Identification, Access Control, Authentication, Non-Repudiation

🔑 식별, 접근 통제, 인증, 부인 방지 (Identification, Access Control, Authentication, Non-Repudiation)

요청하신 네 가지 개념은 정보보증(IA)의 핵심 요소이자, 정보 시스템의 보안 주체(Subject)가 정보 자산(Object)에 접근하는 과정에서 반드시 필요한 보안 메커니즘을 구성합니다. 이는 보안의 AAA(Authentication, Authorization, Accounting) 모델을 이해하는 데 중요한 기반이 됩니다.

1. 식별 (Identification)

식별은 보안 주체(대부분 사용자)가 시스템에 접근하기 위해 자신이 누구인지 주장하는 행위입니다. 이는 보안 프로세스의 가장 첫 단계입니다.

• 정의: 사용자가 시스템에 고유하게 등록된 자신의 ID(식별자)를 제시하는 행위.
• 목적: 보안 주체를 시스템 내에서 구별하고, 이후 단계에서 주체의 권한과 활동을 추적(Accounting)할 수 있는 기반을 마련합니다.
• 예시: 로그인 시 사용자 이름(User ID)이나 계정 번호를 입력하는 것.

2. 인증 (Authentication)

인증은 식별 단계에서 사용자가 주장한 ID가 실제 본인이 맞는지 증명하는 과정입니다. 식별된 주체의 신뢰성을 확보하는 핵심 단계입니다.

• 정의: 제시된 식별자(ID)가 정당한 사용자에게 속하는지 검증하는 절차.
• 목적: 인가되지 않은 사용자의 접근을 차단하여 기밀성과 무결성을 확보합니다.
• 인증의 3요소:
  1. 지식 기반 (Something you know): 비밀번호, PIN(Personal Identification Number).
  2. 소유 기반 (Something you have): 보안 토큰, 스마트 카드, 휴대폰(OTP, One Time Password).
  3. 특징 기반 (Something you are): 생체 정보(지문, 홍채, 얼굴 인식).
• 다중 요소 인증 (MFA, Multi-Factor Authentication): 위 3요소 중 두 가지 이상을 결합하여 보안을 강화하는 방식.

3. 접근 통제 (Access Control)

접근 통제는 인증된 보안 주체가 시스템 내의 특정 정보 자산(파일, 데이터베이스, 기능 등)에 대해 어떤 행위(읽기, 쓰기, 실행 등)를 할 수 있는지 결정하고 제한하는 메커니즘입니다.

• 정의: 인증된 사용자가 접근할 수 있는 자원의 범위와 허용되는 조작(Operation)의 종류를 제어하는 기능. 이는 보안의 인가(Authorization) 단계에 해당합니다.
• 목적: 최소 권한 원칙(Principle of Least Privilege)을 적용하여 인가된 사용자라 할지라도 불필요한 자원에 접근하는 것을 막아 무결성 및 기밀성 침해 위험을 최소화합니다.
• 주요 접근 통제 모델:
  • 강제적 접근 통제 (MAC, Mandatory Access Control): 시스템이 사전에 정한 보안 등급(Classification)에 따라 접근을 통제. 높은 보안 요구 사항을 가진 시스템(군사, 정부)에 주로 사용.
  • 임의적 접근 통제 (DAC, Discretionary Access Control): 자원 소유자가 접근 권한을 임의로 지정. 일반적인 운영 체제에서 주로 사용.
  • 역할 기반 접근 통제 (RBAC, Role-Based Access Control): 사용자의 역할(Role)에 따라 권한을 부여. 기업 환경에서 가장 널리 사용.

4. 부인 방지 (Non-Repudiation)

부인 방지는 시스템 내에서 발생한 행위에 대해 행위자가 나중에 그 행위를 했다는 사실을 부인할 수 없도록 증거를 남기는 보안 속성입니다.

• 정의: 정보의 송신자나 수신자가 메시지 송수신 사실이나 특정 행위(트랜잭션 실행 등)를 부인하는 것을 법적/기술적으로 방지하는 메커니즘.
• 목적: 전자 상거래, 금융 거래, 중요 문서 교환 등 신뢰성이 요구되는 환경에서 책임 추적성(Accountability)과 거래의 무결성을 확보합니다.
• 구현 방법:
  • 전자서명(Digital Signature): 메시지를 보낸 송신자가 자신의 개인 키(Private Key)로 메시지에 서명하여 송신 사실의 부인 방지를 구현.
  • 타임스탬프 서비스: 행위가 발생한 시점을 공인된 기관을 통해 기록하여 행위 시점의 조작 방지.
  • 안전한 감사 로그(Audit Log): 모든 행위 기록을 위변조가 불가능하도록 기록하고 보존하여 행위 주체와 시점을 입증하는 증거로 활용.

이 네 가지 개념은 서로 연결되어 정보보증 체계를 완성합니다. 식별 $\rightarrow$ 인증 $\rightarrow$ 접근 통제의 순서로 주체의 신뢰성과 권한을 부여하고, 모든 과정은 부인 방지를 통해 법적 효력과 책임 추적성을 확보합니다.