OAuth 2.1, PKCE 없이는 안전 보장 못 해! 2026년까지 전환 필수

PKCE Downgrade Attack은 Authorization Code를 탈취하는 공격 기법으로, 공격자는 중간자 공격을 통해 code_challenge를 제거하여 PKCE를 우회한다. 구체적으로, 공격자는 Custom URL Scheme 또는 브라우저 기록을 통해 인증 코드를 획득하고, client_secret이 노출된 경우 토큰을 탈취한다. 따라서, OAuth 2.1은 PKCE를 필수적으로 요구하여 이러한 공격을 원천 차단한다.

클라이언트 시크릿은 Public Client 환경에서 안전하지 않으며, SPA 및 모바일 앱에서 쉽게 노출될 수 있다. 구체적으로, JavaScript 코드 내 시크릿은 쉽게 접근 가능하며, 앱 바이너리 또한 리버스 엔지니어링을 통해 분석 가능하다. 반면, PKCE는 매번 새로운 code_verifier를 생성하여, 공격자가 인증 코드를 탈취하더라도 토큰 획득을 불가능하게 만든다. 결과적으로, OAuth 2.1은 PKCE를 통해 토큰 탈취 위험을 최소화한다.

OAuth 2.1 도입을 위해, 개발자는 PKCE를 기본적으로 지원하는 라이브러리를 사용하고, S256 알고리즘을 반드시 적용해야 한다. 구체적으로, Authorization Server 설정을 통해 PKCE 미지원 요청을 거부하고, 리다이렉트 URI를 정확히 일치시켜야 한다. 따라서, client_secret은 제거하고, Refresh Token Rotation을 활성화하여 보안을 강화해야 한다. 결과적으로, 보안 감사를 통해 OAuth 2.1 준수 여부를 확인해야 한다.