원로그인(OneLogin)은 기업용 아이덴티티·액세스 관리(IAM) 플랫폼으로 SSO, MFA, 사용자·애플리케이션 관리를 API로 자동화해 다양한 내부·외부 시스템과 연동한다. 원로그인 API는 애플리케이션 등록·메타데이터 조회·토큰 발급 등을 프로그래밍 방식으로 지원하므로 자격 증명 관리의 핵심 경로 역할을 수행한다.

OIDC의 클라이언트 시크릿(client_secret)은 애플리케이션 인증의 핵심 자격 증명으로, 이 값이 유출될 경우 애플리케이션 사칭과 토큰 발급을 통한 인증 우회가 가능하다. 아이덴티티 공급자(IDP)는 기업의 인증·인가 인프라에서 핵심 역할을 수행하므로 해당 플랫폼의 취약점은 단일 장애점을 넘어 전체 공급망으로 확산될 위험이 크다.

비인간 ID 보안 솔루션 기업 클러치 시큐리티(Clutch Security)가 공격자가 표준 API 호출을 통해 민감한 클라이언트 비밀에 액세스할 수 있게 하는 심각도가 높은 결함인 CVE-2025-59363을 발견했다고 밝혔다.

5500개 기업과 11만~27만5000개 OIDC 애플리케이션에 영향

이 취약점은 원로그인(OneLogin)의 애플리케이션 열람용 API 응답이 설계 의도와 달리 평문 client_secret을 반환한 구현 오류로서, 단일 테넌트 내에서 수만~수십만 건의 OIDC 애플리케이션 비밀이 노출될 수 있었다. 이 사례는 IDP의 API 설계·응답 경계 설정과 자격 증명 관리 정책이 공급업체 간 통합 관행에 따라 어떻게 위협 증폭기로 작동하는지를 명확히 드러낸다. 

클러치 시큐리티는 /api/2/apps 엔드포인트가 애플리케이션 메타데이터와 함께 OIDC 클라이언트 시크릿을 반환하는 결함을 발견했고 이를 CVE-2025-59363으로 식별했다. 해당 취약점은 CVSS 7.7(High)로 평가되었고 원로그인은 책임 있는 공개 절차를 통해 2025.3.0 릴리스에서 문제를 수정했다고 발표했다. 

업계 추정과 클러치의 분석에 따르면 영향 범위는 전 세계 약 5500개 기업 고객과 11만~27만5000개 OIDC 애플리케이션으로 추정되어 대규모 공급망 영향 가능성이 존재했다. 

API의 정보 노출 경계 미설정 원인

문제의 근원은 API의 정보 노출 경계 미설정이다. 설계상 클라이언트 시크릿은 애플리케이션 생성 시에만 반환되어야 하나, GET Apps API v2가 목록화 용도로 호출될 때도 비밀을 포함하는 응답을 반환했다는 점이 핵심이다. 

악용 흐름은 단순하다. 유효한 원로그인 API 자격 증명을 확보한 공격자가 OAuth2 클라이언트 자격 증명 흐름으로 토큰을 발급받고 /api/2/apps를 호출해 모든 OIDC 애플리케이션의 클라이언트 시크릿을 열거·수집하는 방식이다. 이 과정을 통해 공격자는 애플리케이션을 사칭하고 표적 시스템에 대해 OAuth 토큰을 발급받아 접근 제어를 우회할 수 있다. 

추가적으로 원로그인의 당시 설정은 API에 대한 IP 기반 허용 목록 기능을 제공하지 않아 지리적 제약 없이 원격에서 악용 가능했다는 점이 실무적으로 위험을 확대했다. 

운영·공급망 위험 증폭

이 취약점으로 인해 공급업체 통합 관행의 현실적 위험이 증폭된다. 기업들은 통합 편의성 때문에 원로그인 API 키를 외부 벤더·통합 파트너와 공유하는 경우가 일반적이며, 해당 API 키가 넓은 RBAC 권한을 갖는다면 단일 벤더 침해가 다수 애플리케이션의 노출로 직결될 수 있다. 

그리고 클라이언트 시크릿 유출은 단순한 자격 증명 유출을 넘어 서비스 간 신뢰 기반을 훼손하므로 탐지·복구 비용이 매우 높다. 유출된 비밀로 생성된 토큰은 서비스 로그만으로 정상 트래픽과 구별하기 어려워 침해 식별과 범위 규명이 지연될 위험이 크다.

또한 공급망 차원의 규제·감사 영향이 발생할 수 있다. IDP 관련 침해는 다수의 규제 대상 시스템 접속을 가능케 하므로 규제 대응·고지 의무가 확산될 수 있다.

즉시 조치와 중장기 대책

즉시 조치로 원로그인 테넌트의 버전이 2025.3.0 이상인지 확인하고, 취약 기간에 사용된 모든 OIDC 애플리케이션의 클라이언트 시크릿을 강제 재생성해야 한다. 또한 API 자격 증명(키·토큰) 사용 로그를 감사하고 비정상적 발급 또는 지역 불일치 패턴을 탐지해야 한다. 

중장기 대책으로는 API 응답 최소권한 원칙(enforce least privilege for API responses) 적용, API 응답 스키마에 대한 보안 검토 자동화, 자격 증명 공유 정책의 원칙적 제한 및 벤더별 최소 권한 발급, IP·네트워크 기반 접근 통제와 같은 다중 방어선 도입을 권고한다.

또한 IDP 연동시 애플리케이션별 개별화된 클라이언트 자격 분리와 키 관리 시스템(KMS) 연동을 통해 비밀 유출의 영향 반경을 축소해야 한다.

검증·모니터링 권고

로그 보존 기간을 늘려 취약 기간의 행위를 재구성할 수 있도록 하고, EDR·SIEM 연계로 비정상 토큰 사용 시 경보를 설정할 것을 권고한다. 또한 공급업체에 발급한 API 자격 증명 목록을 정기적으로 검토하고, 서드파티 인벤토리를 유지해 권한 범위를 주기적으로 재평가해야 한다. 취약점 대응 후에는 재현 가능한 테스트 케이스로 패치 검증을 수행하고 결과를 문서화해야 한다. 

CVE-2025-59363 사건은 IDP의 작은 구현 오류가 전사적·공급망적 위험으로 증폭될 수 있음을 명확히 보여준다. 기업은 IDP를 단순한 인증 창구로 보지 말고, 공급망 위험 관리의 핵심 자산으로 인식해 API 설계·자격 증명 정책·통합 관행을 재설계해야 한다.

특히 자격 증명 공유 관행의 재검토, API 응답의 최소화, 비밀 관리·교체 자동화는 공급망 복원력 강화를 위해 즉시 도입해야 할 우선 과제이다. 원로그인의 패치 적용과 더불어 위 권고를 실행하면 유사 사고의 재발 위험을 실질적으로 낮출 수 있다.