암호화 기초 - AES, RSA, 디지털 서명, 패스워드 해싱, 하이브리드 암호화

Mon, 16 Feb 2026 13:25:00 +0900

들어가며

현대 소프트웨어 시스템에서 데이터 보안은 선택이 아닌 필수입니다. 사용자 비밀번호, 개인정보, 금융 데이터 등 민감한 정보를 안전하게 보호하려면 암호화 기술을 올바르게 이해하고 적용해야 합니다.

이 글에서는 대칭키 암호화(AES), 비대칭키 암호화(RSA), 디지털 서명의 원리와 Java 구현을 실전 예제와 함께 다룹니다.

암호화가 필요한 이유

보호해야 할 데이터

저장 데이터(Data at Rest): 데이터베이스의 비밀번호, 개인정보
전송 데이터(Data in Transit): HTTPS 통신, API 요청/응답
처리 데이터(Data in Use): 메모리 상의 민감 정보

암호화 없이 발생하는 문제

// 위험한 예: 평문 저장
String password = "user1234";
db.save("INSERT INTO users (password) VALUES ('" + password + "')");
// DB 유출 시 모든 비밀번호 노출

// 위험한 예: 평문 전송
HttpClient.get("http://api.example.com/user?apiKey=secret123");
// 중간자 공격(MITM)으로 API 키 탈취 가능

암호화 적용 후

// 안전한 예: 암호화 저장
String encrypted = AESUtil.encrypt(password, secretKey);
db.save("INSERT INTO users (password) VALUES ('" + encrypted + "')");
// DB 유출되어도 암호화된 상태

// 안전한 예: HTTPS 사용
HttpClient.get("https://api.example.com/user?apiKey=secret123");
// TLS/SSL로 암호화된 통신

대칭키 암호화 (AES)

같은 키로 암호화와 복호화를 수행하는 방식입니다. 빠르고 효율적이지만 키 공유 문제가 있습니다.

JWT 인증 시스템 - Spring Security 통합, Refresh Token, 보안 설정

Mon, 16 Feb 2026 13:24:00 +0900

들어가며

웹 애플리케이션에서 사용자 인증은 가장 기본적이면서도 중요한 기능입니다. 전통적인 세션 기반 인증 방식은 서버에 상태를 저장하기 때문에 확장성과 분산 환경에서 한계가 있습니다. JWT(JSON Web Token)는 이러한 문제를 해결하는 토큰 기반 인증 방식으로, 최근 REST API와 마이크로서비스 환경에서 널리 사용되고 있습니다.

이 글에서는 JWT의 원리부터 Spring Boot와 프론트엔드에서의 실전 구현까지 다룹니다.

세션 기반 vs 토큰 기반 인증

세션 기반 인증

전통적인 방식으로, 서버가 세션 정보를 메모리나 DB에 저장합니다.

1. 사용자 로그인 → 서버가 세션 ID 생성 → 메모리/DB 저장
2. 클라이언트에 세션 ID 쿠키 전송
3. 이후 요청마다 쿠키로 세션 ID 전송 → 서버가 세션 저장소 조회

장점:

보안 on Korobopolly's Dev Blog

암호화 기초 - AES, RSA, 디지털 서명, 패스워드 해싱, 하이브리드 암호화

들어가며

암호화가 필요한 이유

보호해야 할 데이터

암호화 없이 발생하는 문제

암호화 적용 후

대칭키 암호화 (AES)

JWT 인증 시스템 - Spring Security 통합, Refresh Token, 보안 설정

들어가며

세션 기반 vs 토큰 기반 인증

세션 기반 인증