Categories: 정보보안기사

정보보안기사 기출문제 총정리 ㉛ API 보안 – OAuth 2.0·JWT·OpenID Connect

API 보안의 중요성

현대 애플리케이션은 REST API로 통신하며, API 보안은 정보보안기사 최신 출제 트렌드입니다. OAuth 2.0, JWT, OpenID Connect는 API 인증·인가의 핵심 표준으로 반드시 이해해야 합니다.

OAuth 2.0 (인가 프레임워크)

리소스 소유자(사용자) 대신 제3자 애플리케이션이 보호된 리소스에 접근할 수 있도록 하는 인가 프레임워크입니다.

4가지 역할

  • Resource Owner: 리소스를 소유한 사용자
  • Client: 리소스에 접근하려는 애플리케이션
  • Authorization Server: 접근 토큰 발급 서버
  • Resource Server: 보호된 리소스를 호스팅하는 서버

인가 코드 흐름 (Authorization Code Flow)

  • Client → Authorization Server: 인가 요청 (response_type=code)
  • Authorization Server → Client: 인가 코드 발급 (리다이렉트)
  • Client → Authorization Server: 코드로 Access Token 교환
  • Client → Resource Server: Access Token으로 API 호출

토큰 유형

  • Access Token: 짧은 유효기간, API 접근에 사용
  • Refresh Token: 긴 유효기간, Access Token 갱신에 사용

PKCE (Proof Key for Code Exchange)

모바일·SPA 앱에서 인가 코드 가로채기 공격 방지. code_verifier와 code_challenge 사용

JWT (JSON Web Token)

JSON 기반의 자가 포함(Self-contained) 토큰으로, 검증 없이 내용을 확인할 수 있습니다.

JWT 구조 (Header.Payload.Signature)

  • Header: 알고리즘(alg), 토큰 타입(typ) – Base64URL 인코딩
  • Payload: Claims(클레임) – iss(발급자), sub(주체), exp(만료), iat(발급시간) – Base64URL 인코딩
  • Signature: Header + Payload를 비밀키로 서명

JWT 주요 취약점

  • 알고리즘 None 공격: alg를 “none”으로 변경하여 서명 검증 우회
  • 알고리즘 혼동 공격: RS256을 HS256으로 바꿔 공개키로 서명
  • kid 인젝션: Key ID 필드를 조작하여 의도하지 않은 키 사용

JWT 보안 주의사항

  • 서버에서 반드시 alg 필드 검증
  • exp 클레임 확인 필수
  • 중요 정보를 Payload에 저장하지 않음 (Base64만 인코딩, 암호화 아님)

OpenID Connect (OIDC)

OAuth 2.0 위에 인증(Authentication) 레이어를 추가한 프로토콜입니다.

  • OAuth 2.0: 인가(Authorization) / OIDC: 인증(Authentication)
  • ID Token: 사용자 신원 정보를 담은 JWT
  • UserInfo Endpoint: 추가 사용자 정보 조회
  • SSO(Single Sign-On) 구현에 활용

API 보안 주요 취약점 (OWASP API Security Top 10)

  • BOLA(Broken Object Level Authorization): 타 사용자 객체 접근 (최빈출)
  • Broken Authentication: 취약한 인증 메커니즘
  • Broken Object Property Level Authorization: 민감 속성 노출
  • Mass Assignment: 요청 파라미터를 검증 없이 객체에 바인딩
  • Security Misconfiguration: 잘못된 보안 설정

시험 핵심 포인트

  • OAuth 2.0: 인가 프레임워크, Access Token + Refresh Token
  • JWT: Header.Payload.Signature, Payload는 암호화가 아닌 인코딩
  • OIDC = OAuth 2.0 + 인증, ID Token(JWT) 추가
  • PKCE: 모바일·SPA 앱의 인가 코드 탈취 방지
  • BOLA: API 취약점 1위, 권한 없는 타 객체 접근

마무리

OAuth 2.0과 JWT는 현대 API 보안의 기반입니다. 인가 코드 흐름 순서와 JWT 구조, 주요 취약점은 반드시 숙지하세요.

zerg96

Leave a Comment
Share
Published by
zerg96
Tags: API보안JWTOAuth2.0OpenIDConnect기출문제[정보보안기사
12시간 ago

Recent Posts

네트워크관리사 기출 핵심 [55] 클라우드 네트워크 보안과 VPC 설계 완전 정복

클라우드 VPC 보안이란? Virtual Private Cloud(VPC)는 퍼블릭 클라우드 내 격리된 가상 네트워크 환경입니다. 네트워크관리사 시험에서는…

10시간 ago

네트워크관리사 기출 핵심 [54] 네트워크 성능 측정과 벤치마킹 완전 정복

네트워크 성능 측정이란? 네트워크 성능 측정은 SLA 준수 확인, 병목 구간 발견, 용량 계획의 기반입니다.…

10시간 ago

네트워크관리사 기출 핵심 [53] 네트워크 가상화 심화와 오버레이 네트워크 완전 정복

네트워크 가상화와 오버레이 네트워크란? 오버레이 네트워크는 물리 네트워크 위에 논리적 네트워크를 구성해 가상 머신·컨테이너 간…

10시간 ago

네트워크관리사 기출 핵심 [52] 인터넷 교환 지점과 CDN 아키텍처 완전 정복

인터넷 교환 지점(IXP)이란? 인터넷 교환 지점(IXP)은 서로 다른 네트워크(AS)가 트래픽을 교환하는 물리적 인프라입니다. 네트워크관리사 시험에서는…

10시간 ago

네트워크관리사 기출 핵심 [51] 네트워크 슬라이싱과 5G 코어 아키텍처 완전 정복

5G 코어와 네트워크 슬라이싱이란? 5G 코어 네트워크는 클라우드 네이티브 아키텍처로 완전히 재설계되었습니다. 네트워크관리사 시험에서는 5G…

10시간 ago

정보처리기사 기출 핵심 [55] 플랫폼 엔지니어링과 IDP 구축 완전 정복

플랫폼 엔지니어링이란? 플랫폼 엔지니어링은 개발팀에게 셀프 서비스 인프라와 도구를 제공하는 규율입니다. 내부 개발자 플랫폼(IDP)을 통해…

10시간 ago