세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

보안대책

인증

포스팅 뷰265

인증의 정의

정보보안의 3대 기술적 목표인 기밀성(Confidentiality) 보호, 무결성(Integrity) 보호, 가용성(Availability) 보호에 두 가지를 더 추가하면 인증(Authentication과 책임 추적성(Accountability)이다.


인증은 특정 사용자에게만 속하는 정보를 검증함으로써 어떤 사용자가 진짜 그 사용자임(Authenticity)을 확인하는 절차이다. 사용자는 사람일 수도 있고 사물일 수도 있다. 대면 상황에서는 주민등록증의 정보와 사진이 주민등록증을 제출한 사람과 비교함으로써 사용자를 인증한다. 온라인 비대면 상황에서는 ID와 비밀번호가 대표적인 인증 방법이다.


인증 방법

  • 기억(지식) 기반(What you know)
    • 특정 사람이 알고 있는 것 또는 외우고 있는 것을 검증함으로써 그 사람이 진짜 그 사람인 것을 확인함. 비밀번호나 일부 사이트에서 비밀번호 재설정에 사용하는 비밀정보(가장 소중한 것 등의 질문과 그에 대한 답변)가 이에 해당
    • 장점: 비밀번호 또는 비밀정보를 미리 시스템에 등록해 놓고, 사용자 로그인 시 입력하는 것과 비교해 보기 때문에 구현이 쉽고 추가 비용이 거의 들지 않음
    • 단점: 비밀번호를 입력해야 할 사이트가 매우 많아서 사용자가 다 기억하기 어렵고, 사이트마다 비슷하거나 동일한 비밀번호를 만들어 사용하면 한 사이트에서 비밀번호가 유출되었을 때 여러 사이트에서 권한 없는 자의 인증이 가능하게 됨


  • 소유 기반(What you have)
    • 어떤 인증 수단의 소유 여부를 검증함으로써 그 사람이 진짜 그 사람인 것을 확인함. 대표적인 것인 휴대폰 소유 인증. 문자 메시지, 스마트폰 앱을 이용한 OTP는 결국 특정 사람이 특정 전화번호의 휴대폰을 소유한 것을 검증하는 것. 이외에도 보안카드, 일회용 비밀번호 (OTP) 단말, 이메일 계정, 신용카드, 은행 계좌, 인증서의 소유 여부를 검증하는 방식도 많이 사용됨.
    • 장점: 사람의 기억력의 한계를 해결함
    • 단점: 특정인 명의로 휴대폰이 부정 개통되면, 온라인 비대면 상황에서 그 사람으로 위장하여 이메일, SNS, 금융 등 매우 다양한 분야에서 심각한 피해가 발생할 수 있음


  • 존재 기반(What you are)
    • 어떤 사람이 제출한 신체 정보 또는 행동 정보를 처리하여 생성한 생체인식정보를 검증함으로써 그 사람이 진짜 그 사람인 것을 확인함.
      • 신체 정보: 지문, 홍채, 음성, 정맥, 얼굴 등
      • 행동 정보: 필체, 타이핑, 걸음걸이 등
    • 장점: 보안성과 편의성이 모두 높이는 인증 수단
    • 단점: 다른 인증 수단과 달리 사용할 수 있는 수단의 수에 제약이 있음. 지문은 닳거나 없어질 수 있고, 기술적으로 인증 실패할 수도 있음


인증에 대한 유의사항

인증은 구별(Identification)과 다르다. 구별자(Identifier)는 유일하게 존재하는 객체를 가리키는 것이다. 로그인 과정에서 ID를 비교하는 과정이 구별(Identification)이고, 비밀번호를 검증하는 과정이 인증이다.


Authentication과 Certification이 우리 말로 인증으로 번역되는데, 둘은 매우 다르다. Certification은 어떤 사람이나 제품, 서비스, 시스템 등이 사전에 정의된 기준을 충족하는지 검증하는 것이다. 예를 들면 정보보호 및 개인정보보호 인증(ISMS-P)이 있다.