게시: 2025년 3월 17일
작년에 Google은 Chrome용 앱 바인딩 암호화를 통해 쿠키 및 사용자 인증 정보의 보안을 개선했다고 발표했습니다.
이 새로운 보호 조치로 인해 이러한 유형의 계정 도용이 크게 줄었지만 공격자들은 이러한 새로운 방어 수단에 적응하기 위해 여전히 많은 노력을 기울이고 있습니다. Google은 정보 도용자가 사용하는 기법과 동작을 계속 모니터링하고 있습니다.
앱 바운드 암호화가 사용 설정된 이후 Chrome 원격 디버깅을 사용하여 쿠키를 추출하는 공격자가 증가했습니다. 이 방법을 사용하여 Chrome 쿠키를 훔치는 방법은 2018년부터 논의되어 왔습니다. 그러나 최근 원격 디버깅 포트 사용을 다루는 블로그 게시물과 쿠키를 추출하는 도구는 인기가 증가하고 있음을 보여주는 내부 데이터를 뒷받침합니다. Google은 이러한 기술을 방해하고 공격자를 더욱 제한하여 이러한 공격의 비용을 높이고 Chrome 사용자의 보안을 보호하기 위해 최선을 다하고 있습니다.
따라서 Chrome 136부터 --remote-debugging-port 및 --remote-debugging-pipe의 동작이 변경됩니다. 기본 Chrome 데이터 디렉터리를 디버그하려고 하면 이러한 스위치가 더 이상 적용되지 않습니다. 이제 이러한 스위치에는 비표준 디렉터리를 가리키는 --user-data-dir 스위치가 함께 있어야 합니다. 비표준 데이터 디렉터리는 다른 암호화 키를 사용하므로 이제 Chrome 데이터가 공격자로부터 보호됩니다.
Chrome을 디버그해야 하는 개발자 (예: VSCode)의 경우 맞춤 사용자 데이터 디렉터리의 사용을 이미 지정하는 안내가 제공되며, 실제 프로필에서 디버깅을 격리하려면 이 접근 방식을 계속 사용하는 것이 좋습니다.
브라우저 자동화 시나리오의 경우 기존 동작을 계속 준수하는 테스트용 Chrome을 사용하는 것이 좋습니다.
이 새로운 보안 기능과 관련된 문제는 crbug.com에 신고하세요.