Polpid's Pensieve

요즘은 정말 개인 정보 유출에 대한 사건, 사고들이 많이 발생한다. 하루가 멀다하고 어느 사이트에서 수십, 수백만 건의 사용자 정보가 유출 되었다는 기사를 자주 듣게 된다. 그만큼 개인 정보를 탈취해서 악용 하려는 사람들이 많아지고 있다. 그래서 요즘은 개인 정보를 DB에 저장할 때에는 무조건 암호화를 해야 한다. 권장이 아니라 필수이다. 

이 책에서는 각종 암호화에 대한 이론들에 대해서 설명을 해준다. 어떻게 만들어 졌으며 어떻게 만들어야 하는지에 대해서 자세히 설명해주고 있다. 그리고 암호화 기법에 대한 장,단점과 사용 사례들도 말해준다. 암호화 기법을 설명하면서 암호화 기법이 갖고 있는 장점, 그리고 어떤 부분이 취약한지, 그 취약한 부분에 의해서 어떠한 일들이 발생할 수 있는지 자세히 설명해준다. 그리고 그 부분을 극복 하려면 어떻게 해야 하는지도 설명해준다. 

내가 이렇게 RSA관련 부분을 일부 캡쳐를 한것은 업무 할 때에 가장 많이 사용하고 친숙해서 이부분을 먼저 읽었다. 그냥 툴에서 지원해주는 것만 쓸줄 알았지 이게 어떻게 구현되어있는지 생각해본적은 없었는데 이렇게 자세히 설명을 해준다. 

그리고 구현 방법도 알려준다. 그런데 위에 저자도 말했듯이 그런 일은 없길 바래야 할것 같다. 구현을 해봐야겠다는 생각도 안해봤지만 일단 복잡하다. 저자가 충분히 알아듣게 설명을 해주고 있는데도 이해하는데 상당히 어렵다. 

그래서 내가 읽으면서 생각해본 이책에 대한 장,단점은 이렇다.

장점

- 암호화에 대한 내용을 기초부터 심화까지 자세히 알수 있다. 대학교에서 전공 서적으로 사용해도 될것 같다.

단점

- 내용이 어렵다. 암호화라는 것 자체가 쉬운 내용이 아니기 때문에 당연한거다. 그래서 이 책을 읽기 위해서는 수학적 지식도 많이 필요하다. 그렇지 않으면 이해하기가 쉽지 않다. 

그래서 결론적으로 어느정도 암호화에 대해서 알고 있는 사람이 심화로 공부하기에 좋은 책이라는 생각이 들었다. 

프로젝트 내부에는 설정파일들이 많이 있다. 대표적인 항목이 DB 접속 정보가 있다. 

그런데 이 접속정보에는 ID, PASSWORD 가 항상 존재 한다. ID는 상관이 없지만 PASSWORD 정보가 파일 내부에 평문으로 적혀있으면 외부에 노출될 위험이 있다. 그래서 암호화를 해야 한다. 

Jasypt를 이용하면 이런 항목들을 쉽게 암호화 할 수 있다. 

먼저 라이브러리를 다운로드 받는다.

http://www.jasypt.org/download.html

사이트에 들어가보면 상단에 DOWNLOAD JASYPT 라는 링크가 있다. 그 걸 누르면 라이브러리를 다운로드 받을 수 있다. 

이 글을 쓰는 시점의 버전은 1.9.2 이다. 

다운로드 한다음 사용 방법은 간단하다. 압축을 푼후에 bin 폴더로 이동한다. 

그리고 콘솔창(윈도우cmd 창)에서 아래와 같이 입력한다. 

input 항목에는 실제 사용하고 있는 패스워드를 입력하면 되고 password 항목에는 암호화된 값을 복호화 할때 사용되는 key 값을 넣으면 된다. 임의로 정해서 넣으면 된다.

compile('com.github.ulisesbocchio:jasypt-spring-boot-starter:1.4-java7')