SharedPreferences의 데이터를 안전하게 암호화하는 방법은 무엇인가요?

Q1: SharedPreferences에 저장된 데이터를 왜 암호화해야 하나요?
A1: SharedPreferences는 기본적으로 평문으로 데이터를 저장하기 때문에, 민감한 정보(비밀번호, 토큰 등)를 그대로 노출할 위험이 있습니다. 암호화를 통해 악의적인 접근으로부터 데이터를 보호할 수 있습니다.

Q2: 안드로이드에서 SharedPreferences 데이터를 안전하게 암호화하려면 어떤 방법을 사용해야 하나요?
A2: 안드로이드 공식 라이브러리인 Jetpack Security의 `EncryptedSharedPreferences`를 사용하는 것이 가장 안전하고 간편한 방법입니다. 이는 내부적으로 키 관리를 Android Keystore 시스템과 연동해 자동으로 처리하며, 데이터를 AES256-GCM 알고리즘으로 암호화합니다.

Q3: EncryptedSharedPreferences를 사용하는 기본 절차는?
A3:
1. `implementation "androidx.security:security-crypto:버전"`을 `build.gradle`에 추가합니다.
2. 키를 생성/불러오기 위해 `MasterKey`를 생성합니다.
3. `EncryptedSharedPreferences` 인스턴스를 `Context`에서 생성하며, 이때 MasterKey를 전달합니다.
4. 일반 SharedPreferences처럼 데이터를 저장/로드할 수 있습니다.

예시:
```kotlin
val masterKey = MasterKey.Builder(context)
.setKeyScheme(MasterKey.KeyScheme.AES256_GCM)
.build()

val encryptedSharedPreferences = EncryptedSharedPreferences.create(
context,
"secret_prefs",
masterKey,
EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
)
// 저장
encryptedSharedPreferences.edit().putString("token", "my_secret_token").apply()

// 불러오기
val token = encryptedSharedPreferences.getString("token", null)
```

Q4: EncryptedSharedPreferences를 지원하지 않는 구형 안드로이드 기기에서는 어떻게 해야 하나요?
A4: 기본적으로 `EncryptedSharedPreferences`는 API 레벨 23 이상에서 지원됩니다. 하위 버전 지원이 필요하면 직접 키 생성 및 암호화 로직을 구현해야 하지만, 보안 취약점이 있을 수 있으므로 권장하지 않습니다. 가능하면 최소 API 23 이상을 지원하도록 설계하는 것이 좋습니다.

Q5: 직접 암호화 구현 시 주의할 점은?
A5:
- 키는 Android Keystore를 활용해 안전하게 보관해야 합니다.
- AES-GCM 같은 인증된 암호화 모드를 사용해야 하며, IV(Initialization Vector)를 안전하게 관리해야 합니다.
- 암호화된 데이터는 Base64 등으로 인코딩해 저장해야 합니다.
- 암호화 키를 코드에 하드코딩하지 말고, 키 관리는 반드시 Keystore를 이용해야 합니다.

Q6: 암호화된 SharedPreferences도 루팅된 기기에서는 안전한가요?
A6: 루팅된 기기에서는 루트 권한으로 모든 데이터에 접근할 수 있어 암호화의 의미가 감소합니다. 하지만 Android Keystore는 별도의 보안 하드웨어(예: TEE, StrongBox)를 활용하기 때문에 추가적인 보안을 제공합니다. 완벽한 보안은 없으나 암호화를 통해 위험을 크게 줄일 수 있습니다.

Q7: EncryptedSharedPreferences를 이용해도 저장된 데이터가 노출될 수 있나요?
A7: 키 관리 및 암호화 알고리즘이 안전하게 동작한다면 데이터 자체가 노출되기는 어렵습니다. 다만, 앱 내부 취약점(예: 메모리 덤프, 로그 출력)이나 사용자 실수(예: 비밀번호 노출)로 인해 위험할 수 있으므로 다층적 보안 대책이 필요합니다.

---

요약: 안드로이드에서 SharedPreferences 데이터를 안전하게 암호화하려면 `EncryptedSharedPreferences`를 사용하고, 암호화 키는 `MasterKey` 및 Android Keystore로 관리하는 것이 가장 권장되는 접근법입니다. 직접 구현 시 키 보관과 암호화 방식에 신중히 접근해야 하며, 루팅 기기 상황도 고려해야 합니다.

SharedPreferences는 Android 애플리케이션에서 간단한 데이터를 저장하는 데 사용되는 API입니다.

그러나 SharedPreferences에 저장된 데이터는 기본적으로 암호화되지 않기 때문에 민감한 정보를 저장할 때는 보안에 주의해야 합니다.

이를 위해 Android에서는 SharedPreferences의 데이터를 안전하게 암호화하는 방법을 제공합니다.

아래에서는 SharedPreferences의 데이터를 안전하게 암호화하는 방법에 대해 자세히 설명하겠습니다.

1. AndroidX Security 라이브러리 사용하기 AndroidX Security 라이브러리는 SharedPreferences의 데이터를 안전하게 암호화하는 데 유용한 도구입니다.

이 라이브러리를 사용하면 AES(Advanced Encryption Standard) 알고리즘을 사용하여 데이터를 암호화하고 복호화할 수 있습니다.

1.1. 라이브러리 추가 먼저, `build.gradle` 파일에 AndroidX Security 라이브러리를 추가해야 합니다.

```groovy dependencies { implementation 'androidx.security:security-crypto:1.1.0-alpha03' } ``` 1.2. EncryptedSharedPreferences 생성 EncryptedSharedPreferences를 사용하여 암호화된 SharedPreferences 인스턴스를 생성할 수 있습니다.

다음은 그 예입니다.

```java import androidx.security.crypto.EncryptedSharedPreferences; import androidx.security.crypto.MasterKey; import android.content.Context; import android.content.SharedPreferences; public class SecurePreferences { private SharedPreferences sharedPreferences; public SecurePreferences(Context context) { try { MasterKey masterKey = new MasterKey.Builder(context) .setKeyScheme(MasterKey.KeyScheme.AES256_GCM) .build(); sharedPreferences = EncryptedSharedPreferences.create( context, "secure_prefs", masterKey, EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV, EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM ); } catch (Exception e) { e.printStackTrace(); } } public void saveData(String key, String value) { SharedPreferences.Editor editor = sharedPreferences.edit(); editor.putString(key, value); editor.apply(); } public String getData(String key) { return sharedPreferences.getString(key, null); } } ```

2. 데이터 저장 및 조회 위의 `SecurePreferences` 클래스를 사용하여 데이터를 저장하고 조회할 수 있습니다.

```java SecurePreferences securePreferences = new SecurePreferences(context); // 데이터 저장 securePreferences.saveData("username", "user123"); // 데이터 조회 String username = securePreferences.getData("username"); ```

3. 보안 고려사항 - 마스터 키 관리 : EncryptedSharedPreferences는 마스터 키를 사용하여 데이터를 암호화합니다.

이 마스터 키는 안전하게 관리되어야 하며, 앱이 삭제되면 마스터 키도 삭제됩니다.

- 민감한 데이터 저장 피하기 : 가능한 한 민감한 데이터는 SharedPreferences에 저장하지 않는 것이 좋습니다.

예를 들어, 비밀번호나 신용카드 정보는 서버에 안전하게 저장하고, 필요할 때만 가져오는 것이 좋습니다.

- 최신 라이브러리 사용 : 보안 취약점이 발견될 수 있으므로, 항상 최신 버전의 AndroidX Security 라이브러리를 사용하는 것이 좋습니다.



4. SharedPreferences의 데이터를 안전하게 암호화하는 것은 애플리케이션의 보안을 강화하는 중요한 방법입니다.

AndroidX Security 라이브러리를 사용하면 간단하게 암호화된 SharedPreferences를 구현할 수 있으며, 이를 통해 민감한 정보를 안전하게 저장할 수 있습니다.

이러한 방법을 통해 사용자 데이터를 보호하고, 보안 위협으로부터 애플리케이션을 안전하게 지킬 수 있습니다.