위치:
API(OAuth 설정 활성화): 클라이언트 자격 증명 플로 제어 비활성화
이 제어에는 JWT 전달자 플로 또는 외부 클라이언트 앱(ECA)과 같은 높은 보증 인증서 기반 인증 메서드의 혜택을 받는 안전하지 않은 "클라이언트 자격 증명" 플로를 비활성화하는 것이 포함됩니다.
제어 이름
연결된 앱: API(OAuth 설정 활성화): 클라이언트 자격 증명 플로 비활성화
권장 구성
클라이언트 자격 증명 플로를 비활성화합니다.
제어 개요
이 제어에는 JWT 전달자 플로 또는 외부 클라이언트 앱(ECA)과 같은 높은 보증 인증서 기반 인증 메서드의 혜택을 받는 안전하지 않은 "클라이언트 자격 증명" 플로를 비활성화하는 것이 포함됩니다.
구성되지 않은 경우 보안 위험
이러한 플로는 주로 스크립트에서 하드 코딩되거나 구성 파일에 노출될 경우 "공유 암호" 역할을 수행하는 정적 클라이언트 ID 및 클라이언트 암호(때로는 사용자 암호)에 의존합니다.
위협 시나리오
공격자가 공개 GitHub 리포지토리 또는 내부 문서에서 하드 코딩된 클라이언트 암호를 검색하고 이를 사용하여 프로그래밍 방식으로 높은 권한이 있는 서비스 계정으로 인증하여 조직에 대한 전체 API 액세스 권한을 얻습니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
안전하지 않은 자격 증명을 사용하면 지속적인 비대화형 계정 인계가 발생하므로, 반대가 기존의 MFA 챌린지를 트리거하지 않고 대량의 데이터를 추출하거나 시스템 구성을 수정할 수 있습니다.
고위험 시점
클라이언트 자격 증명 플로가 "시스템 관리자" 프로필에 할당된 사용자 또는 "모든 데이터 수정" 권한이 있는 프로필과 연결되어 있는 경우
낮은 위험 시기
회사에서 통합 사용자에 대해 엄격한 로그인 IP 범위를 구현하고 실시간 API 요청 모니터링을 사용하여 비정상적인 대용량 트래픽을 감지하는 경우
비즈니스 및 통합 고려 사항
해당 플로를 비활성화하려면 기존 미들웨어(예: MuleSoft, Boomi 또는 사용자 정의 Python 스크립트)를 마이그레이션하여 X.509 인증서 관리 및 클라이언트측 논리 업데이트와 같은 인증서 기반 JWT 플로를 사용해야 합니다.
권장 수정
연결된 앱 OAuth 설정으로 이동하여 "클라이언트 자격 증명 플로 활성화" 상자를 선택 취소하고 통합을 전환하여 디지털 인증서와 함께 JWT 전달자 플로를 사용합니다.
보안 상태 검토 지침
보안 상태 검토는 기존의 암호 기반 자격 증명 흐름을 제거하는 것이 ID 보안을 현대화하고 모든 시스템 간 통합을 위한 Zero Trust 아키텍처로 이동하는 중요한 단계로 식별합니다.
