AI 에이전트 시대, ID-JAG로 인증·인가 문제를 해결하세요!
AI 에이전트가 다양한 서비스에 접근하며 인증·인가 관리의 복잡성 증가
IETF의 OAuth 워킹 그룹에서 표준화를 논의 중인 ID-JAG(Identity Assertion JWT Authorization Grant)는 이 문제를 해결하기 위한 새로운 인가 표준
ID-JAG는 SSO 신뢰 모델을 API 접근 영역으로 확장하여 중앙 집중형 권한 관리(Centralized Access Control)를 가능하게 함
사용자 경험 개선(User Experience Improvement), 보안 감사 용이성, 리스크 억제 등 조직에 다양한 이점 제공
ID-JAG의 핵심 원리: SSO 신뢰 모델 확장
ID-JAG는 기존 SSO(Single Sign-On)의 신뢰 모델을 API 접근 영역으로 확장하여, 앱 간 또는 에이전트와 서비스 간의 API 접근에 대한 중앙 집중형 권한 관리(Centralized Access Control)를 제공한다. 이는 IETF의 OAuth 워킹 그룹에서 논의 중인 새로운 인가 표준으로, OAuth 2.0 Token Exchange(RFC 8693)와 JWT Profile for OAuth 2.0 Authorization Grants(RFC 7523)를 결합하여 구현된다.
요청 에이전트(Requesting Agent)는 IdP(Identity Provider)로부터 ID 토큰을 획득하고, 토큰 교환을 요청하며 ID-JAG를 지정
IdP는 조직의 정책을 평가하여 ID-JAG를 반환하며, 이 ID-JAG는 암호학적으로 검증 가능한 JWT(JSON Web Token) 형태
요청 에이전트는 ID-JAG를 인가 서버에 제시하여 최종 액세스 토큰을 획득하고, 이를 통해 리소스 서버에 접근
이러한 구조는 기존의 개별적인 권한 부여 방식을 탈피하여, IdP를 중심으로 한 통제된 API 접근(Controlled API Access)을 가능하게 한다.
ID-JAG 도입의 주요 이점: 보안과 편의성의 조화
ID-JAG 도입은 사용자 경험 개선과 더불어 조직의 보안 및 관리 효율성을 향상시킨다. 기존에는 사용자가 앱 연동 시마다 권한을 직접 허용해야 했지만, ID-JAG는 IdP의 관리자 정책에 따라 권한을 제어하여 사용자 동의 절차 간소화(Consent Screen Reduction)를 가능하게 한다.
보안 감사(Audit) 가시성 확보: IdP에서 ID-JAG 발급 로그를 통해 서비스 간의 복잡한 연결 관계를 파악하고, 감사 및 컴플라이언스 준수를 위한 데이터를 쉽게 추출
리스크 억제(Risk Mitigation)를 위한 중앙 통제 구조 수립: 승인되지 않은 AI 도구의 무분별한 사용을 통제하고, 조직의 보안 기준에 맞춰 권한을 덮어쓰는 안전망 구축
토큰 스프롤(Token Sprawl) 문제 해결: 리소스 서버가 별도의 리프레시 토큰을 발행하는 대신, ID-JAG를 재사용하여 장기 인증 정보 관리 효율성 증대
이러한 이점들은 AI 에이전트 환경에서 안전하고 효율적인 API 접근 관리(Secure and Efficient API Access Management)를 위한 핵심 요소로 작용한다.
ID-JAG 도입 시 고려 사항: IETF 초안의 한계
ID-JAG는 IETF의 인터넷 초안 단계이므로, 향후 작동 방식이 변경될 가능성을 염두에 두고 도입해야 한다. 현재 사양에 핵심 아키텍처를 강하게 결합하는 것은 위험하며, 다음과 같은 사항들을 고려해야 한다.
사전 전제 조건 확인: 요청 에이전트와 기업 IdP, 인가 서버 간의 신뢰 관계를 사전에 확립하고, OAuth 2.0 클라이언트로 등록해야 함
책임 경계 유지: ID-JAG를 자체 발행하고 자체 교환하는 흐름은 지양하며, 권한의 의도적인 확대를 방지
보안 강화: 기밀 클라이언트(confidential client) 사용을 권장하며, 공개 클라이언트(public client)는 기존의 인가 코드 승인(authorization code grant) 방식 활용
토큰 수명 관리: ID-JAG의 유효 기간을 짧게 설정하고 갱신 메커니즘을 도입하여 토큰 무효화(Token Revocation)의 즉각성 확보
이러한 고려 사항들을 통해 ID-JAG의 잠재적 위험을 최소화하고, 안전하게 시스템에 통합할 수 있다.
Athenz에서의 ID-JAG 지원: 오픈소스 기반의 권한 관리
LY Corporation의 오픈소스 권한 관리 플랫폼인 Athenz는 ID-JAG를 공식 지원하며, AI 생태계의 확장을 위한 기반을 제공한다. Athenz를 활용하면 ID-JAG의 기술적 제약 사항을 고려하면서도 서비스의 안정성을 유지할 수 있다.
Athenz의 역할: ID-JAG를 활용하여 AI 에이전트의 권한 관리(AI Agent Authorization)를 중앙에서 수행하고, 서비스 간의 안전한 통신을 보장
오픈소스 생태계 기여: 글로벌 표준화 동향을 주시하며, 개발자 경험과 보안을 모두 고려한 적절한 기반을 제공
향후 계획: Athenz와 오픈 소스 IdP를 사용해 ID-JAG를 발행하고, AI와 연동하는 핸즈온 기사 제공 예정
Athenz는 ID-JAG를 통해 AI 시대의 안전하고 확장 가능한 권한 관리(Secure and Scalable Authorization Management)를 위한 솔루션을 제시한다.
