AES-256-GCM과 Rotating JWT 기반의 고보안 실시간 메시징 설계

Context

실시간 메시징 앱의 일반적인 튜토리얼이 간과하는 보안 취약점과 인프라 확장성 문제를 해결하고자 함. 단순 기능 구현을 넘어 데이터 저장 시 암호화 및 토큰 탈취 방지를 위한 프로덕션 레벨의 보안 아키텍처 설계가 필요함.

Technical Solution

• AES-256-GCM 도입을 통한 데이터베이스 저장 전 메시지 암호화로 Data-at-Rest 보안 강화
• 15분 만료의 Short-lived JWT와 Rotating Refresh Token 조합을 통한 토큰 탈취 시 피해 범위 최소화
• SignalR Hub의 확장성 확보를 위해 Redis Backplane을 도입한 다중 API 인스턴스 간 메시지 동기화
• WebSocket 연결 시 Authorization 헤더 전송 불가 제약을 해결하기 위해 Query String을 통한 토큰 전달 로직 구현
• ClockSkew를 Zero로 설정하여 토큰 만료 시점의 불필요한 노출 시간 제거 및 보안 정밀도 향상
• Fixed Window 알고리즘 기반의 Rate Limiting을 적용하여 Auth(5분당 10회) 및 Message(1분당 60회) API 보호