본문 바로가기
카테고리 없음

[Spring Boot] Security6 암호(비밀번호) 관리 방법 인코딩, 암호화, 해싱

Victor_developer 2024. 6. 3. 19:35

 

 

 

인코딩 (Encoding)

정의: 인코딩은 데이터를 한 형식에서 다른 형식으로 변환하는 과정입니다. 인코딩은 주로 데이터를 전송하거나 저장하기 위해 특정 형식으로 변환하는 데 사용됩니다. 인코딩 자체는 보안 목적이 아니며 암호학과는 관련이 없습니다.

특징:

  • 비밀 필요 없음: 인코딩 과정에는 비밀 키나 비밀 정보가 필요하지 않습니다. 누구나 인코딩과 디코딩을 수행할 수 있습니다.
  • 되돌릴 수 있음: 인코딩된 데이터는 원본 데이터로 완전히 되돌릴 수 있습니다. 즉, 인코딩은 가역적입니다.
  • 목적: 인코딩은 데이터의 형식을 변환하여 전송이나 저장을 쉽게 하거나, 특정 시스템이 데이터를 처리할 수 있도록 합니다.

사용 예시:

  • ASCII: 문자 데이터를 컴퓨터가 이해할 수 있는 숫자 형식으로 변환합니다.
  • BASE64: 바이너리 데이터를 텍스트 형식으로 변환하여 전송이나 저장을 쉽게 합니다.
  • UNICODE: 다양한 언어와 문자를 표준화된 형식으로 인코딩합니다.

암호화 (Encryption)

정의: 암호화는 데이터를 기밀성을 보장할 수 있는 형식으로 변환하는 과정입니다. 암호화는 데이터의 무단 접근을 방지하는 데 사용되며, 암호화된 데이터를 해독(decrypt)하려면 비밀 키가 필요합니다.

특징:

  • 기밀성: 암호화된 데이터는 키를 가진 사람만이 원본 데이터를 복원할 수 있습니다.
  • 가역성: 암호화된 데이터는 키를 사용하여 원본 데이터로 되돌릴 수 있습니다.
  • 키 필요: 기밀성을 유지하기 위해서는 비밀 키가 필요합니다. 키는 암호화와 해독 과정에서 중요한 요소입니다.

목적: 암호화는 데이터를 보호하여 기밀성을 유지하고, 무단 접근이나 도청을 방지합니다.

예시:

  • 대칭 키 암호화: 동일한 키로 암호화와 해독을 수행합니다 (예: AES).
  • 비대칭 키 암호화: 공개 키로 암호화하고, 비밀 키로 해독을 수행합니다 (예: RSA).

해싱 (Hashing)

정의: 해싱은 데이터를 고정 길이의 해시 값으로 변환하는 과정입니다. 해싱 함수는 입력 데이터가 동일할 때마다 동일한 해시 값을 생성하지만, 입력 데이터를 추정하는 것은 불가능합니다.

특징:

  • 비가역성: 해싱된 데이터는 되돌릴 수 없습니다. 한 번 해싱된 데이터에서 원본 데이터를 알 수 없습니다.
  • 무결성 확인: 해시 값을 통해 데이터의 무결성을 확인할 수 있습니다. 동일한 입력 데이터는 동일한 해시 값을 생성하므로 데이터가 변경되지 않았음을 확인할 수 있습니다.
  • 고정 길이 출력: 입력 데이터의 길이에 관계없이 일정한 길이의 해시 값을 생성합니다.

목적: 해싱은 주로 데이터의 무결성을 확인하거나 비밀번호를 안전하게 저장하는 데 사용됩니다.

예시:

  • SHA-256: 보안 해시 알고리즘으로, 256비트 해시 값을 생성합니다.
  • MD5: 128비트 해시 값을 생성하는 알고리즘으로, 현재는 보안에 취약하여 사용이 권장되지 않습니다.

요약

  • 인코딩:
    • 데이터 형식 변환
    • 되돌릴 수 있음
    • 보안 목적이 아님
    • 예시: ASCII, BASE64, UNICODE
  • 암호화:
    • 데이터 기밀성 보장
    • 비밀 키 필요
    • 되돌릴 수 있음
    • 예시: AES, RSA
  • 해싱:
    • 데이터 무결성 확인
    • 되돌릴 수 없음
    • 비밀번호 관리에 주로 사용
    • 예시: SHA-256, MD5

인코딩, 암호화, 해싱은 각각의 목적과 특징이 다르므로, 사용 용도에 맞게 적절한 방법을 선택하여 데이터의 안전성과 무결성을 보장해야 합니다.

 

해싱은 비밀번호를 안전하게 저장하고 검증하는 데 많이 사용되는 방법입니다.

비밀번호 검증 과정

  1. 비밀번호 저장:
    • 사용자 등록 시 입력한 비밀번호를 서버에서 해싱합니다.
    • 해싱된 비밀번호를 데이터베이스에 저장합니다.
    • 이 때 해싱 알고리즘(예: SHA-256, bcrypt 등)을 사용하여 비밀번호를 해시값으로 변환합니다.
    • 중요한 점은 해싱된 비밀번호는 원래의 일반 텍스트 비밀번호로 되돌릴 수 없다는 것입니다. 이는 보안을 강화합니다.
  2. 로그인 시 비밀번호 검증:
    • 사용자가 로그인할 때 입력한 비밀번호를 서버에서 받아옵니다.
    • 서버는 입력된 비밀번호를 데이터베이스에 저장된 해시값과 비교하기 위해 동일한 해싱 알고리즘을 사용하여 해싱합니다.
    • 이렇게 해서 생성된 새로운 해시값과 데이터베이스에 저장된 해시값을 비교합니다.
  3. 비교:
    • 두 해시값이 일치하면, 사용자가 올바른 비밀번호를 입력한 것이므로 로그인 성공입니다.
    • 해시값이 일치하지 않으면, 비밀번호가 틀린 것이므로 로그인 실패입니다.

해싱의 장점

  • 비가역성: 해싱은 비밀번호를 단방향으로 변환합니다. 즉, 해싱된 값으로부터 원래의 비밀번호를 복원할 수 없습니다. 이는 비밀번호가 유출되더라도 원래의 비밀번호를 알 수 없게 하여 보안을 강화합니다.
  • 보안성: 해싱된 비밀번호를 저장함으로써, 데이터베이스가 해킹당하더라도 해커가 원래 비밀번호를 알아내기 어렵습니다.
  • 검증의 간편함: 해싱된 값끼리 비교함으로써 비밀번호 검증이 간단하고 효율적입니다.

해싱 vs 암호화

  • 해싱:
    • 비가역적 (원본 데이터를 복원할 수 없음)
    • 비밀번호 저장과 같은 무결성 검증에 사용
    • 예: SHA-256, bcrypt
  • 암호화:
    • 가역적 (원본 데이터를 복원할 수 있음)
    • 데이터를 전송할 때 기밀성을 보장하기 위해 사용
    • 예: AES, RSA

왜 해싱을 많이 사용하는가?

비밀번호 검증과 저장의 목적에 있어서, 해싱은 비밀번호를 안전하게 보관하고 검증하는 데 이상적입니다. 암호화는 원본 데이터를 복원할 수 있다는 점에서 전송 중 데이터 보호에 유용하지만, 비밀번호를 저장하는 데는 적합하지 않습니다. 따라서 해싱이 비밀번호 관리에 더 많이 사용됩니다.

 

 

 

결론)

인코딩 (Encoding)

  • 목적: 데이터를 다른 형식으로 변환하여 쉽게 읽거나 전송할 수 있도록 함.
  • 과정: 일반 텍스트 비밀번호 -> 인코딩된 텍스트
  • 특징: 디코딩을 통해 쉽게 원래의 텍스트로 복원할 수 있음.
  • 문제점: 보안성이 없음. 디코딩하면 쉽게 원본 비밀번호를 알 수 있음.

2. 암호화 (Encryption)

  • 목적: 데이터를 보호하기 위해 비밀 키를 사용하여 데이터를 암호화.
  • 과정: 일반 텍스트 비밀번호 -> 암호화된 텍스트 (비밀 키 사용)
  • 복호화: 동일한 비밀 키를 사용하여 암호화된 텍스트를 다시 일반 텍스트로 변환.
  • 문제점: 암호화된 텍스트와 비밀 키가 유출되면 비밀번호가 복호화될 수 있음. 비밀번호 관리에 부적합.

3. 해싱 (Hashing)

  • 목적: 비밀번호를 안전하게 저장하고 검증하기 위해 수학적 알고리즘을 사용하여 데이터를 해시값으로 변환.
  • 과정: 일반 텍스트 비밀번호 -> 해시값
  • 특징: 비가역성 (해시값으로부터 원본 비밀번호를 복원할 수 없음).
  • 비교 방법: 사용자가 입력한 비밀번호를 해싱하여 데이터베이스에 저장된 해시값과 비교.
  • 장점: 해시값은 복원할 수 없으므로, 유출되더라도 원본 비밀번호를 알 수 없음. 비밀번호 관리에 가장 적합한 방법.

티스토리툴바