🔙뒤로가기

OAuth2와 보안 고려사항

OAuth2를 사용할 때는 다음과 같은 보안 고려사항들이 있다.

1. 토큰 저장: 액세스 토큰과 리프레시 토큰은 공격자가 탈취하면 사용자의 데이터를 탈취하거나 악용할 수 있으므로 안전하게 보관해야 한다. 이를 위해 토큰을 안전하게 저장하고, 사용 후에는 삭제하는 방안이 있다.
2. 토큰 전송: 토큰은 HTTPS와 같은 암호화된 채널을 통해 전송되어야 한다. HTTP와 같은 암호화되지 않은 채널을 통해 토큰을 전송하면, 공격자가 중간에 토큰을 탈취할 수 있다.
3. 리디렉션 URI: OAuth2에서는 인증이 성공한 후에 클라이언트로 리디렉션하는 URI를 지정하는데, 이 Redirect URI는 사전에 등록된 값만 사용해야 한다. 만약 사전에 등록되지 않은 URI로 리디렉션하면, 공격자가 이를 이용하여 토큰을 탈취할 수 있다.
4. 토큰 생명주기 관리: 액세스 토큰은 짧은 생명주기를 가지고, 리프레시 토큰은 긴 생명주기를 가지도록 설정해야 한다. 이렇게 함으로써, 액세스 토큰이 탈취당하더라도 공격자가 이를 이용할 수 있는 시간을 제한할 수 있다.

주요 보안 위협과 대응 방안

OAuth2에서는 다음과 같은 주요 보안 위협들이 있다.

1. 토큰 탈취: 공격자가 토큰을 탈취하면, 사용자를 가장하고 리소스 서버에 접근할 수 있다. 이를 방지하기 위해 토큰은 안전하게 저장하고, 암호화된 채널을 통해 전송해야 한다.
2. 피싱 공격: 공격자가 가짜 인증 페이지를 만들어 사용자의 아이디와 비밀번호를 탈취하는 공격이다. 이를 방지하기 위해 인증 페이지는 HTTPS를 사용해야 하고, 사용자는 URL을 확인하여 진짜 인증 페이지인지 확인해야 한다.
3. 크로스 사이트 요청 위조(CSRF) 공격: 공격자가 사용자를 대신하여 요청을 보내는 공격이다. 이를 방지하기 위해 요청에 대한 확인(예: CSRF 토큰)을 추가해야 한다.

이 외에도 다양한 보안 위협들이 있지만, 이들은 OAuth2에 한정된 것이 아니라 웹 보안 전반에 관련된 것들이다. 따라서, OAuth2를 사용할 때는 웹 보안 전반에 대한 이해도 필요하다.