OAuth state 파라미터 오용으로 인한 PKCE 비밀값 유출 사고 분석

Context

OpenClaw Gemini 확장 프로그램의 OAuth 인증 흐름 내 파라미터 격리 위반 발생. PKCE code_verifier 값을 OAuth state 파라미터로 재사용하는 설계 오류. 리다이렉트 URI를 통해 비밀 검증값이 평문으로 노출되는 구조.

Technical Solution

• OAuth state 파라미터와 PKCE code_verifier의 완전한 분리 설계
• 각 암호화 논스(nonce) 및 상태 변수에 대해 CSPRNG 기반의 독립적 값 생성 방식 도입
• 리다이렉트 URI를 통한 민감 정보 노출 경로 차단
• OpenClaw 2026.4.2 버전 업데이트를 통한 인증 로직 수정
• 기존에 발급된 취약한 Google OAuth Grant 권한 회수 및 재인증 프로세스 적용

Key Takeaway

보안 파라미터 간의 목적이 다르더라도 유사한 형태의 난수라는 이유로 재사용하는 설계는 심각한 정보 유출의 원인이 됨. 암호학적 격리 원칙을 준수하여 각 변수가 단일 목적의 고유한 엔트로피를 갖도록 설계하는 것이 필수적임.