인증과 인가

김형준 Kim Hyeong Jun·2022년 12월 6일

인증과 인가(혹은 권한 부여)는 무엇이 다를까?

인증 단계에서는 사용자의 신원을 확인하고,
인가 및 권한 부여 단계에서는 신원이 확인된 사용자에게 리소스에 액세스할 수 있는 권한을 부여한다.

비슷하게 들릴 수도 있지만,
각 개념은 IAM(Identity and Access Management)환경에서는 명확히 구분되는 보안 프로세스이다.

IAM, identity and Access Management란?
리소스에 대한 엑세스를 안전하게 제어할 수 있는 웹 서비스이다.
IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어한다.

인증에 대한 정의

인증은 사용자의 신원을 검증하는 행위로서 보안 프로세스에서 첫 번째 단계이다.

인가(권한 부여)에 대한 정의

시스템 보안에서 인가란, 사용자에게 특정 리소스나 기능에 액세스할 수 있는 권한을 부여하는 프로세스를 말한다.
보안 환경에서 권한 인증은 항상 인증 이후에 진행되어야 한다.

인증과 인가의 비교

여기 가족이 휴가를 떠나 집에 홀로 남겨진 반려 동물을 보살피기 위해 누군가가 잠긴 문으로 다가가고 있습니다. 이 사람에게 필요한 것은 다음과 같습니다.

열쇠 형태의 인증이 필요합니다. 자격 증명을 정확하게 입력하는 사용자에 한해서 액세스가 허용되는 것처럼 현관 자물쇠에 맞는 열쇠를 가진 사람에게만 접근이 허용됩니다.

출입 허가에 해당하는 인가 및 권한 부여가 필요합니다. 일단 집 안으로 들어가면 주방에 가서 반려 동물 사료가 보관된 찻장을 열 수 있는 권한 인증을 받게 됩니다. 하지만 침실에 들어가서 낮잠을 잘 수 있는 권한은 없습니다.

위의 예에서 인증과 권한 인증은 함께 작동합니다. 반려 동물 관리인은 집에 들어갈 수 있는 권한(인증)이 있으며, 일단 내부로 입장하면 특정 영역에 접근할 수 있습니다(권한 인증).

인증 : 선택한 인증 요건과 관련하여 적합한 자격 증명을 입력하는 직원에게 기업 시스템에 대한 액세스를 허용한다.

인가(권한 부여) : 부서별 파일에 액세스할 수 있는 권한을 부여하고, 필요할 경우 금융 정보 등의 기밀 데이터에 대한 액세스 권한도 갖는다. 직원은 업무 수행에 필요한 파일에도 액세스할 수 있어야 한다.