토큰 바인딩이 필요한 시기
안녕하세요 여러분,
지난 몇 개월은 ID 및 보안 표준의 세계에서 아주 흥미로운 시기였습니다. 업계 전반의 다양한 전문가의 노력 덕분에 Microsoft는 한 세대의 클라우드 서비스 및 디바이스에서 보안과 사용자 환경을 모두 개선하는 광범위한 신규 표준 및 개선된 표준을 마무리하는 데 있어 놀라운 진전을 보였습니다.
이러한 개선 중 가장 중요한 한 가지는 토큰 바인딩 사양군으로, 이 사양은 지금 IETF(Internet Engineering Task Force)에서 최종 승인 단계를 거치는 중입니다. (토큰 바인딩에 대해 자세히 알아보려면 Brian Campbell의 멋진 프레젠테이션을 시청하세요.)
Microsoft는 토큰 바인딩이 전 세계 개발자가 간단하면서도 폭넓게 고도의 ID 및 인증 보증에 액세스할 수 있게 만들어 엔터프라이즈 및 소비자 시나리오의 보안을 크게 개선할 수 있다고 생각합니다.
이런 노력이 미치는 긍정적인 영향을 고려하여 Microsoft는 토큰 바인딩 사양군을 만들고 채택하기 위해 커뮤니티와 깊이 협력해 왔으며 지금도 계속하고 있습니다.
사양 승인이 임박한 지금, 2가지 조치 사항을 제시하고 싶습니다.
- 토큰 바인딩으로 실험해 보고 배포를 계획하기 시작합니다.
- 아직 제공되지 않는 경우, 브라우저 및 소프트웨어 공급업체에 연락하여 토큰 바인딩 구현을 제공해 줄 것을 요청합니다.
Microsoft는 토큰 바인딩이 시기에 맞는 중요한 솔루션이라고 말하는 다수의 업계 목소리 중 하나입니다.
토큰 바인딩이 중요한 이유에 대해 Pamela Dingle에게 듣겠습니다. Pamela는 많은 분이 이미 알고 있고 현재 Microsoft의 Azure AD 팀에서 ID 표준 부문 이사를 역임하고 있는 업계 최고의 전문가입니다.
감사합니다.
Alex Simons(Twitter: @Alex_A_Simons)
프로그램 관리 부문 이사
Microsoft Identity Division
—————————————————————————————————————————–
Alex, 고마워요. 여러분 안녕하세요.
저도 Alex만큼 기대됩니다! 곧 새로운 RFC 표준으로 승인받을 사양에 몇 년에 걸친 시간과 노력이 들었습니다. 설계자가 토큰 바인딩이 주는 구체적인 ID 및 보안 장점을 자세히 살펴볼 적절한 때입니다.
토큰 바인딩의 무엇이 그렇게 좋은지 궁금하시겠죠? 토큰 바인딩은 쿠키, OAuth 액세스 토큰, 새로 고침 토큰 및 OpenID Connect ID 토큰을 이 토큰이 발행된 클라이언트 특정 TLS 컨텍스트 외부에서는 사용할 수 없게 만듭니다. 일반적으로 이런 토큰은 “전달자” 토큰으로, 토큰을 소유한 사람 누구나 토큰을 리소스로 교환할 수 있습니다. 하지만 토큰 바인딩은 토큰 발행 시 수집된 암호화 자료를 토큰 사용 시 수집된 암호화 자료와 비교해 테스트하는 확인 메커니즘을 한 계층 도입함으로써 이 패턴을 개선합니다. 올바른 TLS 채널을 사용하는 올바른 클라이언트만 테스트에 통과합니다. 토큰을 표현하는 엔터티를 강제 사용하여 자체를 증명하는 이 프로세스를 “소유 증명”이라고 합니다.
쿠키 및 토큰은 원래 TLS 컨텍스트 외부에서 모든 악의적인 방식으로 사용할 수 있습니다. 하이재킹된 세션 쿠키나 유출된 액세스 토큰 또는 정교한 MiTM을 들 수 있습니다. 이런 이유로 IETF OAuth 2 Security Best Current Practice 초안에서 토큰 바인딩을 권장하며 Microsoft는 최근 Identity Bounty Program의 보상을 2배 올렸습니다. Microsoft는 소유 증명을 요구함으로써 쿠키 또는 토큰을 의도치 않은 방식으로 편의적으로 사용하거나 사전 계획하에 사용하는 행위를 공격자가 시도하기 어렵기 비싼 행위로 전환합니다.
다른 소유 증명과 마찬가지로 토큰 바인딩은 심도 있게 방어를 구축할 수 있는 기능을 제공합니다. 토큰을 분실하지 않도록 노력할 수 있지만 안전을 확인할 수도 있습니다. 토큰 바인딩은 클라이언트 인증서 같은 다른 소유 증명 메커니즘과 달리 자체 포함된 형태이며 사용자에게 투명하고, 대부분의 작업은 인프라에서 수행합니다. 이러한 특징 덕분에 궁극적으로 누구나 높은 ID 보증 수준으로 운영하도록 선택할 수 있기를 바랍니다. 그러나 소유 증명을 하도록 요구하는 즉각적인 규정 요건이 있는 정부 및 금융 수직 시장에서 처음에 강력한 요구가 발생하기를 기대합니다. 예를 들어 NIST 800-63C AAL3 범주화를 요구하는 사람은 누구나 이 종류의 기술을 요구합니다.
토큰 바인딩은 긴 경로입니다. Microsoft는 3년 동안 이 경로를 따르고 있고, 사양 승인은 굉장한 마일스톤이 됩니다. 하나의 에코시스템으로서 Microsoft는 여전히 구축할 것이 많으며 이 사양은 다양한 공급업체와 플랫폼에서 성공적으로 작동해야 합니다. Microsoft는 이 기능의 도입에서 얻은 보안 이점 및 모범 사례를 앞으로 몇 개월에 걸쳐 심도 있게 공유할 것입니다. 이에 대해 많은 기대를 하고 있으며, 여러분이 필요하다면 어디서든 Microsoft와 함께 이 기술을 지지해 주시기 바랍니다.
감사합니다.
— Pam
