Permissions-Policy 헤더 — 카메라·위치·마이크 브라우저 권한 제한하기

1. Permissions-Policy 헤더가 필요한 이유

웹사이트를 운영하다 보면 기능은 정상적으로 동작하는데도, 보안 점검에서 예상치 못한 항목이 발견되는 경우가 있습니다. 그중 하나가 브라우저가 허용하는 권한 범위입니다. 카메라, 위치, 마이크처럼 민감한 기능은 사용자가 직접 허용하기도 하지만, 사이트 설정에 따라 의도보다 넓게 열려 있을 수 있습니다. 이런 상황에서 Permissions-Policy는 브라우저 권한을 제한해 불필요한 접근을 줄이는 데 도움이 됩니다.

특히 최근에는 단순히 페이지가 뜨는지만 보는 것이 아니라, 어떤 기능이 어디까지 허용되는지도 함께 점검하는 흐름이 늘고 있습니다. 그래서 브라우저권한제한이나 보안헤더를 검색하는 분들은 “내 사이트에 꼭 필요한 권한만 남겨둘 수 있는지”를 확인하려는 경우가 많습니다. 이 글에서는 Permissions-Policy가 무엇인지, 예전의 Feature-Policy와 어떤 관계가 있는지, 그리고 실제로 카메라·위치·마이크 같은 권한을 어떻게 생각하면 되는지 정리해보겠습니다.

2. Permissions-Policy란 무엇인가

1) 브라우저 기능 사용 범위를 정하는 헤더

Permissions-Policy는 웹사이트가 브라우저 기능을 어디까지 사용할 수 있는지 정하는 보안헤더입니다. 예를 들어 카메라, 마이크, 위치 정보, 화면 공유 같은 기능을 특정 페이지나 특정 출처에서만 허용하도록 제한할 수 있습니다.
이 헤더를 두면 모든 기능이 기본적으로 열려 있는 상태를 줄일 수 있어, 불필요한 권한 남용을 막는 데 유리합니다.

2) Feature-Policy와의 관계

과거에는 비슷한 역할을 하는 Feature-Policy라는 이름이 사용되었습니다. 이후 정책 이름이 Permissions-Policy로 바뀌면서 더 넓은 범위의 권한 제어를 지원하게 되었습니다.
검색을 하다 보면 두 용어가 함께 나오는데, 실제로는 같은 계열의 개념으로 이해하면 됩니다. 다만 최신 문서나 브라우저 지원 정보를 볼 때는 Permissions-Policy 기준으로 확인하는 것이 좋습니다.

3) 모든 사이트에 필요한 것은 아니지만, 기본 점검에는 유용함

이 헤더는 아주 복잡한 보안 도구처럼 세밀한 공격 탐지까지 해주지는 않습니다. 대신 기본적인 브라우저권한제한을 설정하는 데 적합한 편입니다.
즉, 서비스 특성상 카메라나 마이크가 필요 없다면 그 기능을 아예 제한하는 식으로 활용할 수 있습니다. 이런 기본 정리는 이후 프로젝트에서도 그대로 적용하기 쉬운 편입니다.

3. 어떤 권한을 제한할 수 있나

1) 카메라와 마이크

화상 회의, 녹화, 음성 입력처럼 특정 서비스에서는 필요하지만, 대부분의 일반 웹페이지에서는 필요하지 않은 권한입니다.
Permissions-Policy를 사용하면 카메라와 마이크를 전체 사이트에서 허용할지, 일부 페이지에서만 허용할지 정리할 수 있습니다. 불필요한 노출을 줄이려는 목적에 잘 맞습니다.

2) 위치 정보

위치 정보는 지도 서비스나 주변 검색 기능에서 유용하지만, 사용 목적이 분명하지 않다면 제한을 고려하는 경우가 많습니다.
특히 외부 스크립트가 많은 사이트라면 위치 권한이 의도치 않게 사용될 가능성도 함께 살펴보는 것이 좋습니다. 이럴 때 브라우저권한제한 설정이 도움이 됩니다.

3) 기타 브라우저 기능

브라우저는 카메라·위치·마이크 외에도 다양한 기능을 제공합니다. 예를 들어 결제, 전체화면, 자이로센서, 화면 캡처 관련 기능 등이 포함될 수 있습니다.
서비스 성격에 맞지 않는 기능은 미리 제한해두는 것이 안전합니다. 이런 점에서 Permissions-Policy는 “필요한 기능만 남기고 나머지는 줄이는” 방식의 보안헤더로 이해하면 쉽습니다.

4. 브라우저권한제한이 중요한 상황

1) 외부 스크립트나 위젯을 많이 쓰는 경우

광고, 분석, 고객지원 위젯, 지도 삽입처럼 외부 리소스를 많이 쓰는 사이트는 브라우저 기능이 복잡하게 얽히기 쉽습니다. 이때 권한 범위를 명확히 하지 않으면 예상치 못한 접근이 생길 수 있습니다.
Permissions-Policy는 이런 환경에서 기본선을 정해두는 역할을 합니다.

2) 개인정보와 관련된 기능을 다루는 경우

위치, 마이크, 카메라처럼 민감한 정보와 연결되는 기능은 사용자 신뢰와도 관련이 있습니다. 기능이 필요 없는 페이지에서까지 권한이 열려 있으면 관리 측면에서 부담이 커질 수 있습니다.
따라서 개인정보와 연결될 가능성이 있는 서비스일수록 브라우저권한제한을 검토하는 경우가 많습니다.

3) 보안 점검을 처음 시작하는 경우

복잡한 보안 설정부터 시작하면 우선순위를 잡기 어려울 수 있습니다. 반면 보안헤더는 비교적 점검 범위가 명확해서 처음 관리하는 분들에게도 접근하기 쉽습니다.
특히 Permissions-Policy는 “무엇을 허용하고 무엇을 막을지”를 확인하는 과정이라, 기본 보안 상태를 정리하는 첫 단계로 활용하기 좋습니다.

5. 설정할 때 주의할 점

1) 서비스 기능과 충돌하지 않도록 확인해야 함

가장 흔한 실수는 실제로 필요한 기능까지 막아버리는 경우입니다. 예를 들어 화상 상담이나 음성 입력 기능이 있는 사이트라면 카메라와 마이크 권한을 무조건 차단하면 서비스가 제대로 동작하지 않을 수 있습니다.
따라서 Permissions-Policy는 “전면 차단”보다 “필요한 범위만 허용”하는 방식으로 접근하는 것이 일반적입니다.

2) 하위 페이지와 예외 상황을 함께 봐야 함

사이트 전체에는 필요 없는 기능이라도, 일부 랜딩 페이지나 특정 업무 페이지에서는 필요할 수 있습니다. 이럴 때는 전체 정책과 예외 규칙을 나눠 생각해야 합니다.
즉, 브라우저권한제한은 단순히 한 줄 설정으로 끝나는 문제가 아니라 서비스 구조를 함께 고려해야 하는 영역입니다.

3) 다른 보안헤더와 함께 보는 것이 좋음

Permissions-Policy만 설정한다고 모든 보안 문제가 해결되지는 않습니다. 실제로는 HTTPS, 인증서, 보안 헤더, CORS, 쿠키 정책 등과 함께 점검하는 편이 더 균형 잡혀 있습니다.
특히 브라우저에서 실제로 발생하는 취약점이나 권한 오남용은 하나의 설정만으로 막기 어려운 경우가 많기 때문에, 여러 기본 항목을 같이 보는 습관이 중요합니다.

6. Permissions-Policy 점검이 도움이 되는 경우

1) 사이트의 기본 보안 상태를 빠르게 확인하고 싶을 때

보안 설정을 전체적으로 손보기 전, 우선 현재 상태를 빠르게 확인하고 싶을 때가 있습니다. 이럴 때 Permissions-Policy 점검은 비교적 부담이 적은 시작점이 됩니다.
복잡한 보안 진단 도구를 쓰기 전에 기본적인 보안헤더가 어떻게 설정되어 있는지 확인하는 용도로 적합한 편입니다.

2) 권한이 과하게 열려 있는지 확인하고 싶을 때

운영 중인 사이트는 시간이 지나면서 외부 기능이 추가되고 정책이 누적되기 쉽습니다. 그 과정에서 카메라, 위치, 마이크 같은 권한이 예상보다 넓게 열려 있을 수 있습니다.
이럴 때는 브라우저권한제한을 기준으로 현재 정책이 서비스 목적에 맞는지 살펴보는 것이 좋습니다.

3) 새 프로젝트의 기본 보안 규칙을 정하고 싶을 때

처음부터 기본 규칙을 정해두면 이후 유지보수가 편해집니다. Permissions-Policy처럼 자주 바뀌지 않는 정책은 프로젝트 템플릿에 반영해두기 좋습니다.
이런 방식은 여러 사이트를 운영하는 경우에도 일관된 보안 기준을 유지하는 데 도움이 됩니다.

7. 정리: 어떤 상황에서 고려하면 좋을까

1) 필요 없는 브라우저 기능을 줄이고 싶을 때

카메라·위치·마이크 같은 기능이 서비스에 꼭 필요하지 않다면, Permissions-Policy로 기본 제한을 두는 것이 유용합니다. 이는 브라우저권한제한의 대표적인 방법 중 하나입니다.
특히 외부 스크립트가 많거나 민감한 기능을 다루는 사이트에서는 기본 보안선을 정리하는 데 도움이 됩니다.

2) Feature-Policy와 함께 검색했다면 이렇게 이해하면 됨

Feature-Policy는 예전 이름으로 접한 경우가 많고, 현재는 Permissions-Policy가 최신 기준에 가깝습니다. 둘을 따로 외우기보다 “브라우저 기능 사용 범위를 제한하는 보안헤더”로 이해하면 정리가 쉽습니다.
실무에서는 최신 문서 기준으로 설정을 확인하되, 과거 설정이 남아 있는지도 함께 점검하는 편이 좋습니다.

3) 직접 전화로 문의하는 것과의 차이

보안 설정이나 권한 제한이 궁금할 때 직접 전화로 문의하면 상황 설명을 빠르게 들을 수 있다는 장점이 있습니다. 다만 전화는 현재 설정을 즉시 확인하거나 여러 항목을 비교해보는 데는 한계가 있을 수 있습니다.
반면 Permissions-Policy 같은 설정은 URL 기준으로 기본 상태를 빠르게 점검해보는 방식이어서, 먼저 현재 상황을 확인한 뒤 필요한 부분만 추가로 문의하거나 수정하는 데 적합한 편입니다. 따라서 Permissions-Policy는 “지금 내 사이트가 어떤 권한을 열어두고 있는지 먼저 확인하고 싶은 경우”에 특히 유용하게 활용할 수 있습니다.