OAuth 2.0를 FAPI 2.0으로 강화하기
Source: Dev.to
OAuth 2.0은 오랫동안 현대 인증의 초석이 되어 왔으며, 소셜 로그인부터 복잡한 엔터프라이즈 통합까지 모든 것을 구동합니다. 그 유연성 덕분에 개발자는 전통적인 웹 애플리케이션, 싱글‑페이지 애플리케이션, 데스크톱 및 모바일 환경 등 다양한 시나리오에 프레임워크를 맞출 수 있습니다.
Vanilla OAuth 2.0의 문제점
OAuth 2.0은 엄격한 프로토콜이 아니라 프레임워크이기 때문에 선택적인 기능들의 모음이 제공됩니다. 은행, 의료, 보험 등 고위험·규제 산업에서는 이러한 자유도가 구성 오류와 상호 운용성 문제의 큰 표면적을 만들게 됩니다. 보안 취약점은 개별 사양 자체의 결함이라기보다(예: PKCE 없이 Authorization Code Flow 사용 또는 안전하지 않은 리디렉션 URI 사용) 여러 사양을 어떻게 결합하느냐에서 발생합니다.
FAPI 2.0 프로파일 소개
FAPI 2.0은 OpenID Foundation이 만든 보안 프로파일입니다. 이전 버전과 달리 단순함과 강력한 상호 운용성을 강조합니다. 이는 새로운 프로토콜이 아니라 OAuth 2.0 및 OpenID Connect 확장을 반드시 사용하고, 어떻게 구성해야 하는지를 규정한 처방형 프로파일입니다.
핵심 특성
- 고위협 환경(네트워크 제어, 프론트‑채널 가로채기)을 가정한 공식 공격자 모델을 기반으로 함.
- 선택적 보안 모범 사례를 제거하고 “기본적으로 안전”한 자세를 강제함.
- 세션 인젝션, 토큰 탈취, 인증 요청 변조와 같은 최신 공격 벡터에 대한 표준화된 저항 수준을 제공함.
핵심 보안 강화
FAPI 2.0은 인증 요청 강화, 베어러 토큰 위험 제거, 클라이언트 인증 개선이라는 세 가지 주요 영역에서 OAuth 2.0을 강화합니다.
푸시 인증 요청 (PAR)
FAPI 2.0에서 의무화됨.
클라이언트는 리디렉션 전에 보안 백채널 POST 요청으로 인증 파라미터(스코프, PKCE 챌린지 등)를 전송합니다. 서버는 이후 브라우저 리디렉션에 사용되는 단기간 유효 request_uri를 반환하여 민감한 데이터가 브라우저 기록이나 로그에 남지 않도록 합니다.
송신자 제약 토큰
FAPI 2.0은 취약한 베어러 토큰을 클라이언트에 암호학적으로 결합된 토큰으로 교체합니다:
- Mutual TLS (mTLS): 토큰을 클라이언트의 X.509 인증서에 바인딩합니다.
- Demonstration of Proof‑of‑Possession (DPoP): 각 요청마다 클라이언트가 개인 키로 JWT에 서명하는 애플리케이션 레벨 솔루션입니다.
이 메커니즘은 토큰이 탈취되더라도 오용을 방지합니다.
비대칭 클라이언트 인증
공유 클라이언트 비밀은 일반적으로 Private Key JWT 형태의 비대칭 인증으로 대체됩니다:
- 클라이언트가 자신의 개인 키로 JWT에 서명합니다.
- 인증 서버는 클라이언트가 사전에 등록한 공개 키를 사용해 서명을 검증합니다.
이를 통해 전송 중에 클라이언트 비밀이 유출될 위험이 사라집니다.
FAPI 인증의 역할
OpenID Foundation의 인증 프로그램은 FAPI 프로파일 준수를 검증하는 자동화된 테스트를 제공합니다. 인증된 구성 요소는:
- 보안 감시 부담을 감소시킵니다.
- 상호 운용성을 보장합니다—FAPI‑준수 클라이언트는 어느 공급업체의 FAPI‑준수 인증 서버와도 원활히 작동합니다.
인증된 구현을 선택하면 시스템이 업계 최고 수준의 보안 표준을 따르고 있음을 확신할 수 있습니다.
추가 자료
- OpenID FAPI 2.0 Security Profile – Final Specification
- OAuth 2.0 Pushed Authorization Requests (RFC 9126)
- OAuth 2.0 Demonstration of Proof‑of‑Possession (RFC 9449)
- FAPI 2.0 Attacker Model
개발자 중심 개요를 원한다면, 무료 전자책 A Developer’s Guide to FAPI를 참고하세요. 이 책은 애플리케이션을 FAPI‑준비 상태로 만들기 위해 필요한 보안 조치를 상세히 다룹니다.