구글이 크롬 브라우저에 기기 연동 세션 자격증명(DBSC, Device Bound Session Credentials) 기능을 도입해 모든 윈도우 및 맥 사용자에게 기본 활성화했다. 이 기능은 브라우저 쿠키를 사용자 기기의 보안 칩에 묶어 두는 방식으로, 공격자가 쿠키를 탈취하더라도 다른 기기에서 해당 쿠키를 이용한 계정 탈취를 차단한다. 윈도우 PC에서는 TPM(신뢰 플랫폼 모듈), 맥에서는 시큐어 인클레이브(Secure Enclave)가 이 역할을 담당한다.
기존 쿠키 탈취 공격은 악성코드를 통해 브라우저 쿠키를 원격으로 추출한 뒤 공격자 기기에서 로그인을 우회하는 방식으로 진행됐다. 다중 인증(MFA) 코드를 입력하지 않아도 세션을 그대로 재현할 수 있어 피해가 컸다. DBSC가 활성화된 환경에서는 쿠키 자체가 특정 기기와 암호학적으로 연결되기 때문에 외부로 유출된 쿠키는 원래 기기 이외에서 작동하지 않는다. DBSC는 2024년 개발이 시작됐고 2025년에 구글 워크스페이스(Google Workspace) 기업 고객 대상 오픈 베타로 먼저 공개됐으나, 이번에는 개인 구글 계정을 포함한 전체 사용자로 적용 범위를 확대했다.
이 기능을 사용하려면 별도 설정을 변경할 필요가 없으며 크롬 버전 146(윈도우) 또는 148(맥) 이상을 사용하면 자동으로 적용된다. 크롬 우상단 점 세 개 메뉴에서 ‘도움말 > Chrome 정보’를 선택하면 최신 버전으로 자동 업데이트된다. 국내 기업 환경에서도 계정 보안 강화를 위한 실질적 수단으로 활용할 수 있으며, 특히 재택근무나 개인 기기에서 업무용 구글 계정을 사용하는 직원이 많은 조직에 유용하다.
