8가지 Auth Regression 패턴 도입으로 CI 단계에서 인증 취약점 차단

Context

단순한 Token 유효성 검증 위주의 Smoke Test는 잘못된 Token을 수락하는 보안 결함을 탐지하지 못하는 한계 존재. 설정 오류나 라이브러리 취약점으로 인해 프로덕션 환경에서 빈번하게 발생하는 Auth Bug를 방지하기 위한 체계적인 Regression Suite 필요.

Technical Solution

• Negative Testing 기반의 Assertion Catalog를 구축하여 부적절한 Token의 거부 여부를 명시적으로 검증
• Audience Mismatch 및 Issuer Mismatch 검증을 통한 Microservice 간 권한 오남용 방지 설계
• 'alg=none' 및 RS256 to HS256 Algorithm Confusion 공격 패턴을 Test Case에 포함하여 라이브러리 수준의 취약점 사전 차단
• Expired Token 검증 시 Clock Skew(60s)를 허용하는 정밀한 시간 검증 로직 적용
• 필수 Claim 누락 및 Signature 위조 케이스를 통해 정책 변경에 따른 Configuration Drift 실시간 탐지
• JWKS Rotation 발생 시 Cache Stale 상태를 탐지하는 Nightly CI Test 구조 설계