154. 서버 인증

보안서버의 개념

• 보안 서버란 인터넷을 통해 개인정보를 암호화하여 송·수신할 수 있는 기능을 갖춘 서버를 말한다.
• '개인정보의 기술적·관리적 보호조치 기준'에 따르면 보안 서버는 다음과 같은 기능을 갖춰야 한다.
  • 서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송 정보를 암호화하여 송·수신하는 기능
  • 서버에 암호화 응용 프로그램을 설치하고 전송 정보를 암호화하여 송·수신하는 기능
• 스니핑(Sniffing)을 이용한 정보 유출, 피싱(Phishing)을 이용한 위조 사이트 등에 대비하기 위해 보안 서버 구축이 필요하다.

인증(Authentication)의 개념

• 인증은 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하는 보안 절차이다.
• 인증된 사용자에 대해 요청한 자원이나 동작에 대한 권한 여부를 확인한 후 이를 부여하는 보안 절차를 인가(Authorization)라고 한다.
• 인증에는 네트워크를 통해 컴퓨터에 접속하는 사용자의 등록 여부를 확인하는 것과 전송된 메시지의 위·변조 여부를 확인하는 것이 있다.
• 인증의 주요 유형
  • 지식 기반 인증(Something You Know)
  • 소유 기반 인증(Something You Have)
  • 생체 기반 인증(Something You Are)
  • 위치 기반 인증(Somewhere You Are)

지식 기반 인증(Something You Know)

• 지식 기반 인증(Something You Know)은 사용자가 기억하고 있는 정보를 기반으로 인증을 수행하는 것이다.
• 지식 기반 인증은 사용자의 기억을 기반으로 하므로 관리 비용이 저렴하다.
• 사용자가 인증 정보를 기억하지 못하면 본인이라도 인증 받지 못한다.
• 고정된 패스워드(Password): 사용자가 알고 있는 비밀번호를 접속할 때 마다 반복해서 입력한다.
• 패스 프레이즈(Passphrase): 'iloveyou'와 같이 일반 패스워드보다 길이가 길고 기억하기 쉬운 문장을 활용하여 비밀번호를 구성하는 방법이다.
• 아이핀(I-PIN): 인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호로 사용자에 대한 신원확인을 완료한 후에 본인확인기관에서 온라인으로 발행한다.

소유 기반 인증(Something You Have)

• 소유 기반 인증은 사용자가 소유하고 있는 것을 기반으로 인증을 수행하는 것이다.
• 소유 기반 인증은 소유물이 쉽게 도용될 수 있으므로 지식 기반 인증 방식이나 생체 기반 인증 방식과 함께 사용된다.
• 신분증: 사용자의 사진이 포함된 주민등록증, 운전면허증, 여권 등을 사용하여 사용자의 신분을 확인한다.
• 메모리 카드(토큰): 마그네틱 선에 보안 코드를 저장해서 사용하는 것으로, 카드 리더기를 통해서만 읽을 수 있다(일반 은행 입출금 카드).
• 스마트 카드: 마이크로프로세서, 카드 운영체제, 메모리 등으로 구성되어 사용자의 정보뿐만 아니라 특정 업무를 처리할 수 있는 기능이 내장되어 있다(떼 IC칩이 내장된 카드).
• OTP(One Time Password): 사용자가 패스워드를 요청할 때마다 암호 알고리즘을 통해 새롭게 생성된 패스워드를 사용하는 것으로, 한 번 사용된 패스워드는 폐기된다.

생체 기반 인증(Something You Are)

• 생체 기반 인증은 사용자의 고유한 생체 정보를 기반으로 인증을 수행하는 것이다.
• 생채 기반 인증은 사용이 쉽고 도난의 위험도 적으며 위조가 어렵다.
• 생체 인증대상: 지문, 홍채/망막, 얼굴, 정맥 등

기타 인증 기법

• 이외의 기타 인증 기법에는 행위 기반 인증과 위치 기반 인증이 있다.
• 행위 기반 인증(Something You Do): 사용자의 행동 정보를 이용해 인증 수행(서명, 동작, 음성)
• 위치 기반 인증(Somewhere You Are): 인증을 시도하는 위치의 적절성 확인(콜백, GPS나 IP 주소를 이용한 위치 기반 인증)