교차 출처 보안 머리글

제어 이름

교차 원본 보안

권장 구성

• COOP(Cross-Origin Opener Policy) 활성화
• COEP(Cross-Origin Embedder Policy) 활성화

설정>세션 설정>COOP(Cross-Origin Opener Policy) |COEP(Cross-Origin Embedder Policy) 활성화

제어 개요

Salesforce 세션 설정에서 COOP(Cross-Origin Opener Policy) 및 COEP(Cross-Origin Embedder Policy)를 활성화하는 것은 외부 창에서 페이지의 브라우징 컨텍스트를 분리하고 모든 내장형 리소스가 CORS 머리글을 통해 명시적으로 수신 동의해야 함을 통해 "cross-origin isolated" 환경을 설정하는 보안 제어입니다. 이렇게 하면 악성 교차 출처 문서가 Salesforce 페이지와 상호 작용하거나 Spectre와 같은 사이드 채널 공격을 사용하여 브라우저 메모리에서 중요한 데이터를 누출하지 못하도록 방지할 수 있습니다.

구성되지 않은 경우 보안 위험

COOP(Cross-Origin Opener Policy) 및 COEP(Cross-Origin Embedder Policy)를 활성화하지 않으면 브라우저 세션이 스펙트럼 스타일 사이드 채널 공격에 노출됩니다. 그러면 악성 사이트가 세션 토큰 또는 레코드 세부 사항과 같은 중요한 데이터를 브라우저의 프로세스 메모리에서 직접 읽을 수 있습니다.

위협 시나리오

Salesforce 세션이 다른 브라우저에서 활성 상태인 동안 사용자가 한 브라우저 탭에서 악성 웹 사이트를 방문하면 공격자가 프로세스 수준 격리를 활용할 수 있습니다. Spectre와 같은 사이드 채널 기술을 사용하면 악성 사이트가 브라우저의 공유 메모리에서 직접 세션 토큰 또는 비공개 레코드 세부 사항과 같은 중요한 데이터를 자동으로 읽을 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

이러한 제어를 구현하지 못하면 중요한 타사 통합, iframe 및 OAuth 기반 인증 플로가 중단될 수 있으므로 조직이 악의적인 교차 출처 창을 통해 데이터를 추출할 수 있으므로 상당한 운영 위험이 발생합니다. 반대로, 적절한 테스트 없이 갑자기 활성화하면 중요한 타사 통합, iframe 및 OAuth 기반 인증 플로가 중단될 수 있습니다.

위험이 높은 경우

견고한 콘텐츠 보안 정책(CSP)이 없고 CORP(Cross-Origin Resource Policy) 머리글이 누락되어 악성 스크립트 및 무단 하위 자원의 로드를 제한하지 못하는 사이드 채널 공격의 위험이 현저하게 악화됩니다.

또한 엄격한 CORS 구성 및 모니터링되지 않는 "신뢰할 수 있는 URL"이 없으므로 외부 도메인이 자체 브라우징 컨텍스트에서 Salesforce 페이지를 쉽게 로드할 수 있으므로 데이터 누출을 이용할 수 있는 공격 면적이 훨씬 넓어집니다.

낮은 위험 또는 비위험

COOP 및 COEP가 활성화되지 않은 경우 교차 출처 데이터 누출의 위험을 최소화하기 위해 조직은 확인되고 신뢰할 수 있는 도메인에만 외부 스크립트 및 자원 로드를 제한하는 엄격한 콘텐츠 보안 정책(CSP)을 구현해야 합니다.

또한 짧은 세션 시간 초과를 적용하고 MFA(Multi-Factor Authentication)를 요구하고 Salesforce Shield 이벤트 모니터링을 사용하면 측면 채널 공격에 대한 창을 줄이고 의심스러운 데이터 액세스 패턴을 실시간으로 감지할 수 있으므로 심층적인 방어 기능을 제공할 수 있습니다.

비즈니스 및 통합 고려 사항

조직이 외부 콘텐츠 및 타사 창과 상호 작용하는 방식을 평가합니다. 이러한 머리글은 "교차 출처 격리" 상태를 달성하기 위해 사용되며, 이는 스펙트럼 스타일의 공격을 방어하지만 기존 기능도 중단할 수 있습니다.

권장 수정

세션 설정에서 COOP 및 COEP를 활성화합니다.

보안 상태 검토 지침

보안 상태 검토는 COOP 및 COEP가 활성화되어 있는지 업계 모범 사례에 맞춰 세션 설정 구성을 검사합니다.