test: JWT Redis JTI 공격 매트릭스 검증 자동화 #143
Description
근본 목적
JWT 탈취 및 세션 하이재킹 위험에 대해, 현행 JWT/Redis JTI 회전 구조가 동시성/재사용/응답 유실/순서 역전 조건에서 실제로 얼마나 정확하게 탐지하고 정상 사용자를 오감지 없이 통과시키는지 계량적으로 검증한다.
비목적
인증 구조 변경, 토큰 설계 변경, Redis 키 구조 변경, 방어 로직 리팩터링은 이번 작업 범위에서 제외한다.
성공 기준
- 공격 매트릭스 기반 자동화 실행으로 시나리오별 결과(JSON/NDJSON)를 재현 가능하게 수집한다.
- Redis 상태 전이(refresh:current, CASHED:UA_HASH)와 HTTP 결과를 같은 타임라인으로 기록한다.
- TP/FN/FP/TN 산출 규칙을 문서화하고 자동 집계 스크립트로 계산한다.
- 이슈/PR 문서에 현행 uaHash 방식의 한계(동일 UA spoof 가능성, 순서 역전 구간 오분류 가능성)를 명시한다.
수행할 작업
- 공격 매트릭스(정상/공격) 시나리오 정의 파일 작성
- Docker 기반 실행 절차와 사전 조건 문서 작성
- 시나리오 실행 스크립트 작성(동시성/응답 유실/순서 역전 포함)
- Redis 상태 수집 및 결과 집계 스크립트 작성(TP/FN/FP/TN)
- 샘플 실행 결과와 해석 가이드 문서화
참고 및 리스크
- uaHash는 짧은 TTL 내 동일 UA 재시도를 정상으로 허용하므로, UA 문자열 재현 상황에서 공격/정상 구분에 관측 공백이 생길 수 있다.
- 동시 재발급에서 응답 수신 순서가 역전되면 클라이언트 최종 쿠키와 Redis current가 불일치할 수 있으므로 별도 검증이 필요하다.