PKCE 도입을 통한 Mobile OS URI Scheme 가로채기 공격 원천 차단

Context

Native App의 Custom URI Scheme 기반 Callback 구조에서 발생하는 Authorization Code Interception 취약점 분석. Mobile OS의 URI 라우팅 비결정성으로 인해 악성 앱이 인증 코드를 탈취할 수 있는 설계적 결함 존재.

Technical Solution

• Code Verifier 생성을 통한 요청자 식별 정보의 RAM 내 격리 저장
• S256 해싱을 거친 Code Challenge 전송으로 초기 요청과 토큰 교환 요청의 무결성 연결
• Token Endpoint에서 원본 Verifier와 저장된 Hash의 일치 여부를 검증하는 2단계 인증 구조 설계
• Public Client의 Secret 저장 불가 제약을 해결하기 위한 일회성 암호화 토큰 메커니즘 적용
• Downgrade Attack 방지를 위해 S256 실패 시 즉시 프로세스를 종료하는 엄격한 상태 관리 정책 수립