위치:
OAuth 플로 활성화: 클라이언트 자격 증명 플로 제어 비활성화
이 보안 설정은 응용 프로그램이 사용자 개입 또는 존재 없이 자체 자격 증명만 사용하여 데이터를 인증하고 액세스할 수 있는 OAuth 2.0 허용 유형을 비활성화합니다.
제어 이름
외부 클라이언트 앱: OAuth 플로 활성화: 클라이언트 자격 증명 플로 비활성화
권장 구성
클라이언트 자격 증명 플로를 비활성화합니다.
제어 개요
이 보안 설정은 응용 프로그램이 사용자 개입 또는 존재 없이 자체 자격 증명만 사용하여 데이터를 인증하고 액세스할 수 있는 OAuth 2.0 허용 유형을 비활성화합니다.
구성되지 않은 경우 보안 위험
이 플로가 활성화되면 단일 클라이언트 자격 증명 집합의 저하로 인해 공격자가 전체 조직의 데이터에 높은 권한 수준에서 지속적으로 자율적으로 액세스할 수 있으며 다단계 인증을 완전히 우회합니다.
위협 시나리오
악의적인 작업자가 구성 파일에 저장된 일반 텍스트 클라이언트 암호에 액세스하고 이를 사용하여 만료되지 않는 백그라운드 프로세스를 통해 프로그래밍 방식으로 중요한 레코드를 추출합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
개별 사용자 암호가 변경되었거나 계정이 비활성화된 경우에도 액세스가 활성 상태로 유지되므로 대기 중인 시스템 간 인증을 허용하면 장기적인 데이터 위반이 발생할 가능성이 높아집니다.
고위험 시점
연결된 통합 사용자에게 관리 권한 또는 여러 개체 전반의 모든 데이터를 수정할 수 있는 기능이 부여된 경우
낮은 위험 시기
회사에서 특정 통합에 엄격한 IP 주소 필터링을 적용하고 인증 핸드샷에 공유 암호 대신 인증서를 사용하는 경우
비즈니스 및 통합 고려 사항
이 플로를 비활성화하면 사용자 중심 인가 프로세스를 지원하지 않는 모든 자동 백엔드 통합, 예약된 데이터 동기화 또는 서버측 응용 프로그램이 즉시 중단됩니다.
권장 수정
외부 클라이언트 앱의 OAuth 설정으로 이동하여 클라이언트 자격 증명 플로의 확인란이 선택 취소되었는지 확인합니다.
보안 상태 검토 지침
보안 상태 검토는 정적, 비관심 자격 증명의 제거를 심층적인 방어 전략의 필수 단계로 식별하며, 뛰어난 가시성과 지속적인 확인을 제공하는 대화형 또는 인증서 기반 인증 방법을 선호합니다.
