피드로 돌아가기
Dev.toSecurity
원문 읽기
RFC 9207 기반 iss 파라미터 도입으로 OAuth Mix-Up 공격 구조적 차단
MCP SEP-2468: RFC 9207 Iss Parameter for OAuth Mix-Up Defense
AI 요약
Context
다수의 Identity Provider를 신뢰하는 MCP 호스트 환경에서 Authorization Server를 식별할 명확한 신호 부재로 인한 보안 취약점 발생. 기존 세션 상태에 의존한 추측 방식의 검증은 공격자가 Authorization Code를 교체하여 다른 AS에 전송하게 만드는 OAuth Mix-up attack에 무방비한 구조임.
Technical Solution
- RFC 9207 표준을 준수하는 iss 파라미터를 Authorization Response에 포함하여 응답 생성 주체인 AS를 명시적으로 식별
- Client 단에서 RFC 3986 §6.2.1 기준의 byte-for-byte 단순 문자열 비교를 통한 Issuer 검증 로직 강제
- AS 메타데이터에 iss 지원 여부를 명시하여 Client가 검증 정책을 동적으로 결정하는 Advertisement 메커니즘 적용
- Capability Scoping과 독립적인 프로토콜 레벨의 Structural Defense를 구축하여 권한 범위 제한이 아닌 인증 주체 혼동 자체를 제거
- 세션 상태 기반의 불확실한 추론 과정을 제거하고 응답 데이터 기반의 결정론적 검증 체계로 전환
실천 포인트
다중 IdP를 지원하는 OAuth 클라이언트 설계 시, 응답 값에 포함된 Issuer 정보를 요청 시 기록한 값과 byte-for-byte로 비교하는 검증 로직이 구현되어 있는지 확인하십시오.