공부중

  사용자 인증의 유형에는, 사용자가 알고 있는 지식을 확인하는 것, 사용자가 소유한 것을 확인하는 것, 사용자의 존재를 나타내는 것을 확인하는 것, 사용자가 하는 행위를 확인하는 것이 있다. 각각의 기법에 대해 자세히 정리하겠다.

  먼저 지식 기반 인증이란, 사용자가 알고 있는 어떤 지식을 확인하여 사용자를 인증하는 기법이다. 사용자는 신원을 입증하기 위해 신원정보를 제공하고 이를 확인하게 된다. 지식 기반 인증의 보안성은 비밀번호의 크기와 랜덤성에 의존한다. 지식 기반 인증은, 애매 모호함이 없다. 다시 말해 검증이 되거나 되지 않는 것이 확실하다. 사용자가 자신의 비밀번호를 알면 인증이 되고, 모르면 인증되지 않는다. 그리고 지식 기반 인증은 비교적 저렴한 관리 비용을 갖는다. 비밀번호가 맞는지 확인하는 과정은, 시스템에서 이미 저장하고 있는 정보들을 이용하므로 별다른 추가 비용이 들지 않는다. 또한 사용자 입장에서도 신원을 확인받기가 편하다. 비밀번호만 입력하면 되기 때문이다. 지식 기반 인증의 단점은, 사용자가 비밀번호를 기억하지 못할 수 있다는 점이다. 그리고 보통 사용자 개인 정보를 이용해서 비밀번호를 생성하기 때문에, 공격자가 이러한 점을 이용하면 쉽게 추측이 가능할 때도 있다. 따라서 사용자들은 비밀번호를 설정할 때, 잘못 설정하여 쉽게 노출되지 않도록 충분한 주의를 기울이는 것이 좋다. 패스워드는 두 가지 종류가 있다. 고정 패스워드와 일회용 패스워드이다. 고정 패스워드는 접속할 때 같은 패스워드가 반복되어 사용되는 것을 의미한다. 이 고정 패스워드를 평문으로 시스템에 저장할 수도 있지만 이것은 권장되지 않는다. 보다 안전한 방법은 패스워드의 해시를 저장하는 것이다. 해시함수는 일방향 함수이기 때문에 패스워드 값을 추측하는 것이 힘들어지게 된다. 아니면 패스워드 솔팅(password salting)이라는 방법을 쓸 수도 있다. 패스워드로 사용할 문자열에, 솔트라는 랜덤 문자열을 이어 붙인 뒤, 해시함수를 적용하는 것이다. 솔트를 이어 붙임으로써, 중복되는 비밀번호의 생성을 방지할 수 있다. 고정 패스워드말고 일회용 패스워드는 One Time Password로서, 우리가 흔히 OTP라고 부르는 것이다. 이름 그대로 오직 한 번만 사용되는 비밀번호를 말한다. 이런 타입의 패스워드는 어차피 계속 변경되기 때문에, 도난 혹은 도청이 그다지 의미가 없게 된다. 패스워드들은 길이가 길수록, 사용 기간이 짧을 수록, 사용 빈도가 낮을수록 추측하기 어렵다는 성질이 있다. 따라서 최소한 8자리 이상의 문자와 4가지 유형의 문자(대,소문자, 숫자, 특수문자 등)로 구성하도록 권장되고 있다. 최근에는 i-PIN이라고, 주민번호 대신에 본인 확인할 수 있는 수단이 있다. 이 i-PIN을 이용하면 주민번호를 외부에 노출시키지 않아도 되고, 실명 확인 및 주민번호 확인보다 더 안전한 방법이라고 한다.

  소유 기반 인증이란, 사용자가 가지고 있는 소유물을 확인하여 인증하는 기법이다. 신분증, 암호키 등의 다양한 수단이 있다. 그러나 소유 기반 인증만만 하는 것은, 부정한 사용자가 복제 등의 방법을 통해서 부정하게 소유물을 구할 수 있는 위험이 있다. 다른 사람이 쉽게 도용할 수 있는 것이라서 단독으로 쓰이기 보단, 지식 기반 인증이나 생체 기반 인증과 복합되어 쓰이곤 한다. 또한 손실이나 도난 시에 대체해야 하는 관리 기능 비용이 추가로 요구된다. 소유 기반 인증의 수단으로는, 메모리 카드, 스마트 카드, 일회용 패스워드 단말장치 등이 있다.

  생체 기반 인증이란, 사용자의 생체적인 특성을 가지고 인증하는 기법이다. 생체 기반 인증의 수단으로는, 지문, 홍채, 음성, 얼굴 이미지 등이 있다. 사용자는 사전에 자신의 생체 정보를 데이터베이스에 등록해놓고 추후에 시스템에 접근할 때 이를 비교하여 일치하면 접근 허가를 받게 된다. 생체 기반 인증은, 사용자가 사용하기 쉬우며, 분실하거나 손실될 위험이 거의 없다. 또한 생체 정보의 위조는 어려우므로 안전성도 증가하게 된다. 단점은 판단 모호성이 존재한다는 것이며 사용자의 생체 정보를 비밀스러운 곳에 조심스럽게 저장 및 보관해야 한다는 관리의 어려움이 있다. 생체 인증 기술의 평가 항목이 몇 가지 있다. 모든 사람이 가지고 있는 생체 정보여야 한다는 보편성, 동일한 생체 정보를 갖는 타인이 없어야 한다는 유일성, 시간에 따른 변화가 없는 지속성, 정량적으로 측정이 가능한지 확인하는 획득성, 환경 변화와 무관하게 높은 정확성을 얻는 것이 가능한지 확인하는 성능, 사용자의 거부감이 없어야 하는 수용성, 고의적인 부정사용으로부터 안전한지를 확인하는 기만성이 있다. 앞서 설명했듯, 지문, 얼굴, 망막, 홍채, 음성, 서명 등이 생체 기반 인증 기술들이다.