--- id: ios-keychain-storage title: iOS Keychain — 비밀 저장 표준 category: Coding status: draft source_trust_level: B verification_status: conceptual created_at: 2026-05-09 updated_at: 2026-05-09 tags: [ios, keychain, security, vibe-coding] tech_stack: { language: "Swift / Security framework", applicable_to: ["iOS", "macOS"] } applied_in: [] aliases: [SecItem, KeychainAccess, biometric, AccessControl] --- # iOS Keychain — 비밀 저장 > Token / password 는 **UserDefaults 절대 X**. Keychain 만이 답. iOS 가 디바이스 암호화 + biometric gate 제공. 단 **API 가 까다로워** wrapper 라이브러리 권장. ## 📖 핵심 개념 - Keychain Services (Security.framework) C API. SecItemAdd/Update/Copy/Delete. - Keychain access group: 같은 팀의 여러 앱이 공유 가능. - AccessControl: biometric / passcode 요구. - iCloud Keychain: 사용자 계정 동기. ## 💻 코드 패턴 ### KeychainAccess 라이브러리 ```swift import KeychainAccess let keychain = Keychain(service: "com.example.app") // 저장 try? keychain.set("token-123", key: "access_token") // 읽기 let token = try? keychain.get("access_token") // 삭제 try? keychain.remove("access_token") ``` ### Biometric (Face ID / Touch ID) gated ```swift let secureKeychain = Keychain(service: "com.example.app") .accessibility(.whenPasscodeSetThisDeviceOnly, authenticationPolicy: .biometryCurrentSet) try? secureKeychain .authenticationPrompt("로그인 토큰 접근") .set("token-123", key: "biometric_token") // 읽을 때 자동으로 Face ID 프롬프트 let token = try secureKeychain.get("biometric_token") ``` ### 직접 SecItem (의존성 X) ```swift func saveToKeychain(_ value: String, key: String) -> Bool { let data = Data(value.utf8) let query: [String: Any] = [ kSecClass as String: kSecClassGenericPassword, kSecAttrAccount as String: key, kSecAttrService as String: "com.example.app", kSecValueData as String: data, kSecAttrAccessible as String: kSecAttrAccessibleAfterFirstUnlock, ] SecItemDelete(query as CFDictionary) // 기존 제거 let status = SecItemAdd(query as CFDictionary, nil) return status == errSecSuccess } func readKeychain(_ key: String) -> String? { let query: [String: Any] = [ kSecClass as String: kSecClassGenericPassword, kSecAttrAccount as String: key, kSecAttrService as String: "com.example.app", kSecReturnData as String: true, kSecMatchLimit as String: kSecMatchLimitOne, ] var item: CFTypeRef? guard SecItemCopyMatching(query as CFDictionary, &item) == errSecSuccess, let data = item as? Data else { return nil } return String(data: data, encoding: .utf8) } ``` ### Accessibility 옵션 - `.whenUnlocked`: 잠금 해제 후만. - `.afterFirstUnlock`: 첫 잠금 해제 후 (재부팅 후 첫 1회만 잠김). - `.whenPasscodeSetThisDeviceOnly`: passcode 설정 + 디바이스 한정 (백업 안 됨). - `.whenUnlockedThisDeviceOnly`: 잠금 해제 + 디바이스 한정. ## 🤔 의사결정 기준 | 데이터 | 저장 | |---|---| | Auth token (access/refresh) | Keychain — afterFirstUnlock | | 사용자 비밀번호 (앱 내) | Keychain — whenPasscodeSet + biometric | | 결제 정보 | Apple Pay (Keychain X) | | OAuth client secret | ❌ 배포 binary 에 박지 마라. PKCE 사용. | | 로컬 설정 (theme, preference) | UserDefaults | | 큰 데이터 (이미지, document) | Files / Core Data | ## ❌ 안티패턴 - **UserDefaults 에 token**: plain text, 백업 노출. - **NSData 그대로 print log**: 비밀 출력. - **Keychain access group 미설정 + 같은 팀 다른 앱 공유 기대**: 안 됨. - **biometric 인증 결과 캐시 + 영구 사용**: 사용자 의도와 다름. 매 민감 작업마다 요청. - **상수 값을 keychain 에 저장 + 매번 읽기**: 성능. 메모리 캐시 + invalidation. - **에러 무시 (try?)**: 저장 실패 silent. 적절 처리. ## 🤖 LLM 활용 힌트 - "비밀 = Keychain. UserDefaults 에 절대 X" 강제. - KeychainAccess 라이브러리 권장. - Biometric 은 진짜 민감 작업만. ## 🔗 관련 문서 - [[Web_JWT_Patterns]] - [[Security_Secrets_Management]]