🟡 🛡️ 보안 게시일: · 2 분 읽기 ·

OpenAI: Workload Identity Federation, OIDC 토큰 교환으로 장기 API 키 폐지

Urednička ilustracija: Workload Identity Federation eliminira dugoročne API ključeve razmjenom OIDC tokena

OpenAI Workload Identity Federation은 워크로드가 외부에서 발급된 OIDC 신원 토큰을 단기 OpenAI 액세스 토큰으로 교환할 수 있게 하는 보안 메커니즘이다. 코드나 구성에 장기 API 키를 저장하는 대신, 이 시스템은 Kubernetes, AWS, Azure, Google Cloud, GitHub Actions, SPIFFE를 신뢰할 수 있는 신원 소스로 지원한다.

🤖

이 기사는 AI가 1차 출처를 기반으로 생성했습니다.

OpenAI는 Workload Identity Federation을 발표했다 — 애플리케이션 코드나 구성 파일에 장기 API 키를 저장할 필요성을 없애는 보안 메커니즘이다.

신원 토큰 교환은 어떻게 작동하는가?

Workload Identity Federation은 네 가지 구성 요소에 의존한다. 먼저 OIDC 엔드포인트, 대상(audience), 키 검증 소스가 있는 신뢰할 수 있는 외부 발급자를 설명하는 Workload Identity Provider를 정의한다. 그런 다음 Service Account Mapping은 특정 OpenAI 서비스 계정에 대한 토큰을 생성하기 위해 외부 토큰의 특정 속성을 승인한다. 세 번째 단계에서 Token Exchange는 외부 워크로드 토큰을 받아 단기 OpenAI 액세스 토큰을 반환한다. 마지막으로 애플리케이션은 API 호출을 위한 bearer credential로 해당 토큰을 사용한다.

이 시스템은 OIDC 호환 JWT 토큰을 사용한다. 토큰 속성은 토큰 클레임에서 맞춤형 매칭 기준을 도출하기 위해 **Common Expression Language(CEL)**를 통해 변환될 수 있다.

어떤 플랫폼과 클라우드가 지원되는가?

OpenAI는 6개 플랫폼에 대한 전용 통합 가이드를 제공한다. Kubernetes(projected service account 토큰), AWS(STS 또는 EKS projected 토큰), Microsoft Azure(managed identity 또는 AKS 토큰), Google Cloud(metadata server 또는 GKE 토큰), GitHub Actions(OIDC 워크플로우), SPIFFE(인프라를 위한 JWT-SVID 표준)이다.

구성은 Organization Settings > Security > Workload Identity Provider를 통해 이루어지며, 조직 소유자가 사용할 수 있다. JWKS 검증은 OIDC discovery와 수동으로 업로드된 키 세트 모두를 지원한다. Discovery 문서는 600초마다 새로 고침된다.

이것이 API 접근 보안에 중요한 이유는?

장기 API 키는 지속적인 보안 위험을 나타낸다 — 한번 손상되면 수동으로 취소할 때까지 무제한 접근이 가능하다. 단기 OIDC 토큰은 자동으로 만료되며 특정 워크로드 신원에 바인딩되어, 공격 표면을 크게 줄인다.

OpenAI는 몇 가지 관행을 권장한다. 워크로드별 별도 서비스 계정 사용, 개발 및 프로덕션 환경 분리, 정확한 클레임 매칭(와일드카드만 사용하지 않음), 미사용 매핑의 정기적인 검토. 매핑은 와일드카드 매칭을 지원하지만 단일 후행 와일드카드만 허용한다.

이 표준의 도입은 OpenAI를 AWS, Google Cloud, Azure가 이미 프로덕션 워크로드에 요구하는 보안 관행과 일치시킨다 — 토큰 교환은 OAuth 2.0 Token Exchange 사양(RFC 8693)을 기반으로 한다.

자주 묻는 질문

OpenAI Workload Identity Federation이란 무엇이며 어떤 용도로 사용되는가?
Workload Identity Federation은 정적 API 키를 단기 토큰으로 대체하는 메커니즘이다. 워크로드는 클라우드 환경(AWS, Azure, GCP, GitHub Actions 등)의 OIDC 토큰을 제출하고, 대신 인증을 위한 임시 OpenAI 토큰을 받는다.
OpenAI Workload Identity Federation이 지원하는 플랫폼은 무엇인가?
지원 플랫폼: Kubernetes(projected service account 토큰), AWS(STS 또는 EKS), Microsoft Azure(managed identity 또는 AKS), Google Cloud(metadata server 또는 GKE), GitHub Actions(OIDC 워크플로우), SPIFFE(JWT-SVID).
OpenAI Workload Identity Provider는 어떻게 구성하는가?
조직 소유자는 Organization Settings > Security > Workload Identity Provider에서 설정에 접근한다. JWKS 검증은 OIDC discovery와 수동으로 업로드된 키 세트를 지원하며, discovery 문서는 600초마다 새로 고침된다.

📬 AI 뉴스를 받은편지함으로

나만의 방식으로 구성하는 일일 다이제스트 — 주제, 출처, 주기를 선택하세요. 원클릭 해지.