신뢰 기반 아이덴티티 공유를 통한 토큰 그랜트 확장

초록

본 논문은 OpenID Connect 기반의 인증·인가 흐름에 신뢰 관계를 추가하여, 서로 다른 도메인의 아이덴티티 제공자 간에 사용자 정보를 안전하게 공유하고, 하나의 클라이언트가 두 도메인에서 발급된 액세스 토큰을 획득하도록 하는 확장 메커니즘을 제안한다.

상세 분석

이 논문은 현재 OAuth 2.0·OpenID Connect 생태계에서 클라이언트가 단일 아이덴티티 제공자(IDP)에만 종속되는 한계를 정확히 짚어낸다. 기존 흐름에서는 다른 도메인의 보호 자원을 이용하려면 사용자는 두 번째 IDP에 동일한 사용자 정보를 재등록해야 하는데, 이는 관리 비용 증가와 개인정보 중복 저장이라는 보안 위험을 초래한다. 저자는 이를 해결하기 위해 “신뢰 기반 아이덴티티 공유 토큰”(Identity Share Token, IST)을 도입한다. IST는 JWT 형식으로 발행되며, 발행자(issuer)와 수신자(audience) 사이에 사전에 구축된 상호 신뢰 관계를 전제로 한다. 토큰에는 iss, aud, exp, iat와 함께 사용자 클레임을 담은 sdata가 포함되며, 필요에 따라 서명만 하거나 전체 암호화도 가능하도록 설계되었다.

신뢰 모델은 네 가지 핵심 관계를 정의한다. A) 최종 사용자와 클라이언트, B) 도메인 A와 도메인 B의 IDP 간 상호 신뢰, C) 클라이언트와 도메인 A의 IDP, D) 클라이언트와 도메인 B의 IDP. 특히 B 관계는 기존 SAML·WS‑Federation에서 차용한 ‘연합’ 개념을 OAuth 2.0/ OpenID Connect에 매핑한 것으로, 두 IDP가 서로의 토큰을 검증하고 발행할 수 있게 한다. 이를 위해 사전 등록 절차와 동적 클라이언트 등록(OpenID Connect Dynamic Client Registration) 등을 활용한다.

IST를 이용한 토큰 획득 흐름은 기존 OpenID Connect 인증 요청에 scope=identity_share를 추가하는 것으로 시작한다. 사용자가 도메인 A의 IDP에 로그인하면, A의 IDP는 IST를 발행하고 이를 클라이언트에 반환한다. 클라이언트는 이 IST를 도메인 B의 토큰 엔드포인트에 “grant_type=identity_share”와 함께 제출하면, B의 IDP는 IST를 검증하고 새로운 액세스 토큰을 발행한다. 결과적으로 클라이언트는 두 도메인 모두에서 유효한 액세스 토큰을 보유하게 된다.

보안 측면에서 저자는 토큰 서명·암호화, 클레임 최소화, 토큰 유효기간 제한 등을 통해 중간자 공격·재사용 공격을 방지한다. 그러나 IST에 포함되는 사용자 클레임이 암호화되지 않을 경우 클라이언트가 민감 정보를 볼 수 있다는 점은 위험 요소로 남는다. 또한, 두 IDP 간의 신뢰 관계 설정과 정책 관리가 복잡해질 수 있으며, 연합된 환경에서 감사·로그 관리가 추가적인 운영 부담을 초래한다는 한계도 존재한다.

전체적으로 이 논문은 OAuth 2.0/ OpenID Connect에 연합 인증 메커니즘을 자연스럽게 접목시켜, 다중 도메인 환경에서의 토큰 재사용 문제를 해결하려는 시도를 체계적으로 제시한다. 기존 RFC 7521(Assertion Framework)과 비교했을 때, 토큰 발행·검증 로직을 표준화된 JWT 기반으로 구현함으로써 구현 난이도를 낮추고, 기존 인프라와의 호환성을 확보한다는 장점이 있다.