비밀번호 저장에는 일반 해시(MD5, SHA)보다 bcrypt 같은 전용 알고리즘을 사용해야 합니다. 속도가 느린 게 오히려 장점입니다.
빠른 해시의 문제
MD5나 SHA-256은 빠르게 계산되도록 설계되었습니다. 공격자가 수십억 개의 비밀번호 후보를 빠르게 해시해서 대조할 수 있다는 뜻입니다.
해시 생성기에서 해시 생성이 즉시 되는 것을 보면 알 수 있습니다. 이 속도가 공격자에게도 이점이 됩니다.
bcrypt의 설계 철학
bcrypt는 의도적으로 느리게 만들어졌습니다. cost 파라미터로 계산 시간을 조절할 수 있습니다. 컴퓨터가 빨라지면 cost를 높여서 보안을 유지합니다.
또한 솔트가 내장되어 있어서 별도로 관리할 필요가 없습니다.
언제 무엇을 쓰나
비밀번호: bcrypt, scrypt, argon2 등 전용 알고리즘 사용. 파일 체크섬, 데이터 검증: SHA-256 등 빠른 해시 사용. 온라인 해시 도구는 일반 해시 알고리즘을 지원하며, 비밀번호 해시는 서버 사이드에서 처리해야 합니다.
해시 생성기 활용 팁
이런 상황에서 해시 생성기를 활용하면 효율적입니다. 먼저 원하는 알고리즘(MD5, SHA-256, SHA-512 등)을 선택하고, 입력값을 넣으면 즉시 해시값을 얻을 수 있습니다. 개발자라면 API 호출 시 서명 검증, 파일 무결성 확인, 비밀번호 해시 테스트 등에 활용할 수 있죠. 비개발자도 다운로드 파일이 변조되지 않았는지 확인할 때 유용합니다. 중요한 건 입력이 조금만 달라져도 결과가 완전히 바뀐다는 점입니다. 공백 하나, 대소문자 하나 차이도 전혀 다른 해시값을 만들어냅니다.
실무에서 자주 하는 실수
가장 흔한 실수는 인코딩을 고려하지 않는 것입니다. 같은 한글 텍스트라도 UTF-8과 EUC-KR로 인코딩하면 다른 바이트 시퀀스가 되고, 당연히 해시값도 달라집니다. 텍스트를 해시할 때는 항상 인코딩을 통일해야 합니다. 또 다른 실수는 줄바꿈 문자입니다. Windows와 Linux/Mac의 줄바꿈이 다르기 때문에 같은 텍스트 파일도 운영체제에 따라 해시가 달라질 수 있습니다.