HMAC Tester

🔐 Hash vs HMAC — 무엇이 다른가?

일반 Hash — "데이터 지문 (무결성)"

키 없이 누구나 동일한 결과를 생성할 수 있습니다. 데이터 변조 여부만 확인합니다.

      원본:  SHA-256("송금 100만원") → abc123

      위조:  SHA-256("송금 1억원")  → def456  ← 공격자가 직접 계산 가능

HMAC — "서명된 데이터 지문 (서명 + 무결성)"

HMAC: Hash-based Message Authentication Code

비밀키를 포함하여 계산합니다. 키 없이는 같은 결과를 만들 수 없어 발신자 인증까지 보장합니다.

HMAC(Key, Message) 구조로, 2회 해싱을 통해 키와 메시지를 결합하여 계산합니다.

      원본:  HMAC("secret", "송금 100만원") → abc123

      위조 시도: HMAC(???, "송금 1억원")  →  (공격자는) 키 없이 계산 불가

핵심 비교표

항목	일반 Hash	HMAC
키 필요	❌ 없음	✅ 비밀키 필수
무결성 검증	✅	✅
발신자 인증	❌	✅
Length Extension Attack	⚠ SHA-2 취약	✅ 구조적 차단
속도	빠름	약간 느림 (2회 해싱)
대표 사용처	파일 체크섬	JWT, API 서명, OAuth, 쿠키

결론

일반 Hash는 "이 데이터가 변조됐는가?"만 확인합니다.

HMAC은 "이 데이터가 변조됐는가?" + "믿을 수 있는 발신자가 보낸 것인가?"를 동시에 보장합니다.

네트워크를 통해 데이터를 주고받는 모든 인증 시나리오에서는 일반 Hash 대신 HMAC을 사용하세요.

🔑 비밀키 (Secret Key)

키는 서버와 클라이언트가 사전에 공유한 비밀값입니다.

💡 HMAC = H(Key XOR opad ∥ H(Key XOR ipad ∥ Message)) — 키 없이는 동일한 MAC 생성 불가

메시지 (Message)

대문자 자동실행 시간표시 형식:

HMAC 알고리즘 선택

🔍 MAC 비교 검증

🔑비밀키와 메시지를 입력하고 실행하세요.

🔐 Hash vs HMAC — 무엇이 다른가?

일반 Hash — "데이터 지문 (무결성)"

HMAC — "서명된 데이터 지문 (서명 + 무결성)"

핵심 비교표

결론

🔑 HMAC Tester