공부중

  보안의 주목적은, 허가되지 않은 사용자에 의한 자원 접근 또는 허용된 사용자의 허가되지 않은 방법으로 자원에 접근하는 것을 제한하여, 허가된 사용자가 허가된 방법으로만 자원에 접근할 수 있게 하는 것이다. 접근 제어 또는 접근 통제란, 접근하는 사람, 시스템(주체)이 접근 대상(객체)인 시스템에 접근할 때, 보안상의 위험들로부터 객체와 제반 환경을 보호하기 위한 보안 대책을 의미한다. 접근 제어의 절차는 식별, 인증, 인가로 구성된다. 식별이란 본인이 누구라는 것을 시스템에 밝히는 것이다. 각 개인의 신원을 나타내는 정보를 식별자라고 하고, 이는 사용자의 책임 추적성을 분석할 때 중요 데이터가 된다. 인증이란 주체의 신원을 검증하기 위한 사용 증명 활동을 의미한다. 사용자가 본인이 맞다고 주장하면 시스템이 인증해 주는 것을 말한다. 패스워드, 핀번호, 토큰, 지문, 홍채 인식 등은 인증 매체라고 본다. 인가란 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 것이다. 특정 주체가 특정 객체에게 접근할 수 있는지를 접근제어목록(ACL, Access Control List) 등을 통해 확인하여 허가 또는 불허가하게 된다. 이 세 가지와 더불어 최근에 중요하다고 여겨지는 책임 추적성(Accountability)이란, 시스템에 접근한 주체가 시스템에 어떤 행위를 하고 있는지 기록하는 것을 말한다. 문제가 발생했을 때, 이 문제의 원인 및 책임 소재를 파악하기 위해서 만들어졌다.

  접근 제어 또는 접근 통제의 기본 원칙이 있다. 직무 분리와 최소 권한의 원칙이 그것이다. 직무 분리란, 업무의 발생, 승인, 수정, 확인, 완료 등이 처음부터 끝까지 한 사람에 의해 처리될 수 없게 하여 단계별로 직무를 분리하는 보안 정책을 말한다. 최소 권한이란, 허가받은 일을 수행하기 위한 최소한의 권한만을 부여하여 권한 남용을 방지하는 것을 말한다. 

  인증에는 크게 사용자 인증과 메시지 인증이 있다. 사용자 인증이란, 정당한 가입자가 접근한 것인지 확인하기 위해서 수행하는 것으로서, 시스템 내의 자원에 불법적인 접근을 막기 위함이다. 사용자 인증에는 몇 가지 유형들이 있다. 주체가 알고 있는 것을 확인하는 것(지식), 주체가 가지고 있는 것을 확인하는 것(소유), 주체를 나타내는 것을 확인하는 것(존재), 주체가 하는 것을 확인하는 것(행위)들이 있다. 이 유형들 중에서 두 가지를 결합해서 사용하는 것은 Two Factor라고 하고, 세 가지 이상을 결합해서 사용하는 것은 Multi Factor라고 한다. 당연히 Multi Factor가 가장 강한 인증이다. 메시지 인증이란 메시지가 제3자에 의해 또는 다른 이유에 의해서 변조되지 않았는지를 확인하는 것으로서, 메시지의 무결성을 검증하기 위함이다. 즉, 메시지가 실제로 송신자가 보낸 메시지 그대로인지를 확인하는 것이다. 또한 송신자가 실제 송신자가 맞는지를 보장해주기도 한다. 메시지 인증 방식에는, 메시지 암호화, MAC(Message Authentication Code), 해시 함수를 이용하는 방식들이 있다.