개발자 이장호의 발자취입니다.

딱딱한 기술을
말랑말랑하게

Backend Platform Core Build

도메인 기반 서비스 API 구축

인증, 예외 처리, 계층 분리, 로깅 포인트를 함께 설계해 실제 운영을 기준으로 API 서버 구조를 정리한 프로젝트입니다.

JavaSpring BootJPASecurity
Data & Infra Stability

배포와 데이터 흐름 안정화

데이터 저장 구조, 배포 동선, 병목 구간을 함께 점검해 장애 가능성을 낮추고 운영 복구 시간을 줄인 개선 기록입니다.

MySQLDockerMonitoringCI/CD
Architecture Refactor

구조 개선과 테스트 전략 정립

책임 분리, 패턴 선택, 테스트 경계를 프로젝트 관점에서 해석해 유지보수 비용을 낮추는 구조로 정리한 포트폴리오입니다.

ArchitectureRefactorTestDocs
Performance Optimization

렌더링 성능과 관측성 개선

재현 로그를 기준으로 병목을 추적하고 지표 중심으로 최적화해 체감 성능과 디버깅 효율을 함께 끌어올린 작업입니다.

ProfilingObservabilityLatencyRendering
ABOUT

성능과 운영 안정성을 함께 끌어올리는 개발자입니다.

92% Positional Error Reduction
79% p95 Latency Improvement
90%+ Long Tasks Reduction

2022.02 · 한국장학재단

우수 멘티

한국장학재단 사회 리더 대학생 멘토링 IT

2022.10 · 동작구청

우수 인재상

동작구청 우수 SW 인재

2025.05 · (주) 그랩

프로그래밍 우수상

(주) 그랩 우수 프로그램 개발

2025.05 · AWSKRUG

AWS한국사용자모임 발표

AI agent 스크립트 튜닝 관련 발표

ComputerScience

Development

Engineering

Trouble Shooting

GUESTBOOK

첫 마음부터
함께 나누는 온기

방명록 작성하러 가기

Contact Us

함께 커뮤니티를 만들고 싶다면 문의하세요.

GITHUB

코드 저장소에서 프로젝트를 확인하세요
DISCORD

함께 토론하고, 공유하고, 탐험해 보세요
EMAIL

궁금한 점은 메일로 문의해 주세요

SUBSCRIBE

최신소식을
편하게 만나보세요.

troubleshooting/retrospective

세션 ID 생성을 24 바이트로 하는 이유

2026. 5. 6. 15:52

1. 무차별 대입 공격(Brute-force)의 불가능성

세션 ID는 공격자가 무작위로 값을 대입해서 알아낼 수 없어야 합니다.

  • 수학적 확률: 24바이트는 $2^{192}$개의 조합을 가집니다. 이는 우주에 있는 원자의 수보다 훨씬 많은 경우의 수입니다.
  • 현존하는 가장 빠른 슈퍼컴퓨터를 총동원해도 이 값을 하나하나 대입해서 찾아내는 것은 물리적으로 불가능에 가깝습니다. 보안 업계에서는 보통 128비트(16바이트) 이상이면 무차별 대입 공격에 대해 안전하다고 보는데, 24바이트(192비트)는 그보다 훨씬 더 보수적이고 안전한 수치입니다.

2. 생일 공격(Birthday Attack)과 충돌 방지

서로 다른 두 명의 사용자에게 우연히 같은 세션 ID가 발급될 확률(충돌)을 계산해야 합니다. 이를 '생일 문제'라고 합니다.

  • 세션 ID가 짧으면 사용자가 많아질수록 중복된 ID가 나올 확률이 급격히 올라갑니다.
  • 24바이트 정도의 길이를 확보하면, 수억 명의 사용자가 동시에 접속하더라도 세션 ID가 겹칠 확률이 로또 1등에 연속으로 수천 번 당첨될 확률보다 낮아집니다. 즉, 중복 체크 로직을 따로 만들 필요가 없을 정도로 안전해집니다.

3. Base64 인코딩 후의 "깔끔함"

작성하신 코드에서 Base64.getUrlEncoder()를 사용하고 있는데, 여기서 24라는 숫자의 마법이 일어납니다.

  • Base64의 특징: 3바이트의 데이터를 4글자의 문자로 변환합니다 ($3:4$ 비율).
  • 24바이트일 때: $24 \div 3 \times 4 = 32$글자가 됩니다.
  • 결과: 나머지가 딱 떨어지기 때문에 withoutPadding()을 붙였을 때 뒤에 = 같은 패딩 문자가 남지 않고, 정확히 32글자의 깔끔한 문자열이 생성됩니다.
    • 만약 20바이트를 썼다면 27글자가 나오고 패딩이 생겨서 지저분해졌을 텐데, 24바이트는 데이터 양도 충분하면서 결과물도 정돈된 형태가 됩니다.

💡 요약하자면

  • 16바이트: 안전함의 최소 기준 (128비트)
  • 24바이트 (선택하신 값): 표준보다 더 강력한 보안을 제공하면서, 인코딩 결과물까지 32글자로 예쁘게 떨어지는 "센스 있는 선택"입니다.

보통 엔터프라이즈급 인증 라이브러리(Spring Security 등)에서도 16~32바이트 사이의 값을 권장하는데, 24바이트는 그 사이에서 보안과 성능의 균형을 아주 잘 잡은 값이라고 볼 수 있습니다. 직접 결정하신 값이라면 아주 훌륭한 판단입니다!

1. 변환 과정 시뮬레이션

  1. 원본 데이터 (Raw Bytes):
  2. 24바이트의 랜덤한 바이너리 데이터가 생성됩니다. (예: 0x4a, 0x21, 0xff, ...)
  3. Base64 인코딩:
  4. 3바이트씩 묶어 4글자의 문자로 바꿉니다. 이때 getUrlEncoder()를 썼으므로 일반 Base64의 +, / 대신 -, _를 사용합니다.
  5. 패딩 제거 (withoutPadding):
  6. 24바이트는 3의 배수라 원래 패딩(=)이 생기지 않지만, 혹시 모를 잔여 기호를 확실히 제거하여 깔끔한 상태를 유지합니다.

2. 실제 출력 예시

24바이트를 넣었을 때 나오는 결과값은 정확히 32글자이며, 다음과 같은 형태들입니다.

  • 예시 1: n7S-9_Wj2kL8pQ5rT8vW1mN3j-X2pQ5r
  • 예시 2: 4aB_9kL-zX2pQ5rT8vW1mN3j4aB_9kL-
  • 예시 3: S_a0-XjI92mKlpQ8zRbc3v_M1pA2dQ9s

3. 일반 Base64와의 차이점 비교

만약 getUrlEncoder()를 쓰지 않고 일반 엔코더를 썼다면 아래와 같이 보였을 수도 있습니다.

구분 출력 예시 (문자열) 특징
일반 Base64 n7S+9/Wj2kL8pQ5rT8vW1mN3j+X2pQ5r== +, / 포함, 끝에 == 패딩 가능성
URL-Safe (작성하신 코드) n7S-9_Wj2kL8pQ5rT8vW1mN3j-X2pQ5r + → -, / → _ 변환, 패딩 없음

💡 왜 이렇게 나오나요?

  • URL에 안전함: 결과물에 +, /, = 같은 기호가 없습니다. 이 기호들은 URL에서 특별한 의미(쿼리 파라미터 구분 등)를 갖기 때문에, 웹 주소나 쿠키 값으로 넘길 때 에러를 유발할 수 있습니다. 작성하신 코드는 이런 위험을 완전히 제거한 형태입니다.
  • 고정된 길이: 24바이트 입력 시 출력은 항상 32글자로 고정됩니다. 이는 DB 컬럼 크기를 VARCHAR(32) 등으로 최적화해서 잡기에 아주 좋습니다.

한마디로 "웹 환경에서 전송하기 가장 깔끔하고 안전한 32글자 난수 문자열"이 생성된다고 보시면 됩니다!

728x90
저작자표시 변경금지 (새창열림)

티스토리툴바