접근 통제의 요소 :: 식별, 인증, 인가, 책임 추적성! 용어 정리와 그 예시들
2019. 1. 2. 23:11
반응형
- 접근 통제의 요소에는 식별, 인증, 인가, 책임 추적성이 있다.
- 식별(Identification)이란 주체가 본인임을 주장하는 것이다. 예를 들어 사용자는 사용자 이름, 로그온 ID, 스마트카드를 제공함으로서 본인의 신원을 주장하게 된다.
- 인증(Authentication)을 통해서 주체가 자신이 주장한 신원임을 증명한다. 다시 말해 인증은, 신원이 올바른지 검증하기 위한 과정이다. 시스템은 주체에게 주체가 제공한 신원과 관계되어 있는 추가적인 정보를 요구함으로서 인증 과정을 수행한다. 예를 들어 사용자가 아이디를 입력하면, 그것의 패스워드를 요청하는 것이다. 인증 방법에는 여러 가지가 있는데, 그 방법들을 '사용자가 알고 있는 것', '사용자가 갖고 있는 것', '사용자 본인과 사용자가 하는 것'이라는 타입들로 구분할 수 있다. '사용자가 알고 있는 것(Type 1, Something you know)'은 사용자가 암기하고 있는 패스워드, 패스워드 구문이 대표적이다. '사용자가 갖고 있는 것(Type 2, Something you have)'는 사용자가 가지고 있는 것으로서, 토큰 장치, 스마트 카드 등이 있다. 그리고 '사용자 본인과 사용자가 하는 것(Type 3, Something you are, Something you do)'은 사용자의 생물학적 특성을 의미하는 지문, 홍채, 얼굴 모양, 서명, 키 입력 패턴 인식 등이 대표적인 예이다. 이 세 가지 인증 타입들은 숫자가 올라갈 수록 더 강력하다. 즉 Type 1 인증 방법이 제일 약한 편이고, Type 3 인증 방법이 제일 강한 편이다. 물론 Type 3 인증 방법이라고 아예 뚫리지 않는 것은 아니다.
- 인가(Authorization)란 신원을 기반으로 인증된 어떤 주체에게, 그 주체가 특정 객체에 접근할 수 있는 권한을 주는 것을 말한다. 당연히 시스템에서 모든 활동들은, 인가된 활동들이어야 수행될 것이다.
- 책임 추적성(Accountability)이란, 주체가 자신의 행동에 책임이 있다는 것을 보증하는 것을 말하며, 이는 감사, 기록, 감시 등의 방법으로 이뤄낼 수 있다. 감사는 주체의 행동을 추적하여 로그에 기록하는 활동을 말한다.
- 식별과 인증은 뗄 수 없는 관계이다. 신원을 제공하는 것만 끝이 아니라 인증 정보도 제공해야 한다. 이 두 가지 과정을 함께 넘어야 주체가 시스템으로부터 적법한 접근 권한을 부여받을 수 있다. 인증 유형은 3가지 정도로 나눌 수가 있으며 이들 중 몇 가지에 대해 좀 더 정리해보겠다.
- 가장 흔하게 사용되는 인증 방법은 역시 Type 1 인증 방법인 패스워드이다. 많은 사람들이 본인의 패스워드를 기억하려고 애쓰고 애쓰지만 사실 패스워드는 약한 보안 장치들 중 하나이다. 패스워드가 적당하게 설정되어 있지 않으면, 없으니만 못하다. 왜냐하면 사용자는 패스워드를 걸어놓았다는 이유로 사용자의 보안 의식이 떨어지게 되기 때문이다. 그래서 요새는 패스워드 제한 요건을 만들어서, 사용자가 보안성이 있는 패스워드를 만들게끔 유도한다. 패스워드 길이, 패스워드 복잡도(얼마나 다양한 종류의 글자가 있어야 하는지), 패스워드 히스토리(이전에 사용했던 패스워드를 못 쓰게 하는 등...) 등의 설정을 만들어서 강력한 패스워드를 강조한다. 일반 패스워드보다는 패스워드 구문이 좀 더 보안성이 좋은 장치라고 평가되는데, 사용자 본인이 의미있게 생각하는 문자열로 패스워드로 만드는 것이다. 사용자만 의미있게 기억하기 때문에 brute force attack(무작위 공격)에 좀 더 강하다.
- Type 2 인증 방법에는 스마트카드와 토큰 등이 있다. 스마트카드 안에는 칩이 내장되어 있고 이 칩을 통해서 카드 소지자의 신분을 확인하고 인증까지 한다. 내부를 조작하기 어렵기 때문에 중요 공공 기관의 인증 방법으로 사용된다. 토큰은 패스워드 생성 장치를 말한다. 가장 대표적인 토큰 장치는 우리가 은행 업무를 위해 흔히 사용하는 OTP 장치일 것이다. OTP 장치는 사용할 때마다 다르게 패스워드를 생성해주는 동적 패스워드 토큰이다. 보통 토큰 장치는 다른 인증 방법과 결합되어 많이 쓰인다. 가장 큰 단점은 배터리와 고장이다.
- 가장 강력하다고 알려진 Type 3 인증 방법은 다양한 생체 인식 정보를 이용한다. 생체 인식 정보는 생리적이나 행동적인 정보로 나뉜다. 생리적 생체 인식 정보에는 지문, 홍채, 성문(voice) 등이 있으며, 행동적 생체 인식 정보에는 서명 역학, 키 입력 패턴 등이 있다. 지문은 오랫동안 사용되어 왔던 신원 확인 및 인증 방법이며, 홍채는 생체 인식 인증 방법 중에 두번째로 정확하다고 한다. 성문, 즉 목소리의 경우, 단독으로 쓰이기 보다는 다른 방법과 결합되어 많이 쓰인다. 그리고 서명 역학이란 사용자가 어떻게 글자를 쓰는지 인식하는 것을 의미한다. 이러한 생체 인식 정보를 사용하기 위해서는 그 생체 인식 정보가 오류없이 정확해야 할 것이다. 사용자가 자신을 인증하려고 생체 인식 정보를 제공했지만 시스템이 이를 잘못 인식해서 인증이 실패되거나, 부적합한 사용자가 잘못된 생체 인식 정보를 제공했지만 시스템이 이를 올바르다고 인식하여 인증에 성공하는 경우가 없어야 한다.
- 이러한 인증 방법들 중 두 가지 이상의 요소를 이용해서 인증하는 것을 다중 인증이라고 한다. 다중 인증을 하기 위해서는, 유형이 다른 인증 방법을 사용해야 한다. 즉 Type 1 인증 방법 두 가지를 사용하는 것은 다중 인증이 아니다.
반응형
'컴퓨터 · IT > 보안 일반' 카테고리의 다른 글
인덱싱, 해싱, 자료구조 측면에서의 해싱, 순서 인덱스, 해싱 인덱스 (0) | 2019.02.01 |
---|---|
암호학적 해시함수, 충돌 회피성, SHA, MD5 (1) | 2019.01.31 |
AAA(인증,인가,회계/과금/계정관리) 기술, RADIUS, DIAMETER 비교 (1) | 2019.01.08 |
심층 방어, 접근 통제 기법(DAC, MAC, RBAC) (0) | 2019.01.03 |
접근 통제란? '권한, 허가, 특권'의 차이, 접근 통제의 유형 (0) | 2018.12.31 |