오늘 작업하면서 AI 끼고 AWS 인스턴스 새로 파는데, 보안 관련해서 "이건 진짜 지키자" 싶은 것들 정리함. 나중에 까먹고 대충 하다가 사고 치지 말고 미리미리 챙기자!!

1. 절대절대절대 Root 계정 Access Key 만들지 마라

• 방금 만든 따끈따끈한 그 Root 계정 말하는 거다.
• AWS에서도 제발 만들지 말라고 사정하는데, 심지어 Root 키를 만든다? 탈취되는 순간 내 AWS 계정은 그냥 해커 놀이터 되는 거임. (과금 폭탄은 덤)
• Action: Root는 MFA(OTP) 빡세게 걸어두고 봉인해라. 작업은 무조건 권한 쪼개진 계정으로 하는 거다. '최소 권한 원칙' 알지?

2. IAM 계정 생성 vs. SSO 설정 (대세는 SSO다)

• 아직도 IAM User 만들어서 Access Key 파일 다운받아 쓰나? 요즘 권장 방식은 IAM Identity Center(SSO)임.
• "진짜 계정"을 하나 파주는 게 IAM이라면, SSO는 "임시 출입증"만 발급해주는 거다.
• Why?: 로컬에 영구적인 키 파일(credentials)이 안 남는다. 해킹 당할 건덕지 자체가 줄어든다는 소리. 1인 개발이라도 습관 들이자.

3. DB랑 백엔드는 퍼블릭 서브넷에 두는 거 아니다

• DB를 퍼블릭에 둔다? ㅎㅎ 그냥 "어서오세요" 보안 대문 열어주는 꼴임.
• 정석(3-Tier): 웹 서버만 퍼블릭에 두고, WAS랑 DB는 프라이빗 서브넷에 꽁꽁 숨겨야 함.
• 외부에서 접속 필요하면 어떡하냐고? Bastion Host(점프 서버) 하나 뚫어서 들어가거나 VPN 쓰는 게 맞다. 귀찮아도 지킬 건 지키자.

4. 계정 정보, 비밀번호 하드코딩 금지

• "테스트만 해보고 지울 건데?" ← 이러다가 까먹고 깃허브에 올리는 순간 나락 감.
• 코드에 설정값 박아 버리는 거 한 번 하면 습관 된다. 절대 금지.
• Action: .env 파일 써서 dotenv로 불러오거나, AWS Parameter Store나 Secrets Manager 써서 우아하게 관리하자.

5. Terraform 쓸 때 .gitignore 안 하면 망함

원격 저장소에 절대 올라가면 안 되는 파일들 있다. 프로젝트 파자마자 .gitignore부터 세팅해라.

• .terraform/: 바이너리랑 캐시 덩어리들. 굳이 올릴 필요 없음.
• *.tfstate, *.tfstate.*: (중요) 여기 인프라 상태랑 민감 정보 다 평문으로 들어있음. 이거 털리면 인프라 지도 갖다 바치는 거.
• infra/terraform.tfvars: 여기에 IP랑 비번 들어갈 수 있음. 주의.

6. 보안 그룹(Security Group) = IP 화이트리스팅

• 퍼블릭 액세스 Yes로 열어두고 보안 그룹 인바운드를 0.0.0.0/0 (전 세계 허용)으로 둔다? 그냥 "내 DB 공공재입니다" 선언하는 거임.
• Action: 소스(Source)는 무조건 내 IP (My IP)로 설정해라. CIDR 표기법으로 /32 붙이는 거 잊지 말고 (예: 58.126.xx.xx/32).
• 내 공인 IP 확인법 (Mac/Linux):

  curl ifconfig.me

  터미널에 ifconfig 쳐서 나오는 건 내부 IP니까 헷갈리지 말 것.

MCP

나의 퍼플렉시티 친구에게 질문해보았다. MCP가 도대체 뭐니?? 돌아오는 딱딱한 대답은 이러했다.

MCP는 "AI 서비스(클라이언트)와 외부 데이터/도구(서버)를 연결하는 표준 'USB 포트' 같은 약속"입니다. AI 서비스 이름이 아니라, AI가 일을 더 잘하게 만드는 기술 표준(프로토콜)입니다.

오.. 하나도 모르겠고... Anthropic이 제안한 오픈소스 표준이라고 하는데 정의만 들었을때 딱히 모르겠다. 프로토콜 같은 개념인거 같은데 그래서 API 명세서와 비교해서 정리해봤다.

API 명세 vs. MCP

"설명(Description)"이 곧 명세서다.

• 기존 API는 파라미터 타입(String, Int)이 중요했다면, MCP(그리고 AI용 Tool)에서는 자연어 설명이 가장 중요하다. AI는 코드를 읽는 게 아니라 설명을 읽고 호출 여부를 결정하기 때문이다.

아래의 한 문장으로 MCP가 어떤 개념인지 머릿속에서 정리할 수 있겠다.

"AI 너, 우리 데이터 필요하면 내가 정해둔 규격(MCP)대로 요청해. 그럼 다 줄게."

그래서 앞으로 서비스 개발 시 MCP/Tool 개발을 할 때는 코드를 잘 짜는 것만큼이나 '함수 설명(Description)'을 잘 적는 게 중요해보인다. 이걸 Prompt Engineering의 일부라고도 여겨지는 듯 하다.

Spring AI를 사용한 간단한 예시로 친절한 설명의 중요성에 대해 알아보자.

Sping AI는 @Tool 어노테이션만 붙이면 MCP 서버가 된다.

• 나쁜 예: @Tool(description = "정산 조회") => AI가 헷갈릴 수 있음. "예정 금액 조회인가? 확정 금액인가? 언제 쓰는 거지?"

• 좋은 예: @Tool(description = "사용자의 '확정된' 정산 금액을 조회합니다. '예정' 금액을 물을 때는 사용하지 마세요.") => AI가 훨씬 똑똑하게 작동함.

AI 에이전트와 Spring 서버 간의 실행 흐름 정리

Spring AI를 활용하여 정산 서비스 MCP를 구축한다고 가정했을때 예상되는 AI 에이전트와 서버간의 실행 흐름을 정리해보았다.

핵심 포인트 3가지:

1. 초기화 (맨 위): 서버가 켜질 때 AI에게 나 이런 기술(@Tool) 있다고 미리 명함(명세서)을 건네줍니다.
2. 판단 (AI 내부): 사용자의 돈 질문과 도구의 설명을 매칭해서 AI가 스스로 선택합니다.
3. 실행 (중간): AI는 요청만 하고, 실제 DB 조회는 스프링 서버가 수행합니다.

AI 에이전트가 직접 자바 코드를 실행하는 게 아니라 실행해달라고 요청(Request)을 보내면 스프링 서버가 실행하고 결과만 돌려주는 구조이다.

이 글은 25년 크리스마스 이브에 기사 합격이라는 달달한 선물을 얻게되어 쓰는 회고록이다.

올해 7월부로 퇴사 후 쉬었음 청년이 된 후 어떤걸 해볼까 고민했을때 제일 먼저 생각난 것은 정보처리 기사 취득하기 였다.

2년 11개월 동안 다니다가 자유의 도비가 된 사람이 제일 먼저 하고 싶었던게 자격증 따기라니 조금 아이러니 하지만 하고 싶은게 생기면 실행력은 그 누구보다 뒤지지 않았기에 바로 3회차 기사 필기 접수하러 Qnet 사이트에 뛰어갔다.

19년도에 화공기사 이후에 오랜만에 방문한 Qnet이라 조금 해매면서 접수를 시도했는데 이미 정기 접수는 지난지 오래였고 다행히 나 같은 늦장러들을 위해 빈 자리 접수를 받고 있어서 막차로 신청을 완료했다.

필기 시험 준비

일주일 기간으로 촉박하게 준비를 했다. 이전에 기사 시험을 준비해본 경험이 있으니 당연히 시작은 주구장창 기출 문제를 파면서 시험 공부를 시작했다.

기출문제

[맞춘다] (https://www.machuda.kr/learning/certification/%EC%A0%95%EB%B3%B4%EC%B2%98%EB%A6%AC%EA%B8%B0%EC%82%AC/written) 사이트로 CBT 형식 시험을 대비했다. 기존 CBT 사이트는 UI도 보기 불편하고 해설도 별도로 찾아봐야해서 맞춘다 사이트 3일 체험으로 편하게 공부했다.

오답노트

백지 상태인 내 머리에 가장 도움된 것은 문제 마다 나오는 개념들이 파편화되지 않고 그룹화되어 저장되도록 학습했다.

주로 노트 앱으로 Obsidian을 사용하고 있는데, Obsidian의 canverse를 활용하여 기출문제를 풀고 정확하게 알지 못하는 용어를 카드 형식으로 적고 연관되는 개념들을 그룹화하거나 화살표로 연관지었다. 이 canver는 시험 전 날과 당일 날 개념 훑을 때도 아주 유용했다!!

실기 시험 준비

넉넉하게 3주 정도 시험대비를 했다. 최근 실기 시험 후기를 분석해봤을때 실기 프로그래밍 문제로 계산 문제 및 손 코딩 같은 문제들이 킬러 문항으로 많이 나와서 해당 부분 대비를 50% 나머지 분야 대비 50% 비중으로 대비했다.

기출문제

실기 시험은 이전에 전공 시험처럼 답안지를 자필로 작성하여 제출하는 형식이길래 ebook 문제집이 편리할 것 같아 시나공 실기 기출 문제집을 구매하여 공부했다. 해설 강의도 별도로 유튜브로 제공하는데 2024년도 기출문제 해설부터 개념 문제가 출제될 경우 관련 개념을 같이 정리해줘서 아주 유용했다!!

오답노트

실기 시험인 경우 프로그래밍 문제 / 그 외 분야로 나눠서 오답노트 정리를 했다. 프로그래밍 문제 외 분야는 필기 시험처럼 개념 정리를 Obsidian canverse로 그룹화 하면서 암기했다.

손 코딩 문항은 내 머릿속이 디버거다 생각하고 한 줄씩 실행해가며 이해 안 가는 함수 및 메서드는 따로 정리했다. 복잡한 재귀나 상속 문제는 IDE로 실행해가며 실행 과정을 머리 속에 익혔다.

계산 문제로 많이 나오는 네트워크 서브네팅, 페이지 교체 알고리즘, 프로세스 스케쥴링 문제는 AI한테 기출문제 별도로 요청해서 문항별로 다 풀 수 있도록 대비했다. (하지만.. 3회차 실기에는 출제되지 않았다 🥲)

Notebook LM 활용하기

내 자격증 학습 메이트였던 notebook LM ,,, 정보처리기사 자료는 인터넷 상에 많이 나와있어 시중 자료들을 notebook LM에게 출처로 입력했고, 시나공에 올라와있는 필수 정리집 이런 자료들을 주로 활용할 수 있도록 소스를 준비했다.
나의 정처기 Notebook LM

활용방법

나에게 도움되었던 방법을 몇개 공유해보자면 아래와 같다. 기출문제를 냅다 풀다보면 초반에는 문제에 나오는 용어나 개념도 모르겠고 해설도 뭐라는지 이해하기 어려운 부분이 나올텐데 그때 나의 notebook LM에게 질문하다보니 질문자체도 좋은 학습 경험이 되었던 것 같다.

1. notebook LM을 이제부터 과외선생님 처럼 사용한다.
2. 기출문제 해설을 보고도 이해가 안 되면 해당 설명을 가져와서 관련 개념과 상세 설명을 요구한다.
3. 기출문제와 오답노트 그룹화를 하다보면 카드가 자주 모이는 부분이 있을텐데 해당 부분에 대해 쪽집게 정리 요청하기 ex) 프로세스 스케줄링 기법 비교 분석해줘

글을 마치며,,

나의 작은 2025년 회고이자 자랑글이자 학습 기록을 남기고 싶어서 적기 시작했는데 AI랑 시험대비하는 걸 정말 정말 추천하는 바이다. 특히 notebook LM은 학습 메이트로 정말 효율적인 도구인것 같다. 스터디나 시험 준비를 할때 친구와 모르는걸 의논하다가 나도 모르게 생각 정리가 된 경험이 있을텐데, 그 과정을 똑똑이 친구와 핑퐁한다고 생각하면 좋을 것 같다! 이 일기에 가까운 글을 여기까지 읽어주셨다면 정말 감사하며 따뜻한 크리스마스 보내시길 🎄

Failed to obtain JDBC Connection; nested exception is com.microsoft.sqlserver.jdbc.SQLServerException:
The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption.
Error: "Certificates do not conform to algorithm constraints"

기존 개발 서버에서는 동일한 코드와 설정으로 문제가 없었지만, 신규 개발 서버에서만 위와 같은 오류가 발생했다. 문제의 원인을 분석한 결과, 기존 서버와 신규 서버에서 사용된 Java 버전은 동일했지만(JDK 17), JDK의 벤더(vendor)가 달라 발생한 문제임을 확인했다. JDK 배포판 별 차이점을 기록해두고자 이 글을 작성하게되었다.

🔍 오류 원인 분석

1. Java의 보안 정책 차이

   • 기존 서버: Oracle JDK 사용
   • 신규 서버: Red Hat OpenJDK 사용
   • 두 JDK는 동일한 버전(17.0.x)이었지만, 각 벤더의 java.security 파일 내 보안 설정(jdk.tls.disabledAlgorithms)이 달랐습니다.
   • Red Hat OpenJDK는 더 엄격한 보안 정책을 적용하여 특정 암호화 알고리즘(DH 키 크기 제한, ECDH 등)을 기본적으로 비활성화했습니다.

2. SQL Server 인증서와 Java 보안 정책의 불일치

   • SQL Server에서 사용하는 SSL 인증서가 Java 보안 정책에서 허용하지 않는 알고리즘(예: DH keySize < 1024 또는 EC keySize < 224)을 포함하고 있었습니다.
   • Oracle JDK는 해당 알고리즘을 허용했지만, Red Hat OpenJDK는 이를 허용하지 않아 연결이 거부되었습니다.

📊 Oracle JDK vs OpenJDK 비교

🚀 결론 및 교훈

• 동일한 Java 버전이라도 벤더에 따라 보안 정책과 설정이 다를 수 있습니다. 특히 java.security 파일 내의 설정은 벤더별로 차이가 있으므로 주의해야 합니다.
• 신규 서버를 설정할 때 기존 환경과 동일한 JDK 벤더를 사용하는 것이 예상치 못한 문제를 방지하는 데 효과적입니다.

이번 이슈를 해결하며 운영 중인 서비스의 JDK 선택이 얼마나 중요한지 깨닳았다.

@ModelAttribute는 폼 데이터를 Java 객체에 바인딩하기 위해 사용됩니다.

@ModelAttribute의 동작 방식

• 객체의 필드에 값을 설정하기 위해 setter 메서드가 필요합니다.

• 객체 생성 및 필드 설정

  • @ModelAttribute는 요청 파라미터를 기반으로 새로운 객체를 생성하고, 각 필드에 값을 설정합니다. 이 과정에서 리플렉션이 사용되지만, 필드에 직접 접근하는 대신 setter 메서드를 통해 값을 설정합니다. 이는 *Java의 접근 제어 원칙에 따라 필드에 직접 접근하는 것을 피하기 위해서 입니다. *
  • 캡슐화: 객체 지향 프로그래밍에서 캡슐화 원칙을 준수하기 위해, 필드에 직접 접근하기보다는 setter 메서드를 통해 값을 설정하는 것이 일반적입니다. 따라서, @ModelAttribute를 사용할 때는 setter 메서드가 필요합니다.

• 예시

public class User {
    private String name;
    private int age;

    // Setter 메서드가 필요합니다.
    public void setName(String name) {
        this.name = name;
    }

    public void setAge(int age) {
        this.age = age;
    }
}

@RestController
public class UserController {

    @PostMapping("/register")
    public ResponseEntity<String> register(@ModelAttribute User user) {
        return ResponseEntity.ok("Registered: " + user.getName() + ", Age: " + user.getAge());
    }
}

@RequestParam과 @ResponseBody는 리플렉션을 통해 직접 매개변수에 값을 할당할 수 있지만, @ModelAttribute는 객체의 필드에 값을 설정하기 위해 setter 메서드를 요구합니다. 이는 객체 지향 프로그래밍의 캡슐화 원칙을 준수하기 위한 설계입니다.

@ParameterObject

@ParameterObject는 메서드의 매개변수로 객체를 사용하여 여러 개의 요청 파라미터를 묶어 전달할 수 있도록 해주는 어노테이션입니다. 이 어노테이션을 사용하면, 여러 개의 쿼리 파라미터를 하나의 객체로 매핑할 수 있어 코드가 더 깔끔해지고 가독성이 향상됩니다.

@ParameterObject vs. @ModelAttribute

1. 복잡한 파라미터 구조 처리 용이

• GET 메서드에서 여러 개의 쿼리 파라미터가 필요할 때, @ParameterObject를 사용하면 이러한 파라미터를 하나의 객체로 묶어 관리할 수 있습니다. 이는 코드의 가독성을 높이고, 유지보수를 용이하게 합니다.

2. 명확한 문서화

• @ParameterObject를 사용하면 OpenAPI에서 해당 객체의 모든 필드를 문서화할 수 있습니다. 이는 API 소비자에게 각 필드의 의미와 형식을 명확하게 전달하는 데 도움이 됩니다.

3. Swagger UI에서의 표현

• @ParameterObject를 사용하면 Swagger UI에서 요청 파라미터가 객체로 표현되므로 사용자에게 더 나은 경험을 제공합니다. 사용자들은 객체의 각 필드에 대해 이해하고 입력할 수 있습니다.
• 예시

  • @ModelAttribute 사용 시 Swagger UI에서 Object 형식으로 제공된다.
  • @ParameterObject사용 시 Reqeust 객체 정보가 자세하게 표기된다.

4. 파라미터 재사용

• OpenAPI 3.0의 components 섹션을 활용하여, 여러 엔드포인트에서 재사용할 수 있는 파라미터 객체를 정의할 수 있습니다. 이는 중복을 줄이고 API의 일관성을 높이는 데 기여합니다.

OpenAPI 3.0에서는 @ParameterObject를 사용하는 것이 권장됩니다. 이는 복잡한 요청 파라미터를 처리하고, API 문서의 가독성을 높이며, 사용자에게 더 나은 경험을 제공합니다. 특히 GET 메서드에서 여러 쿼리 파라미터를 다룰 때, @ParameterObject는 매우 유용한 선택입니다.

참고문헌

• https://www.baeldung.com/spring-mvc-and-the-modelattribute-annotation
• https://velog.io/@serringg/DTO%EC%97%90%EC%84%9C-%EC%83%9D%EC%84%B1%EC%9E%90-%EC%A3%BC%EC%9E%85%ED%95%B4%EC%A4%98%EC%95%BC-%ED%95%98%EB%8A%94-%EC%9D%B4%EC%9C%A0

1. HTTP 요청 수신

• 클라이언트가 쿼리 파라미터를 포함한 HTTP 요청을 서버로 보냅니다. e.g., /process?name=John&age=30

2. 메서드 매핑

• Spring MVC는 해당 요청을 처리하는@RequestParam 어노테이션이 붙은 컨트롤러 메서드를 찾습니다.

3. 리플렉션 사용

• 리플렉션을 통해 메서드의 매개변수 정보를 얻습니다. 쿼리 파라미터의 타입과 이름을 확인하여 실제 쿼리 파라미터 값을 읽고 적절한 타입으로 변환합니다.

4.형변환(Casting)

• 쿼리 파라미터는 기본적으로 문자열(String)로 수신되므로, 리플렉션을 통해 얻은 값을 메서드의 매개변수 타입에 맞게 형변환합니다. 이 과정에서 자바의 기본형 타입(예: int, boolean 등)으로도 자동 변환이 이루어집니다.

5.파라미터 바인딩

• 변환된 값들이 메서드의 매개변수로 전달됩니다. 이 과정에서 @Setter가 없어도 리플렉션이 메서드의 매개변수에 적절하게 값을 할당해줍니다.

@RequestParam도 @RequestBody와 유사하게 리플렉션을 통해 처리되며, 개발자는 별도의 setter 메서드를 작성하지 않아도 됩니다. Spring MVC가 자동으로 쿼리 파라미터를 읽어서 적절한 타입으로 변환하고, 메서드에 전달하는 방식으로 동작합니다.

@RequestBody는 Spring MVC에서 HTTP 요청의 본문(body)을 Java 객체로 변환해주는 어노테이션입니다. 클라이언트가 JSON 형식으로 데이터를 보내면, Spring은 이를 자동으로 Java 객체로 변환합니다.

리플렉션을 통한 객체 처리 과정

1. HTTP 요청 수신

• 클라이언트가 JSON 데이터를 포함한 HTTP 요청을 서버로 전달.

2. 메서드 매핑

• Spring MVC는 해당 요청을 처리할 @RequestBody 어노테이션이 붙은 컨트롤러 메서드를 찾습니다.

3. MappingJacksonHttpMessageConverter 호출

• Spring은 MappingJacksonHttpMessageConverter를 사용하여 JSON 데이터를 객체로 변환(역직렬화)합니다.

4. 리플렉션을 통해 메서드의 매개변수 처리

• @RequestBody 가 붙은 매개변수의 타입을 리플랙션을 통해 알아냅니다. 이 정보를 바탕으로 적절한 객체를 생성하거나, 필요한 필드를 설정할 수 있습니다.

5. Jackson의 ObjectMapper 사용

• ObjectMapper를 사용하여 JSON 문자열을 해당 객체 타입으로 역직렬화합니다.이렇게 생성된 객체는 메서드의 매개변수로 전달됩니다.

6. 형변환(Casting)

• 리플렉션을 통해 얻은 객체는 일반적으로 Object 타입이므로, 실제 사용하려는 타입으로 형변환을 해야 합니다.

issue

• @Getmapping으로 설정한 page가 404 error인 상황

solution

• 스프링 부트에서 스프링이 관리하는 객체로 등록하는 코드(@Controller, @Service, @Repository, @Configuration, @Component를 선언한 코드)는 시작 애플리케이션 (hello.learningspring)을 포함한 위치 혹은 그 하위에 존재해야합니다.

- https://www.inflearn.com/questions/662266

전역 영역

var

• 전역 객체의 프로퍼티로 등록

• undefine값으로 초기화되어 호이스팅됨

const, let

• 호이스팅은 되지만 선언 되기 전까지 tdz 구간

• 선언 전에 참조하려하면 reference error

함수 영역

• 같은 환경에 저장되지만 초기화 되는 과정이 다름

참고) https://noogoonaa.tistory.com/78

기존 function과 다른 점

1. this가 없다

   자체 this가 없기 때문에 arrow function 내에서 this를 참조하면 스코프 체인을 타고 찾는다.

   function func() {
    return ()=>console.log(this);
   }
   console.log(func()());
   //return window 객체
   //전역 영역에서 func를 실행시켜서 func의 this는 window 객체

2. argument 객체가 없음

   const func = (a, a, a) => {...} // error!
   function func (a, a, a) {...} //중복되게 인자를 넣어도 argument 객체에 각각 저장되어 argument[0]형식으로 접근하여 상관 없음

콜 스택이 비었을때 콜백 큐에서 콜백 함수를 콜스택으로 옮김

Callback

다른 함수의 인자로 전달되는 함수

동기 콜백

호출 즉시 실행

비동기 콜백

• 나중에 특정 조건 만족시 실행

• setTimeout, eventListener

React에서 return 문에 조건 달기

{} 안에는 js 문법이 적용된다.

객체에서 sepread문법 사용시 값 복사 혹은 override 된다.

• state object는 복사되고, next object는 selectedIndex값이 업데이트 됨

let state = { fetchedLanguages: [],
        selectedLanguages: [],
        selectedIndex: 0,
    }

let next = {selectedIndex : 1}

state = {...state, ...next}

//result
{fetchedLanguages: Array(0), selectedLanguages: Array(0), selectedIndex: 1}
fetchedLanguages: []
selectedIndex: 1
selectedLanguages: []
[[Prototype]]: Object

Atomic design

• 원자: HTML tag
• 분자: HTML tag를 모아 하나의 기능을 하는 컴포넌트
• 유기체: 여러 컴포넌트가 모인 header, main, footer영역

script type = "module"

HTML element를 return하는 (rendering하는) JS file 이다라는 의미

• type을 module이라고 지정을 하지 않으면 error