[ Spring Boot ] Jasypt: Spring Boot에서 간단하고 안전한 암호화

 

 

 

 

 

🌱 Spring Boot - Jasypt

 

애플리케이션 개발 중 민감한 정보(예: 데이터베이스 연결 정보, API 키, 비밀번호 등)를 관리하는 일은 보안의 핵심 요소이다. 하지만 이런 정보를 평문으로 설정 파일에 저장하면 보안 문제가 발생할 수 있다. 이를 해결하기 위해 **Jasypt(Java Simplified Encryption)**를 사용할 수 있다. Jasypt는 Spring Boot와 쉽게 통합되어 민감한 정보를 암호화하고 안전하게 관리할 수 있는 간단하면서도 강력한 솔루션을 제공한다. 

 

 

Jasypt

Jasypt(Java Simplified Encryption)은 Java 애플리케이션에서 암호화 및 복호화를 간단하게 처리할 수 있도록 설계된 라이브러리이다. 특히 Spring Boot와 통합하면 설정 파일에 포함된 민감한 데이터를 암호화한 상태로 저장하고, 애플리케이션 실행 시 자동으로 복호화할 수 있다. 

 

Jasypt의 주요 특징:

• AES, PBE 등 다양한 암호화 알고리즘 지원
• 설정 파일에 포함된 암호화된 데이터 자동 복호화
• 간단한 설정과 사용법

 

 

Jasypt 설정하기

의존성 추가

build.gradle에 의존성을 추가한 후 프로젝트 빌드 

 

dependencies {
    implementation 'com.github.ulisesbocchio:jasypt-spring-boot-starter:3.0.5'
}

 

 

 

 

Jasypt 설정 클래스 작성

 

@Configuration
@Slf4j
public class JasyptConfig {

    @Bean("jasyptStringEncryptor")
    public StringEncryptor stringEncryptor() {

        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();

        // 암호화 키 설정: 환경 변수 또는 시스템 속성에서 읽음
        String encryptionKey = System.getenv("JASYPT_ENCRYPTOR_PASSWORD");
        if ( StringUtils.isBlank(encryptionKey) ) {
            throw new IllegalStateException("JASYPT_ENCRYPTOR_PASSWORD 환경변수가 설정되지 않았습니다.");
        }

        // Jasypt 암호화 기본 설정
        config.setPassword(encryptionKey);
        config.setAlgorithm("PBEWithMD5AndDES");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setStringOutputType("base64");

        encryptor.setConfig(config);
        log.info("Jasypt StringEncryptor가 성공적으로 설정되었습니다.");

        return encryptor;
    }
}

 

 

config.setPassword(encryptionKey)

암호화/복호화를 위한 비밀 키를 설정한다. 이 키는 민감한 정보를 암호화할 때 사용되며, 동일한 키가 있어야 복호화가 가능하다. 

 

중요사항:

- 안전한 환경 변수나 외부 비밀 관리 서비스를 사용해 관리

- 이 값은 소스 코드에 직접 포함 x

 

 

 

 

config.setAlgorithm("PBEWithMD5AndDES")

암호화에 사용할 알고리즘을 설정한다. 여기서 PBEWithMD5AndDES는 Password-Based Encryption(PBE) 알고리즘으로, MD5 해싱과 DES(Data Encryption Standard)를 사용한다.

 

기본값: Jasypt의 기본 알고리즘은 PBEWithMD5AndDES

다른 옵션: 

- PBEWithSHA256And128BitAES-CDC-BC (더 안전한 알고리즘)

- PBEWithSHA256And192BitAES-CDC-BC

가능하면 더 강력한 알고리즘(AES 기반)을 권장한다.

 

 

 

 

config.setKeyObtentionIterations("1000")

암호화 키를 생성할 때 반복적으로 적용할 해싱의 횟수를 설정한다. 반복 횟수가 많을 수록 암호화는 더 안전하지만, 성능에 영향을 줄 수 있다. 

 

기본값: 1000

추천 값: 보안을 강화하려면 10000 이상의 값을 사용할 수 있다. 

주의: 너무 높은 값을 설정하면 성능 문제가 발생할 수 있다.

 

 

 

 

config.setPoolSize("1")

암호화/복호화를 처리할 때 사용할 스레드 풀의 크기를 설정한다.

 

기본값: 1

추천 값: 일반적으로 1로 설정하지만, 높은 트래픽 환경에서는 더 큰 값을 설정하여 성능을 개선할 수 있다.

주의: 너무 큰 값을 설정하면 메모리 사용량이 증가할 수 있다.

 

 

 

 

 config.setProviderName("SunJCE")

암호화 작업에 사용할 JCE(Java Cryptography Extension) 제공자를 지정한다. 

 

기본값: SunJCE (Java의 기본 제공자)

다른 옵션:

- BC (Bouncy Castle 암호화 제공자)와 같은 외부 제공자를 사용할 수 있다.

- Bouncy Castle은 더 당야한 알고리즘을 지원하므로 필요에 따라 사용할 수 있다.

 

 

 

 

config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator")

암호화에 사용할 Salt(난수)를 생성하는 클래스 이름을 설정한다. Salt는 동일한 값이 암호화되더라도 다른 결과를 생성하도록 하는 데 사용된다.

 

기본값: RandomSaltGenerator

다른 옵션:

- ZeroSaltGenerator: Salt를 사용하지 않음 (보안성이 떨어짐)

- FixedSaltGenerator: 고정된 Salt 사용 (테스트 목적으로 사용)

일반적으로 RandomSaltGenerator를 사용하는 것이 안전하다.

 

 

 

 

config.setStringOutPutType("base64")

암호화된 데이터를 어떤 형식으로 출력할지 설정한다.

 

기본값: base64 (암호화된 데이터를 base64 형식으로 출력. 사람이 읽을 수 있는 형태로 파일 저장시 유용)

다른 옵션:

- hexadecimal: 암호화된 데이터를 16진수 형식으로 출력

 

 

 

 

암호화 키 설정

Jasypt는 암호화 키가 필요하다. 이 키는 보안의 핵심이므로, 반드시 안전한 방식으로 관리해야 한다.

 

환경 변수로 설정 (추천)

Window

 

set JASYPT_ENCRYPTOR_PASSWORD=your-secret-key

 

 

Linux/Mac

 

export JASYPT_ENCRYPTOR_PASSWORD=your-secret-key

 

 

명령줄 인수로 전달

 

java -Djasypt.encryptor.password=your-secret-key -jar your-app.jar

 

 

 

 

Jasypt 사용한 Datasource 암호화 설정 상세

 

https://euntry.tistory.com/67

[ Spring Boot ] Spring Boot에서 Datasource 암호화하기