지난 포스팅에서 카카오 앱 키를 Plist에서 관리하여 보안 상 문제가 될 수 있는 이슈에 대해서 언급했습니다. 이 뿐만 아니라 이번 프로젝트에서 FireBase를 사용하면서 GoogleService-Info.plist에 대해서도 별도의 보안적 관리를 하지 않고 Github repository에 올리는 등의 작업을 했었기 때문에 이번 포스팅에서는 이렇게 보안이 유지되어야 하는 파일들에 대해서 어떻게 처리하였는지 순차적으로 알아보겠습니다.

0. 데이터 노출의 위험성

본격적으로 이슈를 해결하기 전에, 데이터의 노출이 왜 위험한지에 대해서 생각을 먼저 해보겠습니다.
사용자의 민감한 데이터가 노출되는 것은 매우 직관적으로 위험성을 알 수 있고, 위의 API key와 같은 데이터들 또한 노출이 되면 보안 취약점이 생기게 되고 그에 따라 악의적인 공격자가 공격을 시도할 수 있게 되므로 항상 이와 같은 데이터를 안전하게 관리하는 것이 중요합니다.

최근에도 DDoS 또는 API Key 노출로 인한 공격으로 인해 막대한 서버 사용료를 부과해야 하는 피해자 상황이 발생하기도 했습니다.

1. xcconfig 파일 생성

우선 Xcode에서 xcconfig 파일을 생성해줍니다. xcconfig 파일과 관련한 자세한 내용은 애플의 공식 문서에서 확인하실 수 있습니다.

KAKAO_APP_KEY = // ...
GID_CLIENT_ID = // ...
REVERSED_GID_CLIENT_ID = // ...

저는 위와 같이 프로젝트에서 사용할 키들을 작성하였습니다.

번외) Tuist를 통한 xcconfig 설정

Tuist를 사용하여 프로젝트를 관리하였기 때문에 xcconfig 파일 또한 Tuist의 설정을 통해 활용할 수 있었습니다.

저는 프로젝트 생성 시 debugConfigPath, releaseConfigPath를 받아 사용하였습니다. Scheme이 추가된 환경에서는 그에 맞게 더 추가해서 사용하면 됩니다.

 let settings: Settings = .settings(base: [/* ... */], 
 									configurations: [.debug(name: .debug, xcconfig: debugConfigPath),
                                    				 .release(name: .release, xcconfig: releaseConfigPath)],
                                    defaultSettings: .recommended)

2. Info.plist 수정

기존에는 Info.plist 파일에 직접 위 키들이 저장되어 있었습니다.
앞서 xcconfig 파일을 생성하고 해당 파일에 키들을 저장해놓았으므로 Info.plist 파일에서는 이를 사용합니다.

3. Bundle extension

이번 프로젝트에서는 AppDelegate에서 카카오의 앱 키를 필요로 했습니다. 따라서 해당 데이터에 접근하기 위해 Info.plist에 저장된 Kakao App Key 속성에 접근하여야 했습니다.

extension Bundle {
    public var kakaoAppKey: String? {
        return Bundle.main.infoDictionary?["Kakao App Key"] as? String
    }
}

위와 같이 Bundle의 extension을 활용하여 해당 속성에 접근한 후 코드에서 활용할 수 있었습니다.

4. .gitignore

1번 단계에서 생성한 xcconfig 파일은 깃허브에 올라가서는 안됩니다. 따라서 해당 파일과 GoogleService-Info.plist파일을 추가로 .gitignore파일에 추가해주었습니다.

5. 이미 올라간 파일 삭제

아직 깃허브에 데이터가 올라가지 않았다면 4번까지만 진행하면 되지만, 이미 올라가지 않아야 할 데이터들이 올라간 상태라면 해당 파일들의 기록을 삭제하기 위해서 아래 작업을 추가로 진행해야 합니다.

git filter-branch --force --index-filter 'git rm --cached --ignore-unmatch 경로/파일명.확장자' --prune-empty --tag-name-filter cat -- --all

git add .

git commit -m "🔥 기록 삭제"

git push origin --force --all

• git filter-branch : 커밋을 재 작성할 때 사용하는 명령어
• --force : 강제로 작업을 수행하는 명령어
• --index-filter : 깃 저장소의 인덱스를 변경하는 필터를 지정하는 명령어
• git rm --cached --ignore-unmatch 경로/파일명.확장자 : 해당 파일을 깃 인덱스에서 삭제하는 명령어
  • git rm -r --cached --ignore-unmatch 경로 와 같이 명령어를 작성하면 파일이 아닌 폴더를 삭제합니다.
  • --cached 옵션을 사용하면 깃허브에서만 삭제가 되며 로컬에서는 삭제되지 않습니다. 해당 옵션을 사용하지 않으면 로컬에서도 삭제가 됩니다.
• --prune-empty : 빈 커밋일 경우 삭제
• --tag-name-filter cat : 모든 태그를 다시 생성하도록 설정하는 명령어
• -- --all : 모든 브랜치와 태그에 대해서 작업을 수행하는 명령어. 해당 옵션을 사용하지 않으면 현재 브랜치에서만 작업을 수행합니다.
• git push origin --force -all : 삭제가 성공적으로 완료되었으면 force-push 해줍니다.

위 명령어는 깃 저장소의 기록을 수정하므로 수정한 커밋 이후의 모든 커밋의 해시값이 변경됩니다. 따라서 협업하는 개발자 분들과 충분한 협의 후 해당 작업을 수행해야 합니다.

Reference

깃 히스토리 특정 파일 삭제
git에서 잘못 올린 파일의 이전 내역을 전부 제거하는 방법
https://velog.io/@yoogail/GitHub에-이미-올린-파일-history에서-삭제하기