뉴스로 돌아가기
연구높음

안드로이드 Chrome, 고급 보호 기능으로 보안 강화

3분 읽기출처: Google Security Blog
Chrome settings screen showing Always Use Secure Connections toggle for HTTPS-First Mode

Google의 Android Chrome이 고급 보호 기능을 통합해 기자, 공직자 등 고위험 사용자를 위한 보안을 대폭 강화했습니다. HTTPS-First 모드, 전체 사이트 격리, JavaScript 공격 표면 축소 기능을 소개합니다.

안드로이드 Chrome, 고급 보호 기능 통합으로 보안 강화

Google Chrome 보안 팀은 기자, 선출직 공직자, 공인 등 고위험 사용자를 대상으로 고급 보호(Advanced Protection) 기능을 안드로이드 Chrome에 통합했다고 발표했습니다. 이 업데이트는 안드로이드의 **고급 보호 프로그램(Advanced Protection Program)**의 일환으로, Chrome에 HTTPS-First 모드, 전체 사이트 격리(full Site Isolation), JavaScript 공격 표면 축소 등 세 가지 핵심 보안 기능을 도입했습니다.

주요 보안 기능 강화

1. 항상 안전한 연결 사용 (HTTPS-First 모드)

고급 보호는 기본적으로 HTTPS-First 모드를 적용해 모든 연결(공용 및 사설 네트워크)이 암호화된 HTTPS를 사용하도록 강제합니다. 이를 통해 데이터 가로채기나 악성 콘텐츠 주입 등 불안전한 HTTP를 통한 위험을 완화합니다. 안드로이드 Chrome에서 일반 HTTP 페이지 로드는 1% 미만이지만, 2023년 이집트 선거期间 발생한 표적 공격에서 볼 수 있듯이 여전히 중요한 공격 벡터로 작용합니다.

  • 모든 사용자를 위한 기능: Chrome은 HTTPS-First 모드를 점진적으로 확대해 왔으며, 다음과 같은 변형을 제공합니다:
    • 공용 사이트에서만 경고 표시(로컬 네트워크 192.168.0.1 제외).
    • 시크릿 모드에서 자동 적용(Chrome 127, 2024년 6월부터).
    • 자주 방문하는 사이트의 HTTPS-to-HTTP 다운그레이드 방지(Chrome 133, 2025년 1월부터).

기업은 HTTPSOnlyModeHTTPAllowlist 정책을 통해 이 기능을 구성할 수 있습니다.

2. 모바일에서의 전체 사이트 격리

이전까지 데스크톱 Chrome에만 적용되던 사이트 격리(Site Isolation) 기능이 이제 4GB 이상의 RAM을 탑재한 안드로이드 기기에서도 고급 보호 하에서 지원됩니다. 이 기능은 각 웹사이트를 별도의 OS 수준 프로세스로 격리해 악성 사이트가 다른 탭의 데이터에 접근하거나 취약점을 악용하는 것을 방지합니다. 고급 보호가 적용되지 않은 안드로이드 Chrome은 메모리 절약을 위해 로그인 중이거나 양식을 제출하는 사이트만 격리합니다.

3. JavaScript 공격 표면 축소

고급 보호는 성능 향상을 위해 사용되던 V8의 고급 JavaScript 최적화 도구를 비활성화합니다. 이 최적화 도구는 성능을 개선하지만, 역사적으로 **V8 취약점의 약 50%**가 이 도구에서 발생했습니다. 보안을 강화하기 위한 이 조치는 일부 웹사이트에서 성능 저하를 유발할 수 있습니다.

  • 기업 제어: DefaultJavaScriptOptimizerSetting 정책을 통해 조직은 최적화 도구를 비활성화하면서 신뢰할 수 있는 SaaS 공급업체를 화이트리스트로 등록할 수 있습니다.
  • 사용자 제어: Chrome 133부터 사이트 설정에서 사용자가 사이트별로 최적화 도구를 토글할 수 있습니다.

영향 및 권장 사항

고위험 사용자를 위한 조치

고급 보호는 표적 위협에 노출된 기자나 공직자 등 고위험 사용자를 위해 설계되었습니다. 최대 보안을 위해 다음을 권장합니다:

  • Google 계정에 피싱 저항성 MFA를 요구하는 고급 보호 프로그램 활성화.
  • **안드로이드 16+ 및 Chrome 137+**에서 고급 보호 기능 활성화.
  • 신규 위협에 대응하기 위해 기기와 브라우저를 최신 상태로 유지.

기업을 위한 활용 방안

조직은 Chrome Enterprise 정책을 통해 다음 기능을 활용할 수 있습니다:

  • 관리 기기 전체에 HTTPS-First 모드 강제 적용.
  • 적합한 안드로이드 기기에서 전체 사이트 격리 활성화.
  • JavaScript 최적화 도구 비활성화 및 중요 애플리케이션 화이트리스트 등록.

웹사이트 운영자를 위한 조치

경고 메시지를 방지하고 데이터 기밀성을 보장하기 위해 HTTPS를 배포하고, HSTS 헤더를 사용해 프로토콜 다운그레이드를 방지하세요.

결론

Google이 안드로이드 Chrome에 고급 보호를 통합한 것은 위험 기반 보안 모델을 반영한 조치로, 성능과 보안을 균형 있게 제공합니다. 기본 Chrome 설정은 대부분의 사용자에게 충분한 보안을 제공하지만, 이 기능들은 고위험 사용자와 민감한 데이터를 다루는 기업에 필수적인 보호 장치를 제공합니다. 위협이 진화함에 따라 Chrome은 브라우저 보안의 기준을 높이며 사용성을 저해하지 않습니다.

고급 보호는 안드로이드 16+ 및 Chrome 137 이상에서 사용 가능합니다.

공유

TwitterLinkedIn