pile·
보안·LY CorporationLY Corporation·

ID-JAG The Hard Way: 실패로 배우는 AI 에이전트 보안 핸즈온

LY Corporation 엔지니어가 AI 에이전트의 인가(Authorization) 문제를 OAuth 2.0 확장 표준인 ID-JAG(Identity Assertion JWT Authorization Grant)로 해결하는 핸즈온을 공개했다. IETF OAuth 워킹 그룹에서 논의 중인 이 초안은 기존 인증 중심 접근을 "이 에이전트가 이 사용자를 대신해 이 권한 범위 내에서 이 리소스에 접근하도록 인가됐는가?"로 재정의한다. Keycloak + Athenz + Ollama/Gemma 4 스택으로 로컬 쿠버네티스 환경을 구성해 실패 시나리오부터 정상 흐름까지 단계별로 체험할 수 있다.

핵심 포인트
  • ID-JAG는 RFC 8693(Token Exchange) + RFC 7523(JWT Grant)을 결합해 AI 에이전트에 위임된 인가 토큰을 발급하는 IETF 진행 중 표준이다.
  • 기존 OIDC ID 토큰은 "사용자가 클라이언트에 인증됐음"만 증명하며, 리소스 접근 인가를 위해 에이전트에 직접 전달하면 과잉 권한이나 위임 체인 불명확 문제가 생긴다.
  • 데모 스택: Keycloak(IdP 인증) + Athenz(기업 정책 평가 + 액세스 토큰 발급) + KeycloakTokenExchangePlugin(두 시스템 연결) + Open WebUI/Ollama/Gemma 4(에이전트) + MCP 서버.
  • 핸즈온은 정상 흐름 전에 401 Unauthorized, 토큰 교환 실패, 위임 체인 단절 등 의도적 실패를 먼저 경험하게 설계됐다.
  • 전체 핸즈온 환경이 athenz-community/id-jag-the-hard-way GitHub 저장소에 오픈소스로 공개됐다.
상세 정리
  • 문제 배경: AI 에이전트가 사용자 대신 민감한 리소스에 접근할 때 어떤 에이전트가, 어떤 사용자를 위해, 어떤 범위만 쓸 수 있는가를 검증하는 표준 인가 메커니즘이 없었다.
  • ID 토큰의 한계: OIDC ID 토큰은 사용자가 클라이언트에 성공적으로 인증됐음을 증명하는 아티팩트다. 인가 그랜트(특정 리소스·범위 접근을 위한 액세스 토큰 요청)와 목적이 달라 에이전트에 그대로 넘기면 위임 체인이 불분명해진다.
  • ID-JAG 설계: RFC 8693 Token Exchange와 RFC 7523 JWT Profile을 결합해 사용자 ID를 어설션하는 JWT로 인가 서버에 액세스 토큰을 요청한다. 위임 체인(에이전트 → 사용자 → 리소스)이 JWT 클레임에 명시된다.
  • 아키텍처 구성: Keycloak이 사용자 로그인을 처리하고, Athenz의 KeycloakTokenExchangePlugin이 Keycloak 토큰을 Athenz로 연결하며, Athenz가 기업 정책을 평가해 최종 액세스 토큰을 발급한다.
  • 8단계 실행 흐름: 사용자 Keycloak 로그인 → AI 에이전트(Open WebUI)에 작업 지시 → Athenz에 ID-JAG 토큰 요청 → 기업 정책 평가 → 액세스 토큰 요청 → MCP 서버 호출(토큰 포함) → 토큰 교환 → 리소스 서버 최종 접근.
  • 실패 학습 설계: 토큰 없이 API 호출 시 401, 권한 누락으로 토큰 교환 실패, 위임 체인 단절 등을 순서대로 경험하게 해 각 단계의 역할을 직접 체득한다.
  • 향후 계획: Tech-Verse 2026에서 "AI 시대의 차세대 인가 표준"을 주제로 발표 예정.
왜 읽나AI 에이전트에 사용자 위임 권한을 안전하게 부여하는 OAuth 확장 표준을 실습 환경과 함께 이해하고 싶은 보안·백엔드 엔지니어에게 유용하다.
LY Corporation
LY Corporation 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2