jaysypt 모듈에 대한 질문입니다.
- 작성자 :
- 김*웅
- 작성일 :
- 2016-08-14 20:02:57
- 조회수 :
- 877
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
안녕하세요. 스프링 프레임워크 공부하고 있는 학생입니다.
시큐어 코딩 관련해서 질문인데요..
시큐어 코딩을 위해서 데이터베이스 접속 패스워드를 jaysypt로 암호화 하는걸 확인했습니다. 이는 대칭키 암호화 방식으로 보이는데
소스코드에 있는 값을 암호화 하는 이유는 소스코드가 유출 될 우려로 인해 하는 것이라고 생각합니다.
그런데 소스코드를 보면 평문으로 된 암호화 키를 확인할 수 있는데 이러면 암호화는 무용지물인게 아닌가요??
왜냐하면 대칭키 방식이기 때문에 키를 알면 똑같은 암호 알고리즘으로 다시 복호화 할 수 있으니까요.
제가 잘못 알 고 있는것인지 궁금합니다.
답변 부탁드립니다.
시큐어 코딩 관련해서 질문인데요..
시큐어 코딩을 위해서 데이터베이스 접속 패스워드를 jaysypt로 암호화 하는걸 확인했습니다. 이는 대칭키 암호화 방식으로 보이는데
소스코드에 있는 값을 암호화 하는 이유는 소스코드가 유출 될 우려로 인해 하는 것이라고 생각합니다.
그런데 소스코드를 보면 평문으로 된 암호화 키를 확인할 수 있는데 이러면 암호화는 무용지물인게 아닌가요??
왜냐하면 대칭키 방식이기 때문에 키를 알면 똑같은 암호 알고리즘으로 다시 복호화 할 수 있으니까요.
제가 잘못 알 고 있는것인지 궁금합니다.
답변 부탁드립니다.
A
김시웅님 안녕하세요.
표준프레임워크센터입니다.
암호화에 대한 정의는 보다 신뢰성 높은 자료를 쉽게 찾아보실 수 있으니 별도로 확인해 보시는 것이 좋을 것 같습니다.
개인적인 소견으로 답변을 드리자면,
대칭키에 대한 암호화 방식은 암호의 키가 노출되지 않도록 관리되어야 한다는 전재로 사용하는 것입니다.
따라서 키가 노출되었다면 조치를 취하여 보안을 유지해야 하는 것이죠.
그리고, 질문에 언급된 소스코드의 유출에 따른 암호화 사용이라는 의견보다는
운영정보 (DB에 저장되어 있는 패스워드 등의 중요한 정보) 가 누출되었을 때 해석을 방지하기 위한 것으로 볼수 있을 것 같습니다.
DB 또는 의도하지 않은 경로로 정보가 누출되는 상황이 발생할 경우, 이미 누출된 정보가 암호화되어 있다면 정보누출에 의한 사고로 발생하는 피해를 어느정도 제한할 수 있는 것이죠.
궁금한 부분이 풀리셨길 바랍니다.
감사합니다.
표준프레임워크센터입니다.
암호화에 대한 정의는 보다 신뢰성 높은 자료를 쉽게 찾아보실 수 있으니 별도로 확인해 보시는 것이 좋을 것 같습니다.
개인적인 소견으로 답변을 드리자면,
대칭키에 대한 암호화 방식은 암호의 키가 노출되지 않도록 관리되어야 한다는 전재로 사용하는 것입니다.
따라서 키가 노출되었다면 조치를 취하여 보안을 유지해야 하는 것이죠.
그리고, 질문에 언급된 소스코드의 유출에 따른 암호화 사용이라는 의견보다는
운영정보 (DB에 저장되어 있는 패스워드 등의 중요한 정보) 가 누출되었을 때 해석을 방지하기 위한 것으로 볼수 있을 것 같습니다.
DB 또는 의도하지 않은 경로로 정보가 누출되는 상황이 발생할 경우, 이미 누출된 정보가 암호화되어 있다면 정보누출에 의한 사고로 발생하는 피해를 어느정도 제한할 수 있는 것이죠.
궁금한 부분이 풀리셨길 바랍니다.
감사합니다.