Q
[질문] SSO 이후 세션 행동을 수집한다고 하면 실제로 팀 단위로 정책을 다르게 적용해야 할 때 어떤 기준으로 세션 로깅 범위를 구분할 수 있나요? 같은 앱이라도 조직별로 다른 정책이 가능한가요?
A
네, 로그인 이후 세션을 노린 공격에는 Session Hijacking뿐 아니라 Session Fixation·Timeout 악용도 포함되며, 이는 반드시 내부 침해가 전제되는 것은 아니고 피싱·XSS·악성 스크립트·탈취된 토큰 등으로 외부에서도 충분히 발생할 수 있어 SSO/MFA 이후 세션 보호가 필요한 이유입니다.
윤녕은
2025-12-12 11:12