EMAIL_OTP_PEPPER 역할·권장값 문서 보강 (v0.0.100)

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-05-12 14:12:18 +09:00
parent 6a059a9a59
commit 003fb86fad
6 changed files with 15 additions and 5 deletions
--- a/docs/deploy.md
+++ b/docs/deploy.md
@@ -174,8 +174,8 @@ docker run -d -p 3000:3000 sori.studio:latest
 |------|------|
 | `RESEND_API_KEY` | [Resend](https://resend.com) API 키 |
 | `RESEND_FROM_EMAIL` | 발신 주소(Resend에서 허용된 도메인 또는 테스트 발신자) |
-| `MEMBER_SESSION_SECRET` | 세션용 비밀값(OTP 해시 pepper로도 사용). 별도 pepper를 쓰려면 `EMAIL_OTP_PEPPER` 추가 |
-| `EMAIL_OTP_PEPPER` | 선택. 있으면 OTP 해시에 우선 사용 |
+| `MEMBER_SESSION_SECRET` | 세션 쿠키 서명용 비밀값. **OTP 해시에 쓰는 pepper로도 사용**되므로, `EMAIL_OTP_PEPPER`를 비워 두면 이 값이 OTP용 비밀 재료가 된다. |
+| `EMAIL_OTP_PEPPER` | **선택.** 이메일로 받은 6자리 숫자를 DB에 넣기 전 SHA256 해시할 때 섞는 **서버 전용 비밀 문자열**이다. DB가 유출돼도 pepper를 모르면 인증번호 역산·무차별 대입이 어렵다. **짧은 숫자 한두 개가 아니라**, `openssl rand -hex 32`처럼 **긴 난수 문자열(32바이트 이상 권장)**을 쓰는 것이 안전하다. 비우면 `MEMBER_SESSION_SECRET`을 pepper로 쓴다. |

 `RESEND_API_KEY`와 `RESEND_FROM_EMAIL`이 비어 있으면 기존처럼 이메일 OTP 없이 최초 관리자 가입·일반 가입(OTP 생략)이 동작한다.
 - 관리 도구: CloudBeaver 등으로 추후 연결 가능하게 설계