쿠팡 일반 소비자 쪽에는 JWT 쓰네요

토큰 서명키 문제 제기하는 기사 나와서 혹시나 쿠팡 얘네 JWT 쓰나 했는데, 백오피스 쪽은 모르겠으나 일반 소비자 사이트는 확실히 JWT를 쓰는게 맞더라고요. 백오피스 등도 JWT일 가능성을 배제할 수 없다고 보고 저는 개인적으로 백오피스 등도 JWT일 가능성이 높다고 보고 있습니다. CT_AT(아마 AT는 액세스 토큰의 줄임말로 추정됩니다. 순간 at 전치사를 생각하고 이 쿠키 삭제하더니 갑자기 로그인이 풀려서 뭐나 싶었죠.)라는 쿠키의 값을 복사해서 https://www.jwt.io/ 에 붙여넣어봤더니

JWT가 맞네요.

만약 백오피스 쪽에도 JWT를 쓰거나 혹은 소비자 사이트의 관리자 계정이 존재할 경우 서명키를 이용해서 액세스 토큰을 만들고 그 액세스 토큰을 이용해서 개인정보를 턴다는 시나리오가 만들어지죠.

이 시나리오가 맞다면… 음 우려한게 터진거죠. 솔직히 저는 JWT의 취약점을 보면 분명히 한번 사고가 터질거라는 예상을 했었습니다. JWT 인증 방식은 기존 세션 방식대비 세심한 관리가 필요한 방식인데 한국 IT 현실상 이게 제대로 될리가 없다고 생각했는데……. 물론 상황을 지켜봐야 겠지만 액세스 토큰 방식이 JWT가 맞다면 우려했던게 터진거네요.

암튼 그래서 인증은 왠만하면 데이터베이스 세션으로 하는게 맞다고 봅니다. A***0 같은 검증된거 쓰지 않는 이상 말이죠.