인증 (Authentication)
컴퓨터 보안에서 인증은 로그인 요청 등을 통해 통신 상에서 보내는 사람의 디지털 정체성을 확인하는 시도의 과정이다.
인증 수단은 크게 3가지로 나누어 살펴볼 수 있다.[5]
지식: 내가 알고 있는 것 (ID/PW, 기존에 미리 답을 저장해 둔 질문에 답하거나 하는 식의 인증 수단)
소유: 내가 가진 것 (인증서, 보안카드, OTP 등)
신체: 내 몸의 특징 (지문, 음성, 홍채, 안면 형태, 심박수 등) -Wikipedia
쉽게 말해 인증이란 접근하려는 사람의 신분을 검증하는 과정이다.
인증 수단은 크게 네가지로 볼 수 있다.
-
지식기반 인증 : 사용자의 지식 ex) ID/PW, 특정 질문에 대한 답변
-
소지기반 인증 : 사용자가 소지하고 있는 물품 ex) 공인인증서, OTP
-
생체기반 인증 : 사용자의 고유한 생체 정보 ex) 홍채, 얼굴, 지문
-
특징기반 인증 : 사용자의 특징 활용 ex) 서명, 발걸음, 몸짓
인가 (Authorization)
안가(authorization)란 리소스에 대한 접근 권한 및 정책을 지정하는 기능이다. 정보 보안 및 컴퓨터 보안, 특히 접근 제어 분야와 관련이 있다. 예를 들어 인사부서 직원들은 보통 직원 데이터를 열람할 수 있도록 허용되어 있다. 하지만 이러한 정책은 일반적으로 컴퓨터 시스템에 접근 제어 규칙들로 저장된다. 컴퓨터 시스템은 어떤 (인증된) 리소스 수요자가 리소스에 대한 요청을 하면, 저장된 접근 제어 규칙들을 적용해 요청을 허가할지 거부할지를 결정한다. 여기서 리소스는 개개의 파일 또는 데이터, 컴퓨터 프로그램이나 프로그램의 일부 기능, 컴퓨터 하드웨어 및 장치 등을 포함한다. 그리고 리소스 수요자는 컴퓨터 사용자뿐만 아니라 컴퓨터 프로그램이나 다른 장치들이 될 수도 있다. -Wikipedia
쉽게 설명해 인가(Authorization)란, 인증된 사용자에게 해당 행위를 할 수 있는 권한을 부여 것이다.
예를 들어 어떠한 파일을 특정 사용자만 다운받을 수 있도록 설정하였다면 인가받은 사용자만이 해당 파일을 다운받을 수 있는 것이다.
인가는 소프트웨어 개발보안을 이해하기위한 중요한 내용이다.
보안의 3대요소는 기밀성, 무결성, 가용성이다.
- 기밀성: 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용된다.
- 무결성: 시스템 내 정보는 오직 인가된 사용자만 수정할 수 있다.
- 가용성: 인가받은 사용자는 언제든지 사용할 수 있다.
