Scoped MFA Session 도입을 통한 인증 우회 취약점 해결 및 신뢰 경계 강화

Context

기존 2FA 시스템은 /initiate 및 /validate 엔드포인트 기반의 단순 OTP 검증 방식으로 설계되어 Redis에 평문 저장하는 보안 취약점을 보유함. 특히 서버 사이드에서 OTP 검증 완료 상태와 실제 중요 액션(출금, 송금 등) 간의 연결 고리가 없어 클라이언트 사이드 우회를 통한 API 직접 호출이 가능한 구조적 한계를 가짐.

Technical Solution

• HashiCorp Vault Transit Engine 도입을 통한 데이터 암호화 및 복호화 계층 구축
• MFA 챌린지를 특정 액션에 바인딩하는 Scoped MFA Session 구조 설계
• MFA 검증 완료 시 생성되는 세션을 특정 요청 범위로 제한하여 Replay Attack 및 세션 재사용 방지
• 서버 사이드에서 중요 액션 수행 전 MFA 세션의 유효성과 스코프 일치 여부를 강제하는 검증 로직 구현
• 단순 OTP 비교 방식에서 액션 기반의 신뢰 경계(Trust Boundary) 강제 방식으로 아키텍처 전환