보안 기초 — 암호화와 사이버 위협 대응

왜 보안을 알아야 하는가

2023년 한국 사이버 보안 현황:
→ 랜섬웨어 피해 기업 수 전년 대비 32% 증가
→ 데이터 유출 사고 1건당 평균 피해: 약 45억 원
→ 개인정보 유출 신고 건수: 연간 수천 건

개발자가 보안을 모르면:
→ SQL 인젝션 한 줄로 DB 전체 노출
→ XSS로 모든 사용자 쿠키 탈취
→ 평문 비밀번호 저장 → 서비스 신뢰 폭락

---

암호화 기초

대칭 암호화

같은 키로 암호화·복호화:
평문 + 키 → 암호문 → 키 + 암호문 → 평문

장점: 빠름
단점: 키 교환 문제 (어떻게 안전하게 키를 전달?)

알고리즘: AES (Advanced Encryption Standard)
→ 128/256비트 키, 현재 표준

비대칭 암호화 (공개키 암호화)

공개키(Public Key): 누구에게나 공개 → 암호화에 사용
개인키(Private Key): 본인만 보유 → 복호화에 사용

흐름:
발신자 → 수신자의 공개키로 암호화 → 전송
수신자 → 자신의 개인키로 복호화

알고리즘: RSA, ECC
단점: 대칭 대비 느림 → 실제로는 하이브리드 사용
(대칭키를 공개키로 암호화해서 전달 → HTTPS)

---

HTTPS와 TLS 핸드셰이크

1. 클라이언트 → 서버: "TLS 버전, 지원 암호화 알고리즘 목록"
2. 서버 → 클라이언트: "선택한 알고리즘, SSL 인증서"
3. 클라이언트: 인증서 유효성 검증 (CA 서명 확인)
4. 세션 키 교환 (비대칭으로 대칭키 교환)
5. 이후 통신: 대칭키로 암호화

SSL 인증서:
→ CA(인증 기관)가 서버 신원 보증
→ 브라우저의 🔒 아이콘 = 유효한 인증서
→ Let's Encrypt: 무료 인증서 (널리 사용)

---

주요 해시 함수

해시(Hash): 임의 길이 데이터 → 고정 길이 출력
→ 단방향 (복호화 불가)
→ 같은 입력 = 항상 같은 출력
→ 미세한 입력 변화 = 완전히 다른 출력 (눈사태 효과)

용도:
비밀번호 저장: bcrypt, Argon2 (단순 MD5/SHA1 금지!)
데이터 무결성: 파일 다운로드 후 SHA256 체크
블록체인: 각 블록의 해시로 체인 연결

---

주요 공격 유형과 방어

SQL 인젝션

공격:
입력값: ' OR '1'='1
쿼리: SELECT * FROM users WHERE id='' OR '1'='1'
결과: 모든 사용자 정보 반환

방어:
→ 준비된 구문(Prepared Statement) / 파라미터 바인딩 필수
→ 입력값 검증 및 이스케이프
→ 최소 권한 DB 계정 사용

XSS (교차 사이트 스크립팅)

공격:
악성 스크립트를 게시글에 삽입 → 다른 사용자 브라우저에서 실행
→ 쿠키·세션 탈취, 피싱 페이지 리다이렉트

방어:
→ 사용자 입력 HTML 이스케이프 (< → <)
→ Content Security Policy (CSP) 헤더 설정
→ HttpOnly 쿠키 (JS 접근 차단)

CSRF (교차 사이트 요청 위조)

공격:
피해자가 악성 사이트 방문 → 피해자 권한으로 다른 사이트에 요청 전송

방어:
→ CSRF 토큰 (각 요청에 고유 토큰)
→ SameSite 쿠키 속성
→ Referer 헤더 검증

---

인증과 인가

인증 (Authentication): 당신이 누구인지 확인
인가 (Authorization): 당신이 무엇을 할 수 있는지 결정

JWT (JSON Web Token):
→ 상태 없는 인증 토큰
→ Header.Payload.Signature 구조
→ 서버가 서명 검증 → DB 조회 불필요

OAuth 2.0:
→ 소셜 로그인 ("Google로 로그인")
→ 리소스 소유자의 위임 인가

---

핵심 암기 포인트

대칭: 같은 키로 암호화/복호화 (빠름) / 비대칭: 공개키 암호화+개인키 복호화 (느림) HTTPS = HTTP + TLS (비대칭으로 대칭키 교환 후 통신) SQL 인젝션 방어: Prepared Statement 필수 비밀번호 저장: bcrypt/Argon2 해시 (평문·MD5·SHA1 금지)