스펙 준수만으론 부족한 보안, AI 기반 MCP 도구로 로직 취약점 5개 발견

Context

OAuth 2.0 및 OIDC 스펙을 엄격히 준수하여 Autentico 개발. RFC 기반 구현과 Conformance Suite 통과 및 OWASP ZAP 스캔까지 완료. 하지만 전통적인 스캐너는 프로토콜의 비즈니스 로직과 토큰 생명주기 취약점을 식별하는 데 한계 존재.

Technical Solution

• MCP(Model Context Protocol) 기반의 go-appsec/toolbox를 Claude Code와 연동하여 AI 협업 보안 테스트 환경 구축
• 브라우저 프록시를 통해 OAuth 인증, 토큰 교환, MFA 등록 등 실제 트래픽 112개 흐름을 캡처하여 AI에게 제공
• AI 에이전트가 캡처된 요청에서 인증 헤더를 제거한 후 replay_send 도구로 재전송하여 인증 우회 가능성 검증
• JWT 디코딩 및 쿠키 분석 도구를 활용해 토큰 메타데이터 노출 및 세션 관리 취약점 분석
• PKCE 강제 적용 여부 및 Refresh Token 로테이션 미비점 등 프로토콜 로직 레벨의 결함 추적
• 내부 설정 값이 노출되는 CSRF 에러 메시지 및 SSRF 취약점이 발생하는 페더레이션 탐색 로직 식별

Impact

• 단 10분간의 브라우징 및 테스트 세션으로 HIGH 등급 포함 총 5개의 취약점 발견
• 전체 세션을 통해 총 10개의 보안 취약점 식별 및 수정 완료

Key Takeaway

표준 스펙 준수와 정적/동적 스캐닝만으로는 복잡한 인증 로직의 취약점을 완전히 제거할 수 없음. AI 에이전트가 애플리케이션 컨텍스트를 이해하고 공격 시나리오를 추론하는 '추론 기반 보안 테스트' 방식이 로직 레벨의 결함 발견에 매우 효율적임.