
- 기존의 사후 탐지 방식에서 하드웨어 기반의 선제적 예방 모델로 보안 패러다임을 완전히 전환함.
- 비밀번호나 다요소 인증(MFA)을 무력화하는 쿠키 탈취 공격의 실효성을 근본적으로 차단할 수 있는 기틀을 마련함.
- 사용자 프라이버시를 최우선으로 고려하여 사이트 간 추적이나 기기 핑거프린팅 도구로 악용될 여지를 사전 차단함.
- 마이크로소프트, 옥타 등 업계 리더들과의 협력을 통해 기술적 완성도와 표준화 동력을 동시에 확보함.
- 기업용 단일 로그인(SSO) 환경으로의 확장 계획은 엔터프라이즈 보안 시장에서의 채택 가능성을 시사함.
- 암호화 및 쿠키 순환 과정을 브라우저 백그라운드에서 처리하여 사용자 편의성을 저해하지 않으면서도 보안 등급을 격상시킴.
- 하드웨어 보안 모듈이 없는 구형 기기를 위한 소프트웨어 기반 솔루션 개발 등 포괄적인 기술 지원 로드맵을 제시함.
- 인포스틸러 악성코드를 통한 암거래 시장의 위축과 전반적인 계정 보안 수준 향상에 기여할 것으로 전망됨.
트렌드 키워드
- 기기 결합 세션 자격 증명 (Device Bound Session Credentials, DBSC):
특정 하드웨어에 인증 세션을 암호학적으로 귀속시켜 해당 기기에서만 유효하도록 만드는 보안 기술
“이 프로젝트는 현대 보안 환경에서 널리 퍼진 위협인 세션 탈취에 대응하기 위한 지속적인 노력의 중요한 진전입니다.기기 결합 세션 자격 증명” - 인포스틸러 (Infostealer):
사용자 기기에 침투하여 브라우저에 저장된 쿠키나 로그인 정보를 몰래 추출해가는 악성코드의 일종
1 / 2“악성코드는 브라우저에서 기존 세션 쿠키를 조용히 추출하거나 사용자가 새 계정에 로그인할 때까지 기다렸다가 이 토큰을 공격자가 제어하는 서버로 전송할 수 있습니다.인포스틸러” - 신뢰 플랫폼 모듈 (Trusted Platform Module, TPM):
암호화 키를 안전하게 생성하고 저장하기 위해 컴퓨터 메인보드에 장착된 전용 보안 칩
“윈도우 시스템에서는 신뢰 플랫폼 모듈에 의존하며, 맥OS 기기에서는 보안 엔클레이브를 사용합니다.” - 개방형 웹 표준 (Open Web Standard):
특정 기업에 종속되지 않고 전 세계 웹 브라우저와 서버가 공통으로 준수하는 기술 규격
“DBSC는 처음부터 W3C 프로세스와 웹 애플리케이션 보안 작업 그룹의 채택을 통해 개방형 웹 표준으로 설계되었습니다.” - 연합 아이덴티티 (Federated Identity):
한 번의 로그인으로 연동된 여러 서비스에 접속할 수 있는 단일 로그인(SSO) 시스템의 핵심 구조
“신뢰 관계 세션이 원래의 기기 키에 지속적으로 결합되도록 보장하여 전체 연합 로그인 과정에서 높은 수준의 보안 유지가 가능하도록 프로토콜을 확장하고 있습니다.연합 아이덴티티” - 오리진 트라이얼 (Origin Trials):
새로운 웹 기능을 공식 출시하기 전 특정 웹사이트에서 실제 환경 테스트를 진행할 수 있도록 지원하는 프로그램
“지난 1년 동안 두 차례의 오리진 트라이얼을 실시하여 DBSC가 광범위한 웹 커뮤니티의 요구 사항을 효과적으로 충족하는지 확인했습니다.”