Offcanvas

OAuth

칼럼 | 소모적인 인증 개발 '암흑시대' 끝이 보인다

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수 ...

인증 오소 Oso 오쓰 OAuth

2021.03.26

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수 ...

2021.03.26

'오쓰' 이용하는 클라우드 기반 공격을 막는 방법

최근 멜웨어바이츠(Malwarebytes)의 발표에 따르면, 솔라윈즈(SolarWinds) 공격자들이 멜웨어바이츠의 내부 이메일에 접근했다고 한다. 이때 이용한 침입 벡터는 다른 공격에서 사용한 것과 같은 침입 벡터로, 마이크로소프트 오피스 365 및 애저 환경에 대한 권한있는 접근으로 애플리케이션을 악용하는 것으로 보인다. 멜웨어바이츠 관계자는 “조사 결과 공격자가 이용한 것은 한정된 내부 회사 이메일 일부에 접근하게 해 주는 오피스 365 테넌트 내 휴면 이메일 보호 제품 것으로 나타났다”라고 밝혔다. 공격 순서를 볼 때 오쓰(OAuth)를 통한 서드파티 사이트의 승인 공유를 최종 사용자가 허가하도록 속이는 수법이 동원된 것으로 보인다.   오쓰 2.0은 토큰 기반 인증 및 허가 승인 표준으로, 사용자의 비밀번호를 직접 노출시키지 않고 애플리케이션이 승인을 받도록 해 준다. 이렇게 링크를 통해 연결하면 서드파티 제품에 의도한 것보다 더 많은 권한을 승인하는 일이 의도치 않게 발생할 수 있다. 이런 이유로 필자는 오쓰 설정을 설정할 때 항상 관리자가 반드시 접근을 승인하거나 최소한 접근 승인을 감시하도록 설정하라고 권장한다. 공격자가 오쓰를 악용하는 방식 공격 순서의 시작은 피싱 이메일을 보내 사용자가 링크를 클릭하거나 활동을 승인하게끔 유인하는 것이다. 공격자들은 이렇게 간단하게 사용자의 이메일과 최소한 연락처 정보를 읽을 수 있다. 그 동안 알려진 공격 사례를 보면 오쓰 접근 토큰의 특징은 사용자의 의심을 덜 사도록 표적 기업의 브랜딩과 흡사하게 만들어져 있다는 것이다. 사용자에게는 회사 자원에 제한된 접근권을 부여하는 화면이 표시된다. 공격자는 클라우드 서비스를 사용해 구체적인 오쓰 인증 요청 링크를 띄우는 피싱 유인책을 만든다. 사용자가 링크를 클릭하면 권한이 승인되기 때문에 공격자는 오쓰가 사용되는 생태계 전체에서 해당 사용자 행세를 할 수 있다. 이런 공격은 다중 인증을 추가해도 막을 수 없다. 특정 활동과 이상 동작을 검토하기 ...

오쓰 OAuth

2021.02.22

최근 멜웨어바이츠(Malwarebytes)의 발표에 따르면, 솔라윈즈(SolarWinds) 공격자들이 멜웨어바이츠의 내부 이메일에 접근했다고 한다. 이때 이용한 침입 벡터는 다른 공격에서 사용한 것과 같은 침입 벡터로, 마이크로소프트 오피스 365 및 애저 환경에 대한 권한있는 접근으로 애플리케이션을 악용하는 것으로 보인다. 멜웨어바이츠 관계자는 “조사 결과 공격자가 이용한 것은 한정된 내부 회사 이메일 일부에 접근하게 해 주는 오피스 365 테넌트 내 휴면 이메일 보호 제품 것으로 나타났다”라고 밝혔다. 공격 순서를 볼 때 오쓰(OAuth)를 통한 서드파티 사이트의 승인 공유를 최종 사용자가 허가하도록 속이는 수법이 동원된 것으로 보인다.   오쓰 2.0은 토큰 기반 인증 및 허가 승인 표준으로, 사용자의 비밀번호를 직접 노출시키지 않고 애플리케이션이 승인을 받도록 해 준다. 이렇게 링크를 통해 연결하면 서드파티 제품에 의도한 것보다 더 많은 권한을 승인하는 일이 의도치 않게 발생할 수 있다. 이런 이유로 필자는 오쓰 설정을 설정할 때 항상 관리자가 반드시 접근을 승인하거나 최소한 접근 승인을 감시하도록 설정하라고 권장한다. 공격자가 오쓰를 악용하는 방식 공격 순서의 시작은 피싱 이메일을 보내 사용자가 링크를 클릭하거나 활동을 승인하게끔 유인하는 것이다. 공격자들은 이렇게 간단하게 사용자의 이메일과 최소한 연락처 정보를 읽을 수 있다. 그 동안 알려진 공격 사례를 보면 오쓰 접근 토큰의 특징은 사용자의 의심을 덜 사도록 표적 기업의 브랜딩과 흡사하게 만들어져 있다는 것이다. 사용자에게는 회사 자원에 제한된 접근권을 부여하는 화면이 표시된다. 공격자는 클라우드 서비스를 사용해 구체적인 오쓰 인증 요청 링크를 띄우는 피싱 유인책을 만든다. 사용자가 링크를 클릭하면 권한이 승인되기 때문에 공격자는 오쓰가 사용되는 생태계 전체에서 해당 사용자 행세를 할 수 있다. 이런 공격은 다중 인증을 추가해도 막을 수 없다. 특정 활동과 이상 동작을 검토하기 ...

2021.02.22

오쓰(OAuth)란?··· 보안 전문가를 위한 가이드

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

로그인 승인 OAuth 오쓰 공개인증 인가

2017.08.18

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

2017.08.18

'세상을 바꿨지만···' 무명의 기술 혁신 9선

매일 필수적으로 사용되면서도 너무나 앞섰던 나머지 그리 알려지지 않았던 기술 혁신들이 있다. 이메일, 웹 개발, 데이터베이스 관리 등등을 영원히 바꿔놓은, 그리고 바꿔놓을 가능성이 있는 혁신들을 살펴본다. 여기 잘 알려지지 않았지만, 하지만 놓쳐서는 안될 멋진 혁신들을 소개한다. CIO.com은 이제라도 이 기술들에 받아 마땅한 관심을 주고자 한다. 이번 글에서 다뤄질 정보는 해당 기술들의 개발 관계자들로부터 얻은 것임을 밝혀둔다. 1. 서버 사이드 스크립팅(Server-Side Scripting) 이는 보스톤의 한 TV 쇼로부터 시작되었다. 1994년 프레드 뒤프렌은 지역 방송사인 WCVB-TV의 쌍방형 웹사이트 구축 작업을 진행하고 있었다. 이 과정에서 뒤프렌이 개발한 것이 서버 사이드 스크립트 언어다. 이 기술은 당시의 일반적인 프로그래밍 테크닉으로부터 출발했다. 원래 이 기술은 서버가 비디오, 혹은 플래시 애니메이션 재생과 같은 명령을 수행하도록 ‘프로그래밍'하는 역할을 했다. 서버 사이드 스크립팅이 개발되기 전까지 프로그래머들은 복잡한 HTML 명령을 작성해야 했다. 뒤프렌은 “서버 사이드 스크립팅의 등장으로 인해 동적 페이지 제작을 위해 요구되는 교육 수준이 큰 폭으로 감소했다. 또 간단한 퍼스널 하이퍼텍스트 프로세서(PHP, Personal Hypertext Processor) 페이지 제작과 관련해서는 정식 컴퓨터 과학 훈련이 아예 필요 없게 되었다. 여기에는 객체 라이브러리(object library)에의 연결이나 소스 코드의 목적 코드(object code)로의 컴파일링 과정이 존재하지 않는다”라고 설명했다. 오늘날 이는 페이스북 페이지에서 맛집 블로그까지, 모든 영역에서 활용되고 있다. 2. IP 카메라(IP Camera) IP 카메라라는 용어가 낯설게 들리는 이도 있을 것이다. 그러나 IP 카메라는 지금 이 순간에도 당신의 주차장을 감시하고 ...

혁신 기술 평판 관리 서버 사이트 스크립팅 IP 카메라 MIME OAuth 키입력 암호화

2012.08.10

매일 필수적으로 사용되면서도 너무나 앞섰던 나머지 그리 알려지지 않았던 기술 혁신들이 있다. 이메일, 웹 개발, 데이터베이스 관리 등등을 영원히 바꿔놓은, 그리고 바꿔놓을 가능성이 있는 혁신들을 살펴본다. 여기 잘 알려지지 않았지만, 하지만 놓쳐서는 안될 멋진 혁신들을 소개한다. CIO.com은 이제라도 이 기술들에 받아 마땅한 관심을 주고자 한다. 이번 글에서 다뤄질 정보는 해당 기술들의 개발 관계자들로부터 얻은 것임을 밝혀둔다. 1. 서버 사이드 스크립팅(Server-Side Scripting) 이는 보스톤의 한 TV 쇼로부터 시작되었다. 1994년 프레드 뒤프렌은 지역 방송사인 WCVB-TV의 쌍방형 웹사이트 구축 작업을 진행하고 있었다. 이 과정에서 뒤프렌이 개발한 것이 서버 사이드 스크립트 언어다. 이 기술은 당시의 일반적인 프로그래밍 테크닉으로부터 출발했다. 원래 이 기술은 서버가 비디오, 혹은 플래시 애니메이션 재생과 같은 명령을 수행하도록 ‘프로그래밍'하는 역할을 했다. 서버 사이드 스크립팅이 개발되기 전까지 프로그래머들은 복잡한 HTML 명령을 작성해야 했다. 뒤프렌은 “서버 사이드 스크립팅의 등장으로 인해 동적 페이지 제작을 위해 요구되는 교육 수준이 큰 폭으로 감소했다. 또 간단한 퍼스널 하이퍼텍스트 프로세서(PHP, Personal Hypertext Processor) 페이지 제작과 관련해서는 정식 컴퓨터 과학 훈련이 아예 필요 없게 되었다. 여기에는 객체 라이브러리(object library)에의 연결이나 소스 코드의 목적 코드(object code)로의 컴파일링 과정이 존재하지 않는다”라고 설명했다. 오늘날 이는 페이스북 페이지에서 맛집 블로그까지, 모든 영역에서 활용되고 있다. 2. IP 카메라(IP Camera) IP 카메라라는 용어가 낯설게 들리는 이도 있을 것이다. 그러나 IP 카메라는 지금 이 순간에도 당신의 주차장을 감시하고 ...

2012.08.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6