Gmail은 COOP(Cross-Origin Opener Policy)를 활성화하여 사용자 보안을 강화하고 있습니다 . 따라서 Gmail 페이지를 열거나 조작하는 웹사이트 및 브라우저 확장 프로그램 개발자는 2026년 1월 20일 시행 시에도 기능 유지를 위해 코드를 업데이트해야 할 수 있습니다. Workspace 관리자나 최종 사용자는 별도의 조치를 취할 필요가 없습니다.
COOP 배경 지식
Cross-Site Search (XS-Search)는 Gmail과 같은 쿼리 기반 검색 시스템을 대상으로 하는 Cross-Site Leaks (XS-Leaks) 공격 유형입니다. 공격자는 팝업 창을 새로 열거나 기존 창에 윈도우 핸들을 통해 액세스하여 Gmail 창을 제어함으로써 이 취약점을 악용합니다. 접근 권한을 얻은 후, 공격자는 반복적으로 다른 검색어를 로드하여 특정 검색 결과가 존재하는지 여부를 사이드 채널을 통해 파악하고, 민감한 사용자 데이터를 유출할 수 있습니다.
COOP는 신뢰할 수 없는 출처로부터 웹 애플리케이션을 격리하도록 설계된 웹 보안 기능입니다. 이 조치는 공격자가 Gmail의 윈도우 핸들에 액세스하는 것을 방지하여, 창 핸들에 의존하여 프레임 카운팅과 같은 사이드 채널 정보를 수집하는 다양한 XS-Search 공격으로부터 사용자를 보호합니다. 또한, COOP는 반복적인 검색 시도를 방지함으로써, Gmail이 검색 결과를 위해 로드하는 리소스에 대한 타이밍 및 기타 관찰에 의존하는 캐시 프로빙과 같은 공격의 어려움을 증가시키고 효과를 감소시켜 위협을 크게 줄입니다.
Gmail을 팝업 창으로 열고 해당 창의 속성( closed, location, length, focus )에 접근하거나 함수( close, postMessage )를 호출하여 상호작용하는 웹사이트 또는 브라우저 확장 프로그램입니다. 또한, Gmail 페이지에 삽입되어 현재 Gmail 페이지를 연 창에 대한 참조인 오프너 핸들에 접근하는 브라우저 확장 프로그램입니다.
Cross-Origin-Opener-Policy: same-origin-allow-popups; report-to="gmail-web-coop-coep"Report-To:{"group":"gmail-web-coop-coep","endpoints":[{"url":"https://csp.withgoogle.com/csp/report-to/gmail-web"}]}✏️ 사용 방법
- 개발자
- Gmail을 여는 웹사이트와 브라우저 확장 프로그램의 경우, 창 핸들을 통해 창 속성이나 기능에 액세스하지 않도록 문제가 있는 코드를 리팩토링하고 대신 대체 API를 활용하여 원하는 기능을 구현합니다(예: chrome.tabs , Messaging ).
- Gmail 페이지에 삽입된 브라우저 확장 프로그램의 경우, 오프너와 통신하거나 접근하는 대신, 브라우저 확장 프로그램을 업데이트하여 오프너와 전혀 상호 작용할 필요가 없도록 하고, 확장 프로그램의 로직을 독립적으로 작동하도록 수정해야 합니다. 이것이 불가능한 경우, 브라우저 확장 프로그램은 기존 API(예: chrome.tabs )를 사용하여 로직을 구현할 수 있습니다.
- 관리자
- 이 기능에 대한 관리자 제어 기능은 없습니다.
- 최종 사용자
- 이 기능에 대한 최종 사용자 설정은 없습니다.
📅 적용 날짜
- 빠른 출시 및 예정 출시 도메인 : 2026년 1월 20일부터 점진적 배포 (기능 가시성 위해 15일 이상 소요될 수 있음)
✏️ 관련 링크
- Cross-Origin-Opener-Policy: 팝업으로부터의 공격 방지
- COOP 및 COEP를 사용하여 웹사이트를 “교차 출처 격리” 상태로 만들기
- COOP 및 COEP 설명
- 강력한 기능을 위해 “교차 출처 격리”가 필요한 이유
- 교차 출처 격리를 활성화하기 위한 가이드
∴ 해당 내용은 2025년 10월 20일 Google Workspace 업데이트 블로그 내용을 번역한 것입니다.
