제1절 인증과 권한 부여
제1항 식별 (Identification)
식별(Identification)은 객체에 접근하려는 주체가 자신임을 확인시키는 단계로써 ID, RFID, 국제 휴대폰 식별정보 등의 정보를 제공하여 주체의 신원을 주장하게 되며 추후 책임추적성 분석에 중요한 자료가 된다.
시스템에서는 주체의 신원을 확인하기 위해 고유의 정보를 할당하게 되는데 일반적으로는 회원 가입 시에 각 주체가 신청하는 ID를 입력하고 중복 여부를 확인하는 과정을 통해 주체 별 고유한 식별정보를 할당하게 된다.
법률에서는 주민등록번호, 여권번호, 운전자번호, 외국인등록번호 등 개인마다 하나씩 부여된 개인정보를 ‘고유식별정보’라 하며 고유번호를 주로 신분증이라는 매체에 기록하여 오프라인에서 활용하지만 온라인에서는 고유번호와 발급기관의 정보를 확인하여 본인확인 목적으로 수집 저장되기도 한다.
과거에 주민등록번호의 무분별한 수집 및 정보시스템의 침해, 유출 등 사고로 많은 주민등록번호 등 중요 정보가 유출되어 ‘아이핀’이라는 대체수단을 활용해 주민등록번호 대신하여 인터넷 상에서 신분확인을 위해 사용할 수 있다.
‘디지털 신분증 (Digital Identity)’은 탈중앙화 신원증명(DID, Decentralized Identity)를 이용하여 운전면허증, 여권 등 디지털화한 데이터를 IC카드 칩, 스마트 디바이스 등에 저장해 개인의 신원 및 자격을 증명하는 전자 신분증을 말하며, 행정안전부는 디지털 정부혁신을 위한 국가 모바일 신분증의 도입 계획을 발표하여 모바일 운전면허증을 시작으로 디지털 신분증 활용 범위를 국가유공자증, 장애인증, 외국인등록증 등으로 확대할 예정에 있다.
제2항 인증 (Authentication)
인증(Authentication)은 주체가 자신이 주장한 신원임을 증명하는 단계이다. 인증은, 신원이 올바른지 검증하기 위해 주체에게 주체가 제공한 신원과 관계되어 있는 추가적인 정보를 요구하고 정보의 일치 여부를 확인함으로서 인증 과정을 수행한다.
예를 들어 일반적으로 정보시스템에 접근할 경우, 사용자 ID를 입력하고 ID에 해당하는 패스워드를 입력하게 되는데 ID를 입력하는 단계가 식별이며, 패스워드를 입력하는 단계는 인증이다.
인증기술에는 사용자 인증과 메시지 인증으로 구분할 수 있다
사용자 인증(User Authentication)은 하나의 세션 동안 주체와 객체 간에 즉 거래 당사자(사람,프로세스,클라이언트,서버,장비 등) 간에 상대의 신원주장에 대해 유효성을 확인하는 과정이다.
사용자 인증 개체(대상)별로 구분하면 지식, 소유, 존재, 행위로 분류 가능하다.
[표] 인증 개체의 종류
인증 개체 | 유형 | 설명 |
지식 (Type I) | 패스워드, PIN 등 | Something you know 주체만이 알고 있는 정보를 이용하는 기법 |
소유 (Type II) | 신분증, 토큰, 스마트카드 | Something you have 주체가 소유하고 있는 것을 통해 인증하는 기법 |
존재 (Type III) | 홍채, 정맥, 지문 등 생체 인증 | Something you are 주체만이 가지고 있는 특징을 이용하여 인증하는 기법 |
행위 (Type IV) | 음성, 서명, 키스트로크 다이나믹스 | Something you do 주체의 행동 특징을 이용하여 인증하는 기법 |
사용자 인증 방법으로는 다양한 방법이 존재하며 주로 패스워드를 입력하여 사용자를 인증하는 방법을 일반적으로 사용한다. 인증 방법에 따라 구조, 기술 등이 다를 수 있지만 (1) 시스템과 사용자 간에 인증 값을 공유하는 단계, (2) 사용자가 시스템에 인증 값을 전달하여 확인을 받는 단계, (3) 확인 후 적절한 권한을 부여받는 단계로 진행되는 공통점을 가지고 있다.
사용자 인증 방법은 기본, 토큰, 강한 인증 방법으로 분류할 수 있다.
[표] 인증 방법
구분 | 유형 |
기본 인증 방법 | 아이디/패스워드 |
토큰 인증 방법 | 스마트 카드, 생체인식 |
강한 인증 방법 | PKI 기반 전자서명 |
적용된 인증 방법의 수에 따라 분류하거나 양측 간에 인증 값 공유 방식에 따라 다음과 같이 분류할 수 있다.
[표] 적용된 인증 방법 수 및 인증 값 공유 방식에 따른 분류
구분 | 예시 | 설명 |
One Factor 방식 | 아이디/패스워드 | 패스워드에 해당하는 고정된 암호 값 적용 방식 |
OTP (One Time Password) | 액세스 할 때 마다 랜덤하게 생성되는 다른 암호 값 적용하는 방식 | |
Two Factor 방식 | 카드번호 + 비밀번호 | 소유하고 있는 카드번호와 소유자만 알고 있는 비밀번호를 이용하여 인증하는 방식 |
아이디/패스워드 + OTP | 소유자만 알고 있는 아이디/패스워드와 소유하고 있는 OTP 기기의 값을 통해 인증하는 방식 | |
공유 비밀키 방식 | 양측 간에 공유된 비밀 값에 의해 인증하는 방식 | |
시도 응답 인증 방식 | 매번 생성되는 난수를 전달하고 이에 대한 응답을 통해 인증하는 방식 |
이외에도 Kerberos, SSO(Single Sign On) 등 한번의 인증절차로 여러 시스템을 함께 이용할 수 있는 기술도 있다.
인증 시 사용할 수 있는 프로토콜에는 다음과 같은 유형이 있다.
[표] 인증 프로토콜
구분 | 유형 | 설명 |
2계층 인증 프로토콜 | PAP | PPP 등에서 평문 ID와 패스워드를 사용하는 인증 프로토콜 |
CHAP | 기존 PAP 방식의 취약점을 개산하여 3단계 핸드쉐이크를 통해 인증하는 프로토콜 | |
EAP | 다양한 인증방식을 선택 가능하도록 하는 범용 인증 프레임워크 | |
분산 사용자 인증 프로토콜 | RADIUS | 클라이언트/서버 기반의 원격 접속에 대한 사용자 인증 서버에서 사용하는 프로토콜 (UDP) |
DIAMETER | RADIUS 보다 강화된 보안 기능과 신뢰성 있는 전송계층 프로토콜을 사용하는 인증 프로토콜 (TCP, SCTP) | |
TACACS+ | 인증과 권한부여를 분리하여 취급하고 신뢰성 있는 전송계층 프로토콜을 사용하는 인증 프로토콜 (TCP) | |
네트워크 접근제어 프로토콜 | 802.1X | LAN/WLAN 등에서 포트 활성화를 위한 인증 프로토콜 |
메시지 인증 (Message Authentication)은 교환되는 매 메세지(정보)마다 진위를 확인하는 과정이다. 메세지인증코드 등은 데이터 출처의 진위 및 내용의 위변조 여부를 위한 수단으로 활용된다.
'(부제) 나는 CISO 이다 > SecureDog 프로젝트' 카테고리의 다른 글
암호화의 개요 (0) | 2022.04.01 |
---|---|
권한 부여 (인가, Authorization) (0) | 2022.03.27 |
접근통제 메커니즘 (0) | 2022.03.18 |
접근통제 모델 (0) | 2022.03.18 |
접근통제 정책 (0) | 2022.03.18 |
댓글