GNAP (Grant Negotiation and Authorization Protocol)

개요

GNAP(Grant Negotiation and Authorization Protocol)은 OAuth 2.0의 후속 프로토콜로 제안된 사용자 중심의 인증 및 권한 부여 프레임워크입니다. 권한 부여 주체와 클라이언트 간의 협상을 중심으로 설계되어 보다 유연하고 분산화된 인증 흐름을 지원하며, 클라이언트 등록, 사용자 상호작용, 다중 장치 인증, 암호 없는 인증 방식 등 현대적 요구를 포괄합니다.

---

1. 개념 및 정의

GNAP은 클라이언트가 권한을 요청하는 방식을 보다 세분화하고, 권한 부여 서버와 독립적인 상호작용을 통해 액세스 권한을 안전하게 위임하는 구조를 제공합니다.

• 기반: OAuth 2.0의 한계를 해결하기 위한 새로운 표준 제안
• 중심 개념: 클라이언트-사용자 간 협상 기반 권한 부여
• 대상 환경: 분산 시스템, IoT, 웹/모바일 앱, 암호 없는 인증 등

---

2. 특징

항목	GNAP 특징	OAuth 2.0과의 차이
사용자 중심성	사용자 인증 흐름을 분리 가능	인증 절차에 사용자 개입 필요
동적 클라이언트	사전 등록 없이 동적 생성 가능	클라이언트 사전 등록 필요
암호 없는 인증	WebAuthn, FIDO2 등 지원	암호 중심 인증 방식 위주

GNAP은 OAuth보다 더 유연하고 미래 지향적인 설계를 기반으로 합니다.

---

3. 구성 요소

구성 요소	설명	주요 역할
Authorization Server	액세스 권한 발급 주체	권한 부여 및 토큰 발급 관리
Client Instance	클라이언트를 대표하는 엔터티	사용자와 협상 수행, 요청 전송
Resource Server	보호 자원을 소유한 서버	토큰 기반 리소스 제공
Interaction URL	사용자와의 인증 상호작용 채널	인증 수단 제공 (앱, QR 등)

각 구성 요소는 독립적으로 설계되어 보안성과 확장성을 보장합니다.

---

4. 기술 요소

기술 요소	설명	활용 목적
JSON 기반 메시징	모든 요청 및 응답이 JSON 형식	구조화된 통신 지원
Proof-of-Possession	액세스 토큰 사용 증명	토큰 도난 및 재사용 방지
Detached Signature	메시지 서명 분리 처리	메시지 무결성 확보
암호 없는 인증	FIDO2, WebAuthn, OTP 등 지원	사용자 인증 UX 향상 및 보안 강화

이러한 기술은 GNAP의 보안성과 사용자 친화성을 동시에 실현합니다.

---

5. 장점 및 이점

장점	설명	기대 효과
유연한 인증 시나리오	사용자의 인증 수단에 따라 다양한 방식 적용 가능	사용자 경험 개선 및 보안 강화
확장성	IoT 및 에이전트 기반 환경에 적합	M2M 인증 및 자율화 지원
프라이버시 보장	최소 권한 부여 및 사용자 제어 강화	개인정보 노출 최소화

GNAP은 사용자 제어 기반 접근 제어를 통해 보안성을 높입니다.

---

6. 주요 활용 사례 및 고려사항

사례	설명	고려사항
탈중앙 인증 시스템	암호 없는 인증과 사용자 주도 권한 협상	사용자 인증 UX 디자인 중요
IoT 기기 인증	M2M 환경에서의 동적 토큰 발급	리소스 제약 장치에 맞는 경량화 필요
SaaS 플랫폼 연계	클라이언트 자동 등록 및 토큰 발급	다중 테넌시 환경에서의 권한 격리 필요

GNAP은 새로운 보안 모델 도입을 위한 인프라 준비가 필요합니다.

---

7. 결론

GNAP은 OAuth의 단점을 극복하고 현대 디지털 환경에 적합한 인증 및 권한 부여 메커니즘을 제공합니다. 사용자 중심, 암호 없는 인증, 동적 클라이언트 협상 구조 등은 보안과 사용성, 확장성을 동시에 추구하는 미래형 보안 아키텍처의 핵심 요소로 자리잡고 있으며, 향후 인증 및 접근 제어 표준으로서 광범위하게 채택될 가능성이 높습니다.