Categories: 정보관리기술사

제135회 정보관리기술사 1교시 6번 — OAuth 2.0 Authorization Code Flow와 PKCE

정보관리기술사 · 135회 1교시 · 6번 · 배점 10점

제135회 정보관리기술사 1교시 6번

단답형 | 10점
[문제] OAuth 2.0의 권한 부여 코드 흐름(Authorization Code Flow)을 단계별로 설명하고, PKCE(Proof Key for Code Exchange)가 필요한 이유와 동작 방식을 서술하시오.

1. OAuth 2.0 Authorization Code Flow

단계 설명
① 권한 요청 클라이언트가 사용자를 Authorization Server로 리다이렉트 (scope, redirect_uri, state 포함)
② 사용자 동의 사용자가 로그인·권한 동의 → Authorization Code 발급
③ 코드 교환 클라이언트가 Authorization Code + Client Secret으로 Token Endpoint에 Access Token 요청
④ 토큰 사용 Access Token으로 Resource Server API 호출
⑤ 갱신 Refresh Token으로 Access Token 재발급 (만료 시)

2. PKCE (Proof Key for Code Exchange)

필요성: 모바일·SPA 앱은 Client Secret을 안전하게 저장할 수 없어 Authorization Code 가로채기 공격에 취약하다. PKCE는 이를 방지한다.

동작 방식:

  • Code Verifier: 클라이언트가 랜덤 문자열 생성 (43~128자)
  • Code Challenge: Code Verifier의 SHA-256 해시값 → Base64URL 인코딩
  • 권한 요청 시 Code Challenge 전송, 토큰 요청 시 Code Verifier 전송
  • Authorization Server가 Code Challenge == SHA-256(Code Verifier) 검증

효과: Authorization Code를 가로채도 Code Verifier 없이는 Access Token 획득 불가

핵심 키워드: OAuth 2.0, Authorization Code, PKCE, Code Verifier, Code Challenge, Refresh Token, SPA, 모바일 보안
OAuth 2.0 Authorization Code Flow는 서버 측 Secret 보호를 전제로 하며, PKCE는 Public Client(SPA·모바일)에서 코드 가로채기 공격을 방지하는 필수 보안 확장이다. RFC 7636으로 표준화되었다.

zerg96

Recent Posts

충격! 코스피 8% 폭락에 SK텔레콤 AI 차단까지 – 한국의 AI 도박이 터졌다

코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…

2주 ago

당신 얼굴이 이미 쓰이고 있다… AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

당신 얼굴이 이미 쓰이고 있다 — AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

달러·원 환율 급등, 지금 당신이 꼭 알아야 할 것들

달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…

3주 ago

미래에셋·미래에셋벤처투자·미래에셋생명 동반 급등, 스페이스X와 무슨 관계?

미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.

3주 ago

스페이스X 상장 D-데이? 일론 머스크가 절대 말 안 하는 진짜 이유

스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…

3주 ago