Skip to content

♻️ [Refactor] 인증 보안 강화 (SMS 무한 대입 방어) #136

Description

@komascode

📝 개요

  • 인증 로직 점검 중 발견된 보안 이슈 3건을 개선합니다.
  1. SMS 인증번호 무차별 대입(brute-force) 방어 부재
  2. 운영 로그에 SMS 인증번호 평문 노출
  3. 주석 정정 (인증 보장 토큰에 관련해서)

✔️ To-Do

  • SMS 검증 실패 카운터 추가 (번호별 5회 초과 시 코드 무효화, Redis 활용)
  • sendSms() 발송 성공 로그에서 인증번호(code) 제거
  • verification token 재사용 관련 주석 정정 (검증 및 소멸 → 재사용 가능 명시)

👀 ETC

  • 검증 실패 카운터는 기존 로그인 실패 5회 잠금 로직과 동일한 패턴 적용
  • DEV/QA 모드(smsEnabled=false)의 코드 로그(108번 줄)는 테스트용이므로 유지

Metadata

Metadata

Assignees

Labels

Fields

No fields configured for Feature.

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions