PKCE 도입을 통한 OAuth 2.1 기반 Authorization Code 가로채기 및 CSRF 완전 차단

Context

표준 Authorization Code flow에서 인증 코드를 교환하는 클라이언트가 최초 요청자와 동일인인지 검증할 수 없는 취약점 존재. 특히 Client Secret을 안전하게 저장할 수 없는 Public Client 환경에서 인증 코드 가로채기를 통한 Access Token 탈취 위험성 상존.

Technical Solution

• Code Verifier 생성: 클라이언트에서 무작위 문자열로 구성된 일회성 비밀값 생성
• Code Challenge 전송: Verifier를 해싱한 Challenge 값을 초기 인증 요청 시 서버에 전달하여 요청-교환 단계 간의 논리적 결합 형성
• 동적 검증 메커니즘: Token Exchange 단계에서 원본 Code Verifier를 제출받아 서버 측에서 Challenge 값과 일치 여부를 대조하는 검증 로직 구현
• OAuth 2.1 표준 준수: 기존 선택 사항이었던 PKCE를 필수 요구사항으로 격상하여 모든 클라이언트 타입에 보안 계층 강제 적용
• AI Agent 생태계 확장: MCP(Model Context Protocol) 내 OAuth 2.1 및 PKCE 채택을 통한 외부 툴 연결 보안성 강화