로그인 정보 털려도 해커 PC에선 작동X…구글, 크롬에 '물리적 자물쇠'

[서울=뉴시스] 신효령 기자 = #. 잠시 상상해 보자. 해커가 당신의 현관문 비밀번호를 알아냈고, 심지어 스마트폰으로 전송된 2차 인증 번호까지 가로챘다. 그런데 막상 해커가 자기 집에서 당신의 번호를 누르자 도어락이 요지부동이다. 왜일까? 그 번호는 오직 '당신의 집 현관문'에서만 작동하도록 설계됐기 때문이다.

이 같은 개념이 실제 웹 보안 기술로 구현됐다. 구글은 9일(현지시간) 사용자의 로그인 세션을 기기 본체에 물리적으로 묶어버리는 기술 'DBSC'를 윈도우용 크롬 146 버전부터 적용했다고 발표했다.

우리는 보통 로그인을 할 때 비밀번호가 가장 중요하다고 생각한다. 하지만 실제 해킹의 세계에서 가장 인기 있는 타깃은 '쿠키(Cookie)'라 불리는 세션 자격 증명이다.

웹사이트에 한 번 로그인하면 브라우저는 일정 기간 유효한 쿠키를 저장한다. 이 덕분에 사용자는 매번 비밀번호를 입력하지 않아도 서비스를 이용할 수 있는 편의를 누린다.

문제는 해커가 악성코드를 통해 이 쿠키를 가로챌 경우 발생한다. 최근 확산되는 정보 탈취형 악성코드 '인포스틸러(Infostealer)'는 사용자가 로그인하는 순간 브라우저 메모리에 저장된 쿠키를 통째로 복사해 해커의 서버로 전송한다.

그동안 사이버 보안의 가장 큰 골칫거리는 바로 이 '쿠키 탈취'였다. 해커는 복제된 쿠키만 있으면 비밀번호를 몰라도, 심지어 강력한 2차 인증을 설정했어도 사용자의 이메일, 뱅킹, 사내망에 자유자재로 드나들 수 있다.

지금까지의 보안 방식은 해킹이 일어난 뒤 이상 징후를 감지하는 '사후 대응'에 치중해왔으나, 날로 정교해지는 해커들의 수법을 막기엔 역부족이었다.

구글이 이번에 내놓은 DBSC는 이 '로그인 열쇠'를 아예 기기 안에 용접해버리는 방식이다. 윈도의 보안 칩(TPM)이나 맥(Mac)의 보안 칩을 활용해, 해당 기기에서만 열 수 있는 고유한 암호 키를 생성한다.

웹사이트 서버는 쿠키를 발행하거나 유지할 때마다 크롬 브라우저에 "네 기기 안에 있는 그 고유 암호 키가 맞는지 증명하라"고 실시간으로 요구한다.

또한 DBSC는 짧은 주기로 쿠키를 갱신하도록 설계돼 있어, 설령 해커가 쿠키를 훔쳐 가더라도 원래 기기의 물리적 암호키 없이는 갱신이 불가능하고, 탈취된 쿠키는 빠르게 만료돼 무용지물이 된다.

구글은 시범 적용 결과 DBSC 보호 세션에서 계정 탈취 시도가 크게 감소했다고 밝혔다. 보안 업계에서는 이번 기술 도입을 두고 세션 탈취 중심 공격 구조에 대응하는 중요한 전환점이라고 평가한다. 특히 인공지능(AI)을 활용한 공격이 고도화되는 상황에서, 하드웨어 기반 보안의 필요성이 더욱 커지고 있다는 분석이다.

사용자들이 가장 걱정하는 부분은 편의성이다. "기기에 로그인이 묶이면, 다른 컴퓨터에서는 내 계정을 못 쓰는 것인가?"라는 의문이 대표적이다.

구글은 이에 대해 명확히 선을 그었다. DBSC는 '로그인 시도' 자체를 막는 것이 아니라, 이미 된 로그인을 '유지'하는 과정을 보호하는 것이다. 따라서 사용자가 회사 PC 등 다른 곳에서 아이디와 비밀번호를 치고 새로 로그인하는 것은 이전처럼 자유롭다.

보안 칩을 활용한다는 점에서 기기 식별이나 사용자 추적에 대한 우려도 제기됐으나, 구글은 철저한 익명성을 강조했다. DBSC는 웹사이트마다 완전히 다른 암호 키를 생성한다. 예를 들어 광고 업체가 이 키를 이용해 사용자의 동선을 추적하는 것은 기술적으로 불가능하다.

주요 외신들은 이번 구글의 행보가 웹 생태계 전반에 미칠 영향에 주목하고 있다.

미국 IT 매체 더 버지는 "구글이 마침내 악성코드 제작자들의 가장 큰 수익원 중 하나인 세션 탈취 시장에 치명타를 날렸다"며 "사용자는 아무것도 체감하지 못하는 사이에 보안 수준만 비약적으로 상승할 것"이라고 보도했다.

와이어드는 "과거에는 해킹 사고 발생 후 이상 접속을 감지하는 사후 대응이 주를 이뤘다면, DBSC는 아예 훔쳐 간 정보가 작동하지 않게 만드는 사전 예방의 정점"이라고 분석했다.

또한, 구글은 이 기술을 독점하지 않고 국제 인터넷 표준화 기구(W3C)를 통해 공개 표준으로 제안했다. 마이크로소프트(MS)와의 긴밀한 협력을 통해 윈도 생태계에서의 안정성을 확보했으며, 옥타와 같은 주요 인증 플랫폼들과의 실증 테스트도 마쳤다.

구글은 향후 기업용 통합 로그인(SSO) 환경까지 이 기술을 확대 적용할 계획이다. 한 번의 로그인으로 모든 업무 시스템에 접근하는 SSO의 특성상 세션 하나가 탈취되면 기업 전체가 위험에 빠질 수 있는데, DBSC는 이를 기기 단위로 묶어 리스크를 획기적으로 낮춘다.

한 보안 전문가는 "AI 기반의 공격이 정교해지는 상황에서 하드웨어 기반의 보안은 선택이 아닌 필수"라며 "DBSC는 사용자가 실수로 정보를 유출하더라도 실질적인 피해로 이어지지 않게 하는 강력한 최후의 보루가 될 것"이라고 내다봤다.

구글은 현재 크롬 146 버전을 통해 윈도우 사용자들에게 DBSC를 우선 제공하고 있다. 조만간 macOS로 지원을 확대할 방침이며, 이후 더 넓은 플랫폼으로의 확장도 검토하고 있다. 또한 하드웨어 보안 칩이 없는 구형 기기들을 위해 소프트웨어 방식의 보호 대책도 마련 중이다.

◎공감언론 뉴시스 [email protected]