정보보안기사 기출문제 총정리 ㉛ API 보안 – OAuth 2.0·JWT·OpenID Connect

by

API 보안의 중요성

현대 애플리케이션은 REST API로 통신하며, API 보안은 정보보안기사 최신 출제 트렌드입니다. OAuth 2.0, JWT, OpenID Connect는 API 인증·인가의 핵심 표준으로 반드시 이해해야 합니다.

OAuth 2.0 (인가 프레임워크)

리소스 소유자(사용자) 대신 제3자 애플리케이션이 보호된 리소스에 접근할 수 있도록 하는 인가 프레임워크입니다.

4가지 역할

  • Resource Owner: 리소스를 소유한 사용자
  • Client: 리소스에 접근하려는 애플리케이션
  • Authorization Server: 접근 토큰 발급 서버
  • Resource Server: 보호된 리소스를 호스팅하는 서버

인가 코드 흐름 (Authorization Code Flow)

  • Client → Authorization Server: 인가 요청 (response_type=code)
  • Authorization Server → Client: 인가 코드 발급 (리다이렉트)
  • Client → Authorization Server: 코드로 Access Token 교환
  • Client → Resource Server: Access Token으로 API 호출

토큰 유형

  • Access Token: 짧은 유효기간, API 접근에 사용
  • Refresh Token: 긴 유효기간, Access Token 갱신에 사용

PKCE (Proof Key for Code Exchange)

모바일·SPA 앱에서 인가 코드 가로채기 공격 방지. code_verifier와 code_challenge 사용

JWT (JSON Web Token)

JSON 기반의 자가 포함(Self-contained) 토큰으로, 검증 없이 내용을 확인할 수 있습니다.

JWT 구조 (Header.Payload.Signature)

  • Header: 알고리즘(alg), 토큰 타입(typ) – Base64URL 인코딩
  • Payload: Claims(클레임) – iss(발급자), sub(주체), exp(만료), iat(발급시간) – Base64URL 인코딩
  • Signature: Header + Payload를 비밀키로 서명

JWT 주요 취약점

  • 알고리즘 None 공격: alg를 “none”으로 변경하여 서명 검증 우회
  • 알고리즘 혼동 공격: RS256을 HS256으로 바꿔 공개키로 서명
  • kid 인젝션: Key ID 필드를 조작하여 의도하지 않은 키 사용

JWT 보안 주의사항

  • 서버에서 반드시 alg 필드 검증
  • exp 클레임 확인 필수
  • 중요 정보를 Payload에 저장하지 않음 (Base64만 인코딩, 암호화 아님)

OpenID Connect (OIDC)

OAuth 2.0 위에 인증(Authentication) 레이어를 추가한 프로토콜입니다.

  • OAuth 2.0: 인가(Authorization) / OIDC: 인증(Authentication)
  • ID Token: 사용자 신원 정보를 담은 JWT
  • UserInfo Endpoint: 추가 사용자 정보 조회
  • SSO(Single Sign-On) 구현에 활용

API 보안 주요 취약점 (OWASP API Security Top 10)

  • BOLA(Broken Object Level Authorization): 타 사용자 객체 접근 (최빈출)
  • Broken Authentication: 취약한 인증 메커니즘
  • Broken Object Property Level Authorization: 민감 속성 노출
  • Mass Assignment: 요청 파라미터를 검증 없이 객체에 바인딩
  • Security Misconfiguration: 잘못된 보안 설정

시험 핵심 포인트

  • OAuth 2.0: 인가 프레임워크, Access Token + Refresh Token
  • JWT: Header.Payload.Signature, Payload는 암호화가 아닌 인코딩
  • OIDC = OAuth 2.0 + 인증, ID Token(JWT) 추가
  • PKCE: 모바일·SPA 앱의 인가 코드 탈취 방지
  • BOLA: API 취약점 1위, 권한 없는 타 객체 접근

마무리

OAuth 2.0과 JWT는 현대 API 보안의 기반입니다. 인가 코드 흐름 순서와 JWT 구조, 주요 취약점은 반드시 숙지하세요.

Leave a Comment