Key4C V3.0 JWT HTTP REST API Service

Key4C V3.0 JWT HTTP REST API Service는 인증 시스템에 꼭 필요한 JWT 보안을 쉽고 안전하게 만들어주는 클라우드 기반 보안 서비스입니다. 서버에서 직접 키를 관리하지 않아도 되고, 전용 웹 콘솔과 Agent만으로 바로 적용할 수 있어요. 안전한 서명과 철저한 검증, 성능 향상, 확장 가능한 구조까지 한 번에 경험할 수 있어요. 또한, ISMS-P 및 CSAP 등 보안 인증에서 요구하는 암호키 관리 항목을 충족할 수 있습니다.

지금 시작하고, 안전하고 효율적인 인증 시스템을 구축해보세요.

1. 서비스 개요

인증 시스템의 핵심 기능 JWT, 안전하게 효율적으로 사용하고 있나요? JWT는 기본적으로 안전한 구조를 갖고 있지만, 잘못된 사용과 설계 미흡으로 보안 문제가 발생합니다.

  • 잘못된 JWT 사용으로 보안 취약점 발생

  • 보안 설계 직접 수행 시 설계 미흡 및 운영 리소스 낭비 발생

JWT 취약점을 이용하여 위·변조, 탈취, 인증 우회 등으로 인증 시스템의 보안 공격

2. 서비스 소개

1

클라우드 환경에 최적화된 간편 도입

클라우드 환경에서 SaaS 형태로 서비스를 제공하여 보안 업데이트 및 유지보수 부담이 줄고, 쉽고 빠른 도입이 가능합니다.

2

개발 및 운영 부담 최소화

복잡한 키 관리, 서명 로직을 직접 구현할 필요가 없고 웹 콘솔과 에이전트만으로 쉽게 연동되어 개발 및 운영 부담을 대폭 감소

3

최고 수준의 보안성 확보

키 관리 및 보안 연산 수행에 꼭 필요한 HSM(Hardware Security Module)를 사용하여 높은 보안성을 그대로 토큰 기반 인증 시스템에 적용

4

인프라 확장과 안정화 효율성 증가

서명은 Key4C에서, 검증은 애플리케이션(서버)에서 분산 처리 서버를 확장하는 경우 검증 부하 분산 효과 공개키 기반 검증 구조로 위·변조 탐지

ISMS-P / CSAP 인증 획득을 준비하고 계신가요? HSM 기반의 암호키 생성·보관·폐기 절차를 지원하여 인증에서 요구하는 암호정책 수립과 안전한 암호키 관리 요건을 충족할 수 있도록 설계되었습니다. 직접 키를 생성·보관하지 않아도 높은 수준의 키 관리 체계를 갖춘 인증 시스템을 구축할 수 있습니다

ISMS-P 인증(2.7.2 암호키 관리) / CSAP 인증(12.3.2 암호키 관리)

3. 서비스 도입 전·후 비교

JWT를 잘못된 방식으로 사용해서 발생하는 보안 문제를 구조적으로 해결! 보안성과 운영 효율성까지 갖춘 구조로 인증 시스템을 지속적으로 안전하게 유지할 수 있습니다.

3-1. 서비스 도입

  • 서명 생략(alg:none 허용) > 무서명 토큰 허용, 인증 우회 위험

  • 민감 데이터 단순 Base64 인코딩 구조 > 쉬운 디코딩 및 정보 유출

  • JWT 서명 키를 애플리케이션(서버)에 저장 > 키 유출 시 위조 위험

  • 유효시간 설정 누락 > 탈취된 토큰 장기간 사용

  • 대칭키 및 하드코딩 사용 > 키 유출 시 전체 인증 시스템 위험

  • 서명 및 검증 연산으로 리소스 및 비용 증가 > 복잡 및 리소스 낭비

  • 대칭키 이용 경우 검증 서버 확장 어려움 > 부하 분산 불가

3-2. 서비스 도입

  • 서명 필수 > 위·변조 방지 및 인증 신뢰성 확보

  • Agent에서 클레임 구성 > 클레임 구조 정합성 확보

  • JWT 서명 키를 HSM 에서 생성 및 저장 > 키 유출 원천 차단

  • JWT 유효시간 설정 및 검증 · 갱신 > 토큰 장시간 사용 방지지

  • 비대칭키 구조 > 서명과 검증 분산 처리, 성능 최적화

  • API로 요청하고 전달받는 구조 > 단순화, 리소스 절감

  • 서명과 검증을 분산 수행 > 응답 속도 최적화, 부하 분산 유리

  • 키 중앙 관리 > 배포 및 갱신 시 운영 부담 감소

4. 주요 기능 소개

4-1. 키 생성

웹 콘솔 GUI를 통해, 키 생성부터 관리까지 쉽고 빠르게 진행하실 수 있습니다.

키 유출 걱정 없는, HSM 기반 JWT 서명 키 생성

  • 웹 콘솔을 통해 직접 쉽고 빠르게 서명 키를 생성하고 중앙에서 안전하게 관리 할 수 있습니다.

  • 서명 키는 반드시 HSM 내부에서 생성되어 외부 유출 위험이 없으며, 생성된 키는 JWT 서명 전용으로만 사용됩니다.

  • 비대칭키 방식으로 서명키(개인키)와 검증키(공개키)가 함께 생성됩니다. 애플리케이션(서버)에서는 공개키만 사용하여 검증을 수행합니다.

4-2. JWT 발급

간단한 Agent 연동으로, 안전한 JWT 발급하고 리소스를 절감할 수 있습니다.

인증서 기반 안전 채널로 신뢰도 강화

  • Agent는 Key4C와 인증서를 통한 상호 인증으로 안전한 통신 채널을 구축하여 통신합니다. 중간자 공격을 원천 차단합니다.

  • 검증된 안전 영역(HSM) 내에서 서명 키로 서명 로직이 수행되며 안전하게 서명된 JWT를 Agent로 전달합니다

  • 애플리케이션(서버)는 서명 키 관리 및 서명 수행 없이 서명된 안전한 JWT를 전달받아 사용자에게 전달합니다.

리소스 절감 및 구조 단순화

  • Application은 Agent에게 공개키를 한번만 요청하고, 응답으로 받은 공개키로 검증만 수행합니다. JWT 검증시마다 추가적인 통신이 없기 때문에 성능이 향상 됩니다.

  • JWT 생성 시 Key4C로 전달되는 데이터는 데이터 원문으로 전달하지 않기 때문에, 데이터 유출의 우려가 없습니다.

  • 서명 키 관리와 서명 로직 없이도 안정적인 JWT 운영이 가능하여 개발 부담이 감소합니다.

  • 공개키만 있으면 어디서든 검증이 가능한 구조로, 검증 로직을 부하가 집중되지 않게 분산 배치할 수 있어서 운영 복잡도가 감소합니다.

5. 서비스 사용 흐름도