OAuth
용어 이름 복사
기술 용어약 1분 읽기
비밀번호를 직접 공유하지 않고 제3자 서비스에 특정 데이터나 기능에 대한 접근 권한을 안전하게 위임하는 개방형 표준 프로토콜입니다. 주로 토큰 기반의 인가(Authorization) 체계를 제공합니다.
다른 이름
OAuth 2.0오쓰
상세 설명
OAuth는 사용자의 계정 정보를 보호하면서도 특정 애플리케이션이 사용자의 리소스(이메일, 일정 등)에 접근할 수 있도록 권한을 관리하는 보안 프레임워크입니다. 현재는 OAuth 2.0이 표준이며, 최근 보안이 강화된 2.1 버전이 논의되고 있습니다. AI 에이전트가 사용자를 대신해 데이터를 읽거나 작업을 수행할 때 필수적으로 사용됩니다. 단순 인증(Authentication)보다는 권한 부여(Authorization)에 집중하며, 범위(Scope) 설정을 통해 필요한 데이터에만 한정적으로 접근할 수 있게 하여 보안 사고 위험을 낮춥니다.
도구 선택에서 중요한 이유
AI 도구나 업무 자동화 툴을 선택할 때 OAuth 지원 여부는 보안의 핵심입니다. API Key 방식은 키가 노출되면 계정의 모든 권한이 털릴 위험이 크지만, OAuth는 '읽기 전용' 등 권한 범위를 제한할 수 있고 언제든 특정 앱의 접근만 개별적으로 차단할 수 있어 훨씬 안전합니다.
확인할 점
- 최소 권한 원칙에 따라 필요한 Scope(권한 범위)만 요청하는가?
- PKCE(Proof Key for Code Exchange)와 같은 최신 보안 확장 규격을 지원하는가?
- 인가를 취소(Revoke)할 수 있는 관리 대시보드를 제공하는가?
예시
사용자가 'Zapier'라는 자동화 도구에 자신의 Google Calendar를 연결할 때, Google 비밀번호를 입력하는 대신 Google의 승인 창이 뜹니다. 여기서 '일정 보기' 권한만 허용하면, Zapier는 비밀번호 없이 '액세스 토큰'만을 사용하여 일정 데이터를 가져오게 됩니다.
헷갈리기 쉬운 용어
OpenID Connect (OIDC)
OAuth 2.0 위에서 동작하며, '권한'뿐만 아니라 사용자가 누구인지 '신원'을 확인(인증)하기 위한 계층입니다.
SAML
주로 기업 내부 시스템 간의 통합 인증(SSO)에 사용되는 XML 기반 표준으로, 모바일 및 최신 API 환경에서는 OAuth가 더 선호됩니다.