🚀 Java 개발자를 위한 현대 보안 가이드

Source: Dev.to

Zero‑Trust 규칙 – 사용자가 누구인지 확인하고, 그들이 무엇에 접근할 수 있는지 검증하며, VPC 내부라도 암묵적인 신뢰를 두지 마세요.

핵심 흐름

Client → API Gateway → Authorization Server → Resource Server

Zero‑Trust 규칙

• 사용자가 누구인지 확인합니다.
• 사용자가 무엇에 접근할 수 있는지 확인합니다.
• 암묵적인 신뢰 금지 — VPC 내부라도 마찬가지입니다.
• 토큰은 항상 단기간에 만료되도록 합니다.

JWT — 비대칭 키 사용 (RS256)

키 전략

• Private Key: Authorization Server에만 보관합니다.
• Public Key: 검증을 위해 Gateway와 마이크로서비스에 공유합니다.

Step 1: RSA 키 생성

openssl genrsa -out private.pem 4096
openssl rsa -in private.pem -pubout -out public.pem

Step 2: Spring Boot JWT 검증 (Public Key)

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
        )
        .oauth2ResourceServer(oauth -> oauth
            .jwt(jwt -> jwt.publicKey(publicKey()))
        )
        .sessionManagement(session -> session
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        );
    return http.build();
}

@Bean
public RSAPublicKey publicKey() throws Exception {
    String key = Files.readString(Path.of("public.pem"))
            .replace("-----BEGIN PUBLIC KEY-----", "")
            .replace("-----END PUBLIC KEY-----", "")
            .replaceAll("\\s", "");

    byte[] decoded = Base64.getDecoder().decode(key);
    return (RSAPublicKey) KeyFactory
            .getInstance("RSA")
            .generatePublic(new X509EncodedKeySpec(decoded));
}

방어 목록 – 보안 HTTP 헤더

• Content‑Security‑Policy (CSP): 악성 JS 삽입을 차단하여 대부분의 XSS를 방지합니다.
• Strict‑Transport‑Security (HSTS): HTTPS를 강제하고 SSL 다운그레이드를 방지합니다.
• X‑Frame‑Options: 프레임 삽입을 차단해 클릭재킹을 방지합니다.
• X‑Content‑Type‑Options: MIME 스니핑을 차단합니다.

보안 헤더 설정 (Spring Security)

http.headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
        .policyDirectives("default-src 'self'; script-src 'self'")
    )
    .xssProtection(xss -> xss.block(true))
    .frameOptions(HeadersConfigurer.FrameOptionsConfig::deny)
    .httpStrictTransportSecurity(hsts -> hsts
        .includeSubDomains(true)
        .maxAgeInSeconds(31536000)
    )
    .contentTypeOptions(Customizer.withDefaults())
);

CSRF 설정

• JWT를 헤더에 사용할 때: CSRF를 비활성화합니다 (토큰 자체가 보호 역할을 함).

http.csrf(csrf -> csrf.disable());

• 쿠키 기반 인증을 사용할 때: CSRF 보호를 활성화합니다.

입력 검증 및 정화

// Example using Google's JSON Sanitizer (or similar)
String sanitized = JsonSanitizer.sanitize(userInput);

// Log sanitized data only
log.info("User input: {}", sanitized);

// Simple length check
if (userInput.length() > 200) {
    throw new BadRequestException();
}

API Gateway 역할

흐름: Client → WAF → Load Balancer → API Gateway → Microservices

• 중앙 집중식 인증
• JWT 검증
• Rate limiting 및 IP 차단 리스트
• 라우트 격리

Spring Cloud Gateway Token Relay 예시

spring:
  cloud:
    gateway:
      routes:
        - id: secure-service
          uri: http://localhost:8082
          predicates:
            - Path=/secure/**
          filters:
            - RemoveRequestHeader=Cookie
            - TokenRelay

Stateless architecture – JWT를 사용하면 세션 스티키니스가 필요 없습니다.

Client
   |
Load Balancer
   ↓
Microservice A ↔ Microservice B

Actuator 노출 관리

전체 시스템 메타데이터가 유출되지 않도록 노출을 명시적으로 설정합니다:

management.endpoints.web.exposure.include=health,info
management.endpoints.web.exposure.exclude=env,beans

비밀번호 인코딩

직접 암호화 로직을 구현하지 마세요. BCrypt를 사용하면 의도적으로 느리게 동작해 무차별 대입 공격에 강합니다.

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder(12);
}

Enterprise Control List (계층형 보안)

아키텍처 청사진

📱 Client
   ↓ (TLS 1.3)
🌐 API Gateway (JWT validation, throttling)
   ↓
🔐 Microservices (RBAC + scopes)
   ↓
🗄 Encrypted Database (least‑privilege access)

정리

대부분의 프로젝트는 로그인 페이지만 보호합니다. 엔터프라이즈 수준 시스템은 모든 계층에서 보호가 필요합니다. 여기서 제시한 실천 항목 중 절반이라도 적용하면 대부분의 개발자보다 앞서 나갈 수 있습니다. 🚀