수백만 명의 개발자가 Google의 ID 플랫폼을 사용하여 사용자 인증 및 수백 가지 API에 대한 액세스 인증을 수행합니다. 이 플랫폼의 기반에는 세계 최대 규모로 구현된 OAuth 2.0 프로토콜 및 관련 OpenID Connect 표준이 자리하고 있어, 이를 통해 개발자에게 Google과 원활하고 안전하며 안정적으로 통합할 수 있는 방법을 제공합니다. 플랫폼의 보안과 편리함을 더 강화해 줄 몇 가지 업데이트를 알려드리게 되어 기쁩니다.
Sign in with Google 기능을 사용하여 인증하거나 Google API 호출용 사용자 승인을 얻고자 하는 개발자는 클라이언트 사용자 인증 정보를 생성하기 위해 앱과 웹사이트를 등록해야 합니다. Google Cloud Console을 사용하는 개발자의 경우 이전에는 OAuth 구성 페이지가 APIS & Services 섹션에서 제공되었습니다. 이제 이 페이지에 Google Auth Platform이라는 전용 탐색 섹션이 생겼습니다. 또한, 더 쉽게 새 프로젝트를 등록할 수 있도록 하고, 앱 구성 업데이트에 드는 시간을 줄이고, 개발자에게 더욱 유용한 가이드를 추가했습니다. 앞으로 몇 달 동안 개선된 온보딩 마법사, 간소화된 OAuth 범위 관리, 더욱 빠르고 투명한 앱 인증을 위한 변화 등 더 많은 개선 사항이 제공될 예정이니 기대해 주세요.
Firebase, Apps Script 등 다른 콘솔을 통해 OAuth 기능을 사용하는 개발자의 경우 해당 제품의 사용 환경은 변경되지 않고 그대로 유지됩니다.
일부 OAuth 클라이언트는 인증 및 승인 요청을 할 때 '비밀번호'를 사용해야 합니다. 클라이언트 보안 비밀번호는 웹사이트나 애플리케이션의 비밀번호 같은 것이므로, 사용자 계정과 데이터의 보안 및 개인정보를 보호하기 위해 이러한 문자열을 보호하는 것이 중요합니다.
기존에는 개발자가 Google Cloud Console, Firebase Console 및 기타 Google 개발자 제품에서 자신의 클라이언트 보안 비밀번호를 확인하고 다운로드할 수 있었습니다. 그런데 오는 6월부터는 Google Cloud Console의 클라이언트 관리 페이지에서 OAuth 보안 비밀번호를 마스킹할 예정입니다. 보안 비밀번호 식별을 돕기 위해 개발자 콘솔에는 마지막 몇 개의 문자가 표시됩니다.
개발자는 OAuth 클라이언트 보안 비밀번호가 생성되면 이를 다운로드하고 안전하게 관리해야 합니다. 대부분의 개발자는 이미 Google Cloud Platform의 Secret Manager 또는 유사한 도구를 사용하여 이를 수행하고 있습니다. 생성 화면이 닫히면 클라이언트 보안 비밀번호는 다시 표시되지 않습니다.
다시 한번 말씀드리자면, 사용자 데이터 또는 기타 프로덕션 시스템에 대한 액세스를 허용하는 OAuth 클라이언트 보안 비밀번호는 절대 버전 제어 시스템에 포함되어서는 안 되며 인터넷에서 널리 공유해서도 안 됩니다. 보안 비밀번호는 주기적으로 교체하고 유출 시에는 즉시 변경해야 합니다.
6월부터는 사용자 인증 정보 도용 및 오용을 더욱 강력하게 방지하기 위해 6개월간 비활성 상태였던 OAuth 클라이언트를 자동으로 삭제할 예정입니다. 더 이상 토큰 교환이 없는 시점부터 6개월의 기간을 산정합니다. 이처럼 비활성으로 인해 클라이언트가 삭제될 예정인 경우 개발자는 알림 메시지를 받게 되며, 삭제 후 최대 30일까지는 클라이언트를 복원할 수 있습니다.
이러한 알림 및 앱과 관련된 다른 알림을 받으려면 연락처 정보 설정을 살펴보고 알림을 수신하도록 설정하세요.
이러한 개선 사항과 올해 하반기에 이루어질 추가 개선 사항을 통해 더욱 간편하고 안전한 환경을 제공하겠습니다. 이를 통해 여러분이 사용자에게 유용한 앱과 사이트를 개발하는 데 더 집중하고 더 많은 시간을 할애할 수 있도록 계속 노력하겠습니다.
