[iOS] 키체인(Keychain)을 이용한 데이터 저장 및 관리

안녕하세요 제인입니다 :)

최근에 프로젝트 개발을 하며 토큰과 같은 중요한 사용자 정보를 좀 더 안전하게 저장하고 관리하고자 키체인을 이용해보았는데요,

키체인에 대한 내용도 정리할 겸, 키체인을 어떻게 사용했는지 공유해보려고 합니다 !

Keychain Service

키체인 서비스는 Apple이 제공하는 보안 프레임워크입니다.

공식문서에 따르면, 키체인 서비스 API는 앱에 키체인이라는 암호화된 데이터베이스에 작은 사용자 데이터 비트를 저장하는 메커니즘을 제공하여 암호와 같이 보안에 민감한 데이터를 안전하게 저장하는 데 도움을 줍니다.

즉, 암호화된 데이터베이스인 Keychain에 정보를 저장하여 데이터를 안전하게 저장할 수 있도록 합니다.

 

키체인에서 사용자의 비밀 보호

키체인은 암호에만 국한되지 않습니다. 신용 카드 정보나 간단한 메모와 같이 사용자가 명시적으로 관심을 갖는 다른 비밀을 저장할 수 있으며, 사용자가 필요로 하지만 인식하지 못하는 항목을 저장할 수도 있습니다. 예를 들어, 암호화 키 및 인증서를 통해 사용자는 보안 통신에 참여하고 다른 사용자 및 장치와 신뢰를 설정할 수 있습니다.

Keychain의 특징

• iOS에서 앱은 단일 키체인(논리적으로 iCloud 키체인을 포함함)에 액세스할 수 있습니다.
• iOS에서 키체인의 위치는 샌드박스 외부이므로, 앱을 삭제해도 키체인에 저장된 정보는 삭제되지 않습니다.
• 키체인은 사용자가 장치의 잠금을 해제하면 자동으로 잠금 해제되고 장치가 잠기면 잠깁니다. 
• 앱은 자신의 키체인 항목 또는 앱이 속한 그룹과 공유된 항목에만 액세스할 수 있습니다. 
• 키체인 컨테이너 자체를 관리할 수 없습니다.

Keychain Items

키체인에 저장되는 기밀 정보는 item으로 패키징합니다. 즉, 키체인에 정보가 저장되는 단위라고 할 수 있으며, 키체인은 하나 이상의 Keychain Item을 갖습니다. data 자체와 함께 공개적으로 볼 수 있는 attribute를 제공하여 item의 접근성을 제어하고 검색할 수 있도록 합니다. 

 

위의 그림과 같이 키체인 서비스는 디스크에 저장된 암호화된 데이터베이스인 키체인에서 데이터 암호화 및 저장(attributes 포함)을 처리합니다. 인증된 프로세스는 키체인 서비스를 사용하여 항목을 찾고 해당 데이터를 해독합니다.

Keychain Item Class

Keychain item은 암호, 암호 키 및 인증서와 같이 저장하는 데이터의 종류에 따라 다양한 클래스로 제공됩니다. 

item의 클래스는 적용되는 attribute를 결정하고 시스템이 디스크에서 데이터를 암호화해야 하는지 여부를 결정할 수 있도록 합니다. (예를 들어, 암호는 암호화가 필요하지만 인증서는 비밀이 아니기 때문에 암호화되지 않습니다.)

key(kSecClass)-value 쌍(Dictionary 타입)을 이용해 새로운 item의 클래스를 지정하고, item을 조회(업데이트 or 삭제 시)하는 경우도 이와 동일한 쌍을 사용합니다.

 

Keychain에 저장하는 데이터 종류(value값에 해당)

• kSecClassGenericPassword : 일반 암호 항목을 나타내는 값
• kSecClassInternetPassword : 인터넷 비밀번호 항목을 나타내는 값
• kSecClassCertificate : 인증서 항목을 나타내는 값
• kSecClassIdentity: ID 항목을 나타내는 값
• kSecClassKey : 암호화 키 항목을 나타내는 값

Keychain을 이용한 사용자 정보 관리

키체인에 인터넷 비밀번호 저장 예시

1. 앱을 처음 실행한 경우(인증이 필요한 경우)

앱을 처음 실행했다면 Keychain에 어떠한 정보도 저장되어있지 않은 상태입니다.

SecItemCopyMatcing(_:_:) 메서드를 이용해 검색을 하면 맞는 결과를 찾을 수 없기 때문에 위 다이어그램의 오른쪽 플로우를 진행하게 됩니다. 사용자가 성공적으로 인증하는 credential을 제공하면 SecItemAdd(_:_:) 메서드를 사용하여 정보를 저장합니다.

이제 앱은 일반 네트워크 액세스를 계속합니다. 나중에 서버가 재인증을 요구할 때 앱은 사용자에게 인증을 요구하는 대신 키체인에서 credential을 검색할 수 있습니다.

 

2. 인증에 성공한 경우

앱을 처음 실행하는 경우가 아니라면, 대부분의 경우 중간 플로우를 진행하게 되는데, 이 경우는 사용자 상호 작용이 필요하지 않습니다.

SecItemCopyMatching(_:_:) 메서드를 사용하여 키체인에서 암호를 검색합니다. 암호가 발견되어 앱이 인증에 성공한다면 사용자가 관여하지 않고 계속 작업을 진행할 수 있습니다.

 

3. 인증에 실패한 경우

때때로 사용자는 앱의 범위 밖에서 credential을 변경합니다. 예를 들어, 앱을 사용하다가 해당 서비스의 웹사이트에서 비밀번호를 바꿀 수 있습니다. 비밀번호가 바뀐 이후에는 Keychain에서 해당 데이터를 찾더라도 인증에서 실패하게 되기 때문에 왼쪽 플로우를 진행하게 됩니다. 해당 플로우에서는 SecItemUpdate(_:_:) 메서드를 통해 현재 저장된 value를 새롭게 인증한 credential의 value로 변경하게 됩니다.

 

4. Keychain 데이터 삭제

SecItemDelete(_:) 메서드를 이용해 키체인의 데이터를 삭제할 수 있습니다.

사용 예제

키체인 클래스 정의

import Foundation
import Security

final class Keychain {
    
    // Create
    static func create(key: String, data: String) {
        let query: NSDictionary = [
            kSecClass: kSecClassGenericPassword,
            kSecAttrAccount: key,
            kSecValueData: data.data(using: .utf8, allowLossyConversion: false) as Any
        ]
        SecItemDelete(query) // Keychain은 Key값에 중복이 생기면 저장할 수 없기 때문에 먼저 Delete
        
        let status = SecItemAdd(query, nil)
        assert(status == noErr, "Failed to save Token")
    }
    
    // Read
    static func read(key: String) -> String? {
        let query: NSDictionary = [
            kSecClass: kSecClassGenericPassword,
            kSecAttrAccount: key,
            kSecReturnData: kCFBooleanTrue as Any,
            kSecMatchLimit: kSecMatchLimitOne
        ]
        
        var dataTypeRef: AnyObject?
        let status = SecItemCopyMatching(query, &dataTypeRef)
        
        if status == errSecSuccess {
            if let retrievedData: Data = dataTypeRef as? Data {
                let value = String(data: retrievedData, encoding: String.Encoding.utf8)
                return value
            } else { return nil }
        } else {
            #if DEBUG
            print("Failed to loading, status code = \(status)")
            #endif
            return nil
        }
    }
    
    // Delete
    static func delete(key: String) {
        let query: NSDictionary = [
            kSecClass: kSecClassGenericPassword,
            kSecAttrAccount: key
        ]
        let status = SecItemDelete(query)
        assert(status == noErr, "Failed to delete the value, status code = \(status)")
    }
}

키체인 데이터 저장 및 가져오기

// AuthAPIService
func login() -> Single<Void> {
    return oauthService
        .authorize()
        .do { oauthAuthentication in
            #if DEBUG
            print("✨ OAuth 인증 성공) \(oauthAuthentication)")
            #endif
                
            let authType = oauthAuthentication.oauthType.rawValue
            Keychain.create(key: Keychain.Keys.socialType, data: authType)
        }
        .map { $0.toSignInRequestDTO() }
        .flatMap(signIn)
        .do { dto in
            if let dto {
                UserDefaults.userId = dto.id
                // 키체인에 토큰 저장
                Keychain.create(key: Keychain.Keys.accessToken, data: dto.accessToken)
                Keychain.create(key: Keychain.Keys.refreshToken, data: dto.refreshToken)
            } else {
                #if DEBUG
                print("포그포그 서버 인증 실패")
                #endif
                // TODO: 네트워크 오류 팝업 띄워주기
            }
        }
        .map { _ in () }
}

// DefaultAppCoordinator
func start() {
        
    // 앱의 시작점 설정(keychain의 accessToken 저장 여부 확인)
    if Keychain.read(key: Keychain.Keys.accessToken) != nil {
        showMapFlow()
    } else {
        showLoginFlow()
    }
}

 

Keychain 클래스에 키체인 데이터 저장 및 관리를 위한 메서드들을 정의해두고 필요한 곳에서 사용해주는 방식으로 토큰 저장 로직을 구현했는데요, 더 이상 상속되지 않을 클래스이기 때문에 final 키워드를 붙여주었고, 키체인 클래스의 메서드들도 다른 곳에서 재정의하지 않고 호출해서 사용하기 때문에 static func으로 정의했습니다.

키체인 메서드 활용방법은 공식문서에 자세히 나와있으니 공식문서만 참고해도 이해하고 키체인 서비스를 이용할 수 있을 것 같습니다! 

ex) Adding a Password to the Keychain

Adding a Password to the Keychain | Apple Developer Documentation

---

[참고 자료]

Keychain Services | Apple Developer Documentation

[iOS] Keychain을 사용해보자 🔐

[iOS] 토큰 데이터 저장 공간을 Keychain으로 바꿔보자