접근통제의 구성과 3단계, 사용자 인증 유형 정리

 

 

 

 

 

 

1. 접근통제의 구성 용어 및 3단계

 

 

접근통제의 구성 용어에 대해 알아보도록 하겠습니다. 접근통제는 주체(subject), 객체(object), 접근(access)으로 이루어져 있습니다. 주체란 객체나 객체 내의 데이터에 접근을 요청하는 능동적인 개체입니다. 행위자라고 불리기도 하죠. 사용자, 프로그램이나 프로세스일 수도 있고 작업을 수행하기 위하여 객체에 접근하곤 합니다. 이제는 객체에 대해서도 알아보도록 하겠습니다. 객체는 접근대상이 될 수동적인 개체나 행위가 일어날 물건입니다. 객체는 제공자라고도 불리며 컴퓨터, 데이터베이스, 파일, 컴퓨터 프로그램, 디렉터리가 될 수 있습니다. 주체와 객체의 차이가 명확하게 다가오나요? 마지막으로 접근이 있습니다. 접근은 주체와 객체 사이의 정보의 흐름을 뜻합니다. 읽거나 말들거나 삭제하거나 수정하는 행위를 하는 주체의 활동입니다.

 

접근통제의 3단계에 대해서도 알아보겠습니다. 접근통제는 식별, 인증, 인가 3단계로 이루어져있습니다. 식별은 내가 누구인지 시스템에 밝히는 것입니다. 인증 서비스에 나를 확인시키는 과정이죠. 나란 존재를 확인시키기 위하여 정보를 공급하는 주체의 활동입니다. 식별자는 개개인의 신원을 나타내기 때문에 사용자의 책임추적성(로그) 분석에 중요한 자료가 되기도 합니다. 식별을 이용한 접근 매체로는 사용자명, 계정번호, 메모리카드가 있습니다. 다음으로 인증에 대하여 알아보도록 하겠습니다.

 

인증은 주체의 신원을 검증하기 위한 사용 증명의 활동입니다. (verify, prove) 본인임을 주장하는 사용자에게 본인이 맞다고 시스템이 인증해주는 과정입니다. 인증에는 3가지 종류의 인증이 있는데 소제목2에서 알아보도록 하겠습니다.

 

다시 접근통제의 3단계로 돌아가보겠습니다. 접근통제의 3번째는 인가입니다. 이는 인증된 주체에게 접근을 허용하며 특정 업무를 수행할 권리를 부여하는 과정입니다. 인가에서 사용되는 알 필요성은 Need-to-know라고도 불리며 주체에게 어떤 정보가 유용한지와 관계가 있는 공인된 형식상의 접근수준입니다. 접근매체로는 접근제어목록인 ACL과 보안등급이 있습니다.

 

 

2. 사용자 인증의 유형 정리

 

사용자 인증의 유형에는 지식기반인증과 소유기반인증, 생체기반인증이 있습니다. 지식기반인증은 주체 본인이 알고 있는 것을 보여주며 Something you know라고 합니다. 패스워드나 pin등 사용자가 알고 있는 지식을 이용하여 올바른 사용자인지 인증하는 방식입니다. 지식기반인증을 공격하는 공격유형에는 추측이 있습니다. 소유기반인증은 사용자가 소유하고 있는 물건을 이용하여 본인임을 인증하는 방식입니다. 주체 본인이 가지고 있는 것을 보여주며 Something you have라고도 불리며 예로는 토큰이나 스마트 카드가 있습니다. 소유기반인증을 공격하는 공격유형에는 강탈이나 도난이 있습니다. 마지막으로 생체기반인증은 말 그대로 사용자의 생체정보를 이용하여 인증하는 방식입니다. 주체 본인을 나타내는 것을 보여준다고 하며 Something you have입니다. 지문이나 홍채 등 사용자만이 가지고 있는 고유생체정보가 여기에 해당합니다. 지식기반인증과 소유기반인증과는 달리 훔치거나 강탈할 수 없기 때문에 생체를 도려내는 공격 외에는 불가능하기 때문에 상대적으로 안전하게 느껴집니다. 그러나 개인생체정보를 제공하는 것이 다른 인증보다 꺼려질 수 있습니다. 또 몇 가지 인증 유형을 사용하느냐에 따라 Two Factor, Multi Factor 등의 이름으로 불립니다. 이들은 여러가지 인증 매커니즘을 결합하여 사용하는 것을 뜻합니다. 예를 들면 토큰과 PIN을 결합하여 인증을 구현하는 방식이나 토큰과 PIN, 지문인식을 결합하여 인증을 구현하는 방식이 있습니다.

 

 

 

지금까지 접근통제의 구성 용어와 3단계, 사용자 인증의 유형에 대하여 가볍게 알아보았습니다.

다음 시간에는 각 타입 별 사용자 인증 유형에 대하여 더 자세히 설명하도록 하겠습니다.