Google이 로그인 세션을 기기 하드웨어에 묶는 새로운 크롬 보안 기능을 폭넓게 배포하기 시작했다. 이 변화는 암호화폐 지갑을 보유한 누구에게나 중요한 의미를 가진다.
핵심 요점:
- Google은 브라우저 세션 쿠키를 컴퓨터 보안 칩에 잠그는 Device Bound Session Credentials(DBSC)를 출시했다.
- 이 보호 기능은 쿠키를 훔쳐 2단계 인증(2FA) 로그인을 우회하는 흔한 공격을 차단한다.
- 인포스틸러 악성코드가 지갑과 거래소 세션을 상시 노리기 때문에, 암호화폐 이용자는 추가적인 위험에 직면해 있다.
크롬은 이제 어떻게 로그인 쿠키를 보호하나
최근 보도에 따르면, 수개월간의 크로뮴 기반 브라우저 테스트를 거친 뒤 Device Bound Session Credentials, 즉 DBSC가 광범위하게 배포되고 있다고 전했다.
이 도구는 Workspace와 Enterprise 계정부터 개인 계정까지 대부분의 사용자에게 도달했으며, 각 로그인을 기기를 떠나지 않는 암호 키에 묶는다.
세션 쿠키는 티켓이 필요한 공연장 입장 팔찌와 비슷하게 작동해, 매 방문 때마다 비밀번호나 2단계 인증 코드를 다시 묻지 않고도 사이트가 로그인을 기억하도록 돕는다.
도둑들이 이 파일을 노리는 이유는, 훔친 쿠키가 그 두 번째 방어막을 통째로 우회하게 해주고, 이런 토큰이 다크웹 시장에서 자주 거래되기 때문이다. DBSC는 키를 Windows TPM(Trusted Platform Module)이나 Mac Secure Enclave 안에 저장하고, 쿠키를 새로고침하기 전에 브라우저가 그 키를 실제로 보유하고 있는지 증명하게 강제한다.
그 결과, 쿠키는 다른 컴퓨터로 옮겨지는 순간 쓸모가 없어지게 된다.
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
왜 암호화폐 트레이더가 신경 써야 할까
암호화폐 이용자에게 세션 탈취는 단순한 이메일 계정 해킹이 아니라, 자금이 통째로 빠져나갈 수 있다는 뜻이다. 정보 탈취형 악성코드는 이제 브라우저 쿠키, 저장된 비밀번호, 지갑 파일을 한 번에 긁어모아 원격 서버로 전송한다.
한 분석에 따르면, 자격 증명 탈취는 작년에 추적된 침입 사건의 약 3분의 1에 관여한 것으로 나타났다. 이 전술이 얼마나 일상적인 수법이 되었는지 보여주는 대목이다.
이 범죄 시장은 산업화 양상까지 보이고 있다. 연구자들은 브라우저 확장 프로그램과 데스크톱 앱을 통해 지갑을 노리는, 한 달 1,000달러 미만에 대여되는 구독형 스틸러 Storm을 지적했다.
다른 계열 악성코드는 Binance, Coinbase, MetaMask, Trust Wallet에 연결된 세션을 주시하다가, 쿠키를 훔쳐 비밀번호 없이 계정에 침입한다.
사용자에게 오기까지의 DBSC 여정
Google은 2024년에 DBSC를 처음 공개한 뒤, 퍼블릭 베타를 거쳐 Windows용 Chrome 146 이상, Mac용 148 이상 버전에서 일반 배포에 들어갔다.
회사는 Workspace 계정에 대해 DBSC를 기본값으로 활성화했으며, 관리자는 이를 끌 수 없다. 거래소 탭과 지갑 확장을 하루 종일 열어 두는 트레이더에게 이번 업데이트는 그들 돈으로 들어가는 가장 단순한 경로 하나를 조용히 차단해 준 셈이다.
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak