OAuth 2.0의 개념과 동작 원리 완벽 가이드

🔐 OAuth란 무엇인가? 현대 웹 보안의 핵심 프로토콜 완벽 이해하기

웹 보안 · 인가 프로토콜 · OAuth 2.0 · OIDC · 소셜 로그인

웹사이트나 모바일 앱을 이용하다 보면 "Google 계정으로 로그인" 또는 "Facebook으로 시작하기"와 같은 버튼을 자주 마주합니다. 별도의 회원가입 없이 기존 계정으로 새로운 서비스에 안전하게 접속할 수 있게 해주는 기술, 그 중심에 바로 OAuth(Open Authorization)가 있습니다.

많은 사람들이 OAuth를 단순한 '로그인 수단'으로 오해하지만, 정확히 말하면 OAuth는 인가(Authorization)를 위한 개방형 표준 프로토콜입니다. 특정 애플리케이션이 사용자의 비밀번호를 직접 알지 못하더라도, 사용자의 권한을 위임받아 프로필 사진, 이메일, 일정 등 데이터에 접근할 수 있게 해주는 보안 체계입니다.

💡 핵심 포인트

OAuth는 비밀번호를 공유하지 않고도 제3자 앱에 데이터 접근 권한을 안전하게 위임하는 프로토콜입니다. 2026년 현재 OAuth 2.1 초안이 진행 중이며, 보안이 한층 강화되고 있습니다.

📌 1. OAuth의 탄생 배경: 왜 필요한가?

OAuth가 등장하기 전에는 한 서비스가 다른 서비스의 데이터에 접근하기 위해 사용자의 아이디와 비밀번호를 직접 입력받아 저장해야 했습니다. 이는 심각한 보안 문제를 야기했습니다.

⚠️ 기존 방식의 심각한 문제점

🔴 비밀번호 노출 — 앱이 사용자의 실제 비밀번호를 저장하므로, 해킹 시 모든 계정 정보가 유출됩니다.

🔴 과도한 권한 — 이메일 목록만 공유하고 싶어도, 비밀번호를 넘기면 계정의 전체 권한을 넘겨주게 됩니다.

🔴 취소의 어려움 — 권한 회수를 위해 비밀번호를 변경하면 연결된 모든 서비스가 끊어집니다.

OAuth는 이러한 문제를 해결하기 위해 '액세스 토큰(Access Token)'이라는 유효기간이 있는 별도의 열쇠를 발행합니다. 비밀번호 공유 없이도 안전하게 권한을 위임할 수 있도록 설계된 것이 OAuth의 핵심 철학입니다.

🧩 2. OAuth의 핵심 구성 요소 (4가지 역할)

OAuth 메커니즘을 이해하려면 등장인물을 파악하는 것이 중요합니다. RFC 6749에 정의된 주요 역할은 다음과 같습니다.

역할 설명 예시
👤 Resource Owner 데이터의 주인 (사용자) Google 계정 보유자
📱 Client 데이터에 접근하려는 서드파티 앱 뉴스 앱, 스케줄러
🗄️ Resource Server 사용자 정보가 저장된 서버 Google Drive, GitHub API
🔑 Authorization Server 동의 확인 후 토큰 발급 서버 Google OAuth Server

⚙️ 3. OAuth 2.0 동작 과정 (Authorization Code Grant)

가장 널리 사용되는 '권한 부여 코드 승인 방식(Authorization Code Grant)'의 전체 흐름을 단계별로 살펴보겠습니다.

1

권한 요청

사용자가 "Google로 로그인"을 클릭하면, 앱은 client_id, redirect_uri, scope를 포함하여 구글 인증 페이지로 리다이렉트합니다.

2

사용자 로그인 및 동의

사용자는 구글 페이지에서 직접 로그인하고 "이 앱이 이메일 정보를 읽도록 허용하시겠습니까?"에 동의합니다.

3

Authorization Code 발급

인증 서버는 토큰을 직접 주지 않고, 임시 코드(Authorization Code)를 앱의 redirect_uri로 전달합니다.

4

Access Token 교환

앱은 받은 코드 + 자신의 Client Secret을 인증 서버에 보내 실제 Access Token으로 교환합니다.

5

리소스 접근 ✅

앱은 토큰을 HTTP 헤더에 담아 리소스 서버에 요청하고, 사용자의 데이터를 안전하게 가져옵니다.

🔒 왜 코드를 한 번 거칠까?

Authorization Code를 중간에 두는 이유는 보안 강화입니다. 브라우저 URL에 토큰이 직접 노출되는 것을 방지하고, 서버 간 통신(back-channel)을 통해 안전하게 토큰을 교환합니다. 이를 통해 MITM(중간자) 공격 위험을 크게 줄일 수 있습니다.

🌐 4. OAuth 2.0의 다양한 Grant Type

Authorization Code Grant 외에도 상황에 따라 사용되는 여러 인가 방식이 있습니다.

Grant Type 사용 시나리오 보안 수준
Authorization Code 웹 앱, 서버사이드 앱 🟢 높음
Auth Code + PKCE SPA, 모바일 앱 (2026 권장) 🟢 높음
Client Credentials 서버 간 통신 (M2M) 🟡 보통
Device Code 스마트 TV, IoT 디바이스 🟡 보통

⚡ 2026년 트렌드: Implicit Grant는 OAuth 2.1 초안에서 공식 제거될 예정이며, 모든 공개 클라이언트(SPA, 모바일)는 PKCE(Proof Key for Code Exchange) 사용이 필수화되고 있습니다.

🏢 5. Google과 주요 서비스의 OAuth 적용 사례

구글을 비롯한 주요 플랫폼들은 모두 OAuth 2.0 표준을 적극 활용하고 있습니다.

🔵 Google OAuth

Google Cloud Console에서 프로젝트를 생성하고 OAuth 클라이언트 ID를 발급받아 사용합니다. googleapis.com/auth/userinfo.profile 같은 Scope를 통해 딱 필요한 정보만 요청할 수 있으며, 2026년부터 새 프로젝트는 기본적으로 세분화된 Scope(Granular Consent)가 적용됩니다.

⚫ GitHub OAuth

GitHub은 OAuth를 통해 서드파티 앱이 리포지토리, 이슈, PR 등에 접근하도록 허용합니다. Fine-grained Personal Access Token과 함께 사용하면 특정 리포지토리에 대해서만 최소한의 권한을 부여할 수 있습니다.

🟣 Anthropic / OpenAI

API 기반 서비스들은 주로 API Key 방식을 사용하지만, 서비스 통합이나 Google/Microsoft 계정으로의 로그인 시 OAuth가 필수적으로 수반됩니다. 최근에는 MCP(Model Context Protocol) 등에서 OAuth 기반 인증도 논의되고 있습니다.

🔍 6. 인증(Authentication) vs 인가(Authorization)

OAuth를 공부할 때 가장 많이 혼동하는 부분입니다. 두 개념을 명확히 구분해야 합니다.

🪪 인증 (Authentication)

"당신은 누구입니까?"를 확인하는 과정
→ ID/PW 로그인, 생체인증, MFA

🔑 인가 (Authorization)

"이 리소스에 접근할 권한이 있습니까?"를 확인하는 과정
→ OAuth가 담당하는 영역

OAuth는 본래 인가를 위한 프로토콜이지만, 이를 확장하여 인증까지 수행하도록 만든 표준이 OIDC(OpenID Connect)입니다. 우리가 흔히 말하는 "소셜 로그인"은 엄밀히 말하면 OAuth 2.0 위에 OIDC 레이어를 얹은 형태이며, ID Token(JWT)을 통해 사용자 신원을 확인합니다.

🛡️ 7. 개발자를 위한 실전 보안 체크리스트

OAuth를 구현할 때 반드시 지켜야 할 보안 사항들입니다.

HTTPS 필수 — 모든 통신은 반드시 TLS로 암호화합니다. 토큰이 평문으로 노출되면 즉시 탈취됩니다.

Redirect URI 화이트리스트 — 허용된 URI만 등록하고, 서버에서 엄격히 검증합니다. 와일드카드 사용은 피합니다.

State 파라미터 — CSRF 공격 방지를 위해 요청마다 고유한 임의 값을 생성하고 응답에서 검증합니다.

PKCE 적용 — 공개 클라이언트(SPA, 모바일)는 반드시 PKCE를 사용하여 Authorization Code 가로채기를 방지합니다.

토큰 만료 관리 — Access Token은 짧게(15분~1시간), Refresh Token은 적절하게 설정하고, 불필요 시 즉시 폐기합니다.

Scope 최소화 원칙 — 꼭 필요한 권한만 요청합니다. 과도한 Scope는 사용자 신뢰를 떨어뜨립니다.

📊 8. OAuth 토큰 비교: Access Token vs Refresh Token

구분 Access Token Refresh Token
목적 리소스 서버 접근 Access Token 재발급
수명 짧음 (15분~1시간) 김 (수일~수개월)
저장 위치 메모리 (추천) Secure HTTP-only Cookie
노출 시 위험 제한적 (짧은 수명) 심각 (장기 접근 가능)

🎯 마무리: OAuth가 만드는 신뢰의 웹 생태계

OAuth는 현대 웹 생태계를 연결하는 신뢰의 다리입니다. 사용자는 편리함을, 개발자는 보안 부담 경감을, 서비스 제공자는 데이터 생태계 확장의 기회를 얻습니다.

2026년 현재 OAuth 2.1 표준화가 진행 중이며, PKCE 필수화와 Implicit/Password Grant 제거 등 보안이 한층 강화되고 있습니다. 웹 서비스를 개발하는 모든 개발자에게 OAuth는 선택이 아닌 필수 교양입니다.

본 글에 포함된 정보는 일반적인 기술 교육 목적으로 작성되었으며, 특정 보안 솔루션의 도입을 권유하지 않습니다. 실제 시스템 구현 시에는 최신 보안 가이드라인과 전문가의 조언을 참고하시기 바랍니다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

macOS에 gemini-CLI 설치방법(with iTerm)

이미지
   Google의 AI Gemini는 최근 2.5pro 버전을 서비스하면서 많은 성능향상을 가져왔다. 아마 coding 분야에서는 1위의 성능을 나타내고, 각종 기능들도 다른 AI들을 앞서가고있다. 하지만 gemini 2.5pro는 웹에서 사용하면 무료사용자의 경우 하루 4~5번 정도의 검색 밖에 사용 할 수 없다. 하지만 gemini-clif를 이용하면 편리성은 조금 떨어지지만 100만토큰, 하루 1000회의 질문을 할 수 있게 된다. 단점은 터미널에서 동작하기 때문에 한글이 원활하지 않고, GUI도 불친절해서 사용감이 조금 불편 할 수 있지만, VS code나 혹은 terminal 환경에서 작업을 많이하는 개발자들에게는 크게 불편하지도 않고 편리하게 사용 할 수 있을 것이라 생각된다. macOS에 gemini-CLI를 설치하는 방법은 두 가지가 있다. 1. homebrew를 이용한 설치 2. node.js를 이용한 설치 이 중에서 Google의 공식 설치 방법은 node.js를 이용한 방법을 권장하고있다. 그 이유는 homebrew에 gemini를 검색하면 gemini-cli와 gemini 이렇게 2개가 검색 되는데, 여기서 사용되는 gemini는 google의 AI툴이 아니라 mac의 파일관리 프로그램의 일종이기 때문이다. 이 때문에 google은 node.js를 통한 설치를 권장하고있다. 위 화면은 homebrew를 이용해 gemini를 검색한 결과이다. 실제 위 방법으로도 gemini-cli를 설치한다면 제대로 동작하는 것은 확인 할 수 있으나, 아무래도 공식 가이드를 따라하는 편이 좋을 것 같은 것도 사실이다. 그럼, 시작을 하기 앞서서 node.js가 설치되어있는지 확인해 보려면 아래와 같이 입력하면 된다. 만약 여기에서 해당 파일이 없다면 brew를 이용해서 설치를 해줘야 하고, 그렇지 않다면 node.js의 version 정보가 나올 것이다. node -v # 만약 node가 설치되어있지 않다면 brew install n...
자세한 내용 보기

Master Claude Code - Complete Guide

Master Claude Code The Complete Guide for Everyone — 터미널에서 시작하는 AI 코딩의 새로운 패러다임 v2.1.34+ 2026년 2월 업데이트 ✨ Opus 4.6 & Agent Teams 📋 목차 (Table of Contents) 01 Claude Code가 모든 것을 바꾸는 이유 06 필수 명령어 & 단축키 02 Claude Code로 할 수 있는 것들 07 Skills & CLAUDE.md 03 Claude Code 워크플로우 08 프롬프팅 테크닉 04 시작하기 (Getting Started) 09 🆕 v2.1 신기능 05 MCP로 모든 것을 연결 10 가격 & 리소스 1️⃣ Claude Code가 모든 것을 바꾸는 이유 Claude Code는 단순한 AI 챗봇이 아닙니다. 채팅 창에서 방문하는 AI 도구를 전체 워크플로우에서 실행되는 운영 체제 레이어 로 바꿔놓습니다. 누군가에게 도움을 요청하는 것과 실제로 실행할 수 있는 유능한 팀원을 갖는 것의 차이입니다. ❌ 일반 AI 챗 (웹) 💬 채팅 창 한정 📎 업로드 용량 제한 ⏰ 세션 만료 🙋 모든 것을 사용자가 수행 🔒 파일 시스템 접근 불가 VS ✅ Claude Code (터미널) 🖥️ 전체 시스템 접근 📁 모든 파일, 모든 크기 ⏳ 수시간 연속 작업 가능 🤖 AI 팀원이 자동 실행 🔓 Git, Shell, MCP 통합 💡 "Assistant에서 Operati...
자세한 내용 보기

Gemini 3.5 루머 총정리

🔮 AI 인사이드 스쿠프 Google Gemini 3.5: 루머, 유출 정보 및 성능 분석 Snow Bunny 체크포인트부터 Fierce Falcon까지, 차세대 AI 모델의 모든 것 📅 2026년 1월 29일 기준 ⚠️ 비공식 정보 포함 ⚠️ 주의: Gemini 3.5는 2026년 1월 29일 기준 아직 공식 출시되지 않았습니다. 본 문서의 정보는 개발자 커뮤니티의 유출 정보와 A/B 테스트 관찰을 기반으로 합니다. 공식 성능 수치는 Google의 발표를 통해서만 확인 가능합니다. 📋 개요 Google의 AI 모델 라인업은 빠르게 진화하고 있습니다. 2025년 11월 Gemini 3 Pro 가 공식 출시된 이후, 개발자 커뮤니티에서는 차세대 버전인 Gemini 3.5에 대한 활발한 논의가 이루어지고 있습니다. 특히 Google AI Studio의 A/B 테스트를 통해 내부 테스트 버전에 접근한 사용자들의 보고가 증가하면서, "Snow Bunny"라는 코드명의 체크포인트가 화제가 되고 있습니다. 현재 공식 Gemini 3 Pro는 LMArena에서 1501 Elo 를 기록하며 최초로 1500 벽을 돌파한 모델로, GPT-5.2 및 Claude Opus 4.5와 치열한 경쟁을 벌이고 있습니다. 이러한 경쟁 환경에서 Gemini 3.5의 등장은 AI 업계의 판도를 다시 한번 뒤흔들 것으로 예상됩니다. 🏷️ 유출된 코드명과 체크포인트 개발자들이 Google AI Studio의 브라우저 코드와 LaMarina 플랫폼을 분석하여 발견한 Gemini 3.5의 내부 코드명들입니다. 각...
자세한 내용 보기