하드코딩된 암호화 키 사용

Use of Hardcoded Cryptographic Key

설명

하드코딩된 암호화 키 사용(Use of Hardcoded Cryptographic Key)은 암호화 키를 소스 코드에 직접 포함하는 취약성입니다. 이는 소스 코드가 유출될 경우 심각한 보안 위험을 초래할 수 있습니다. 암호화 키가 하드코딩되면, 키를 변경하기 어렵고 여러 시스템에서 동일한 키를 사용하게 되어 보안이 약화됩니다.

잠재적 영향

키 유출: 하드코딩된 키가 유출되어 공격자가 암호화된 데이터를 복호화할 수 있습니다.
데이터 유출: 민감한 데이터가 공격자에게 노출될 수 있습니다.
보안 약화: 동일한 키를 여러 시스템에서 사용하면 전체 보안이 약화됩니다.

해결 방법

환경 변수 사용: 암호화 키를 소스 코드에 하드코딩하지 않고 환경 변수로 설정합니다.
안전한 키 관리: 암호화 키는 안전하게 저장하고 접근을 제한합니다.
보안 라이브러리 사용: 검증된 보안 라이브러리를 사용하여 암호화 키를 안전하게 관리합니다.

취약한 코드 및 안전한 코드 예시

AES encryption

취약한 코드

# Unsafe AES encryption (hardcoded key)
from Crypto.Cipher import AES

cipher = AES.new(b'This is a key123', AES.MODE_CBC) # 하드코딩된 키
plaintext = b'This is a secret message.'
ciphertext = cipher.encrypt(plaintext)

안전한 코드

# Safe AES encryption (key from environment variable)
import os
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad

key = os.getenv('ENCRYPTION_KEY').encode()  # 환경 변수에서 키 가져오기
cipher = AES.new(key, AES.MODE_CBC)
plaintext = b'This is a secret message.'
ciphertext = cipher.encrypt(pad(plaintext, AES.block_size))

설명:

취약한 코드: 암호화 키가 하드코딩되어 있어 키 유출 시 심각한 보안 위험이 있습니다.
안전한 코드: 환경 변수에서 키를 가져와 암호화에 사용하여 키 유출 위험을 줄입니다.

RSA encryption

취약한 코드

# Unsafe RSA encryption (hardcoded private key)
from Crypto.PublicKey import RSA

private_key = RSA.import_key('''-----BEGIN RSA PRIVATE KEY-----
MIIBOgIBAAJBAKFA0/2Q5OgfXH3hX3T5yb6P+MtpZ4o9A/Ri8V1r1Uk7V+hHvxRB
r6a4cfY1pZq8q6r3RzYHo0PhO9BdPb9hJHkCAwEAAQJAc8hIIdC9tqL5yYFeRyQS
A6hxR2hfQXn3Q1hzHU/lHLu9W3ZZqWXAn5mubV63UVuIz89IuYV+dRHVgP9nZZH2
3QIhAPCHqXheGhxj/p2j9OpqBmlDyxI+xv+VCLPXNZ+x9G6HAiEAuHgZ3n7BDUad
F5Or4uFNjXlGyxR55iw5z2zZVGoMR2MCIDONxdXtb7zYrFZxEYpV6+KOx5XT+Mw0
D2GSsK3kE2uvAiBjy+0sIhnEILjDW07UPo/pxj3PBRRIjFmcRpjJgrgCbQIgA7HH
HVK2hLmfmn/YfLEOSJCCjI5Yr89HeN74RWbZrL8=
-----END RSA PRIVATE KEY-----''')
cipher = PKCS1_OAEP.new(private_key)
ciphertext = cipher.encrypt(b'This is a secret message.')

안전한 코드

# Safe RSA encryption (private key from environment variable)
import os
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP

private_key = RSA.import_key(os.getenv('PRIVATE_KEY'))  # 환경 변수에서 키 가져오기
cipher = PKCS1_OAEP.new(private_key)
ciphertext = cipher.encrypt(b'This is a secret message.')

설명:

취약한 코드: RSA 개인 키가 하드코딩되어 있어 키 유출 시 심각한 보안 위험이 있습니다.
안전한 코드: 환경 변수에서 키를 가져와 암호화에 사용하여 키 유출 위험을 줄입니다.

참조

OWASP: Use of Hard-coded Cryptographic Keys
CWE: CWE-321: Use of Hard-coded Cryptographic Key

Previous하드코딩된 암호화 IV Next하드코딩된 비밀 정보

Last updated 1 year ago