HMAC은 Hash-based Message Authentication Code의 약자입니다. 메시지가 변조되지 않았고 올바른 발신자에게서 왔음을 확인하는 데 사용됩니다.
일반 해시와의 차이
일반 해시는 누구나 계산할 수 있습니다. HMAC은 비밀 키를 함께 사용해서 키를 모르면 같은 값을 만들 수 없습니다. 메시지와 키를 조합해서 해시를 생성합니다.
해시 생성기에서 일반 해시를 만들 수 있고, HMAC을 지원하는 도구도 있습니다.
API 인증에서의 활용
웹 서비스 API에서 요청의 무결성을 확인할 때 HMAC을 많이 씁니다. 요청 본문과 비밀 키로 HMAC을 생성해서 헤더에 포함합니다. 서버에서 같은 계산을 해서 일치하면 신뢰합니다.
HMAC의 구조
HMAC-SHA256처럼 기반 해시 알고리즘을 지정합니다. HMAC-SHA256(key, message) 형태로 계산합니다. 온라인 해시 도구에서 기본 해시를 이해하면 HMAC 개념도 쉽게 파악할 수 있습니다.
알고리즘별 특징 이해하기
해시 생성기에서 여러 알고리즘을 선택할 수 있는데, 각각 언제 쓰면 좋을까요? MD5는 가장 빠르지만 보안에 취약해서 단순 체크섬이나 해시 테이블용으로만 씁니다. SHA-256은 현재 가장 널리 쓰이는 표준으로, 보안과 속도의 균형이 좋습니다. SHA-512는 64비트 시스템에서 오히려 SHA-256보다 빠를 수 있고, 더 긴 해시값이 필요할 때 씁니다. 비밀번호 저장에는 이런 일반 해시 대신 bcrypt나 Argon2 같은 전용 알고리즘을 사용해야 합니다.
온라인 도구 사용 시 주의점
민감한 정보는 온라인 해시 생성기에 입력하지 마세요. 실제 비밀번호나 개인정보는 로컬에서 처리하는 게 안전합니다. 테스트용 데이터나 공개해도 되는 정보만 온라인 도구에 입력하는 게 좋습니다. 해시값 자체는 역산이 어렵지만, 원본 데이터가 서버에 남을 수 있으니까요.