보안 공부를 처음 시작할 때,
가장 많이 헷갈리는 개념 중 하나가 바로 '인증'과 '인가'입니다.
저또한 정보처리기사 공부를 할 때 해당 문제가 헷갈려 많이 틀리곤 했습니다.
둘 다 로그인이나 권한과 관련된 용어라 비슷하게 느껴지지만,
사실은 완전히 다른 역할을 합니다.
이 글에서는 인증(Authentication)과 인가(Authorization)의 차이를
간단한 예시와 함께 정리해보겠습니다.
"당신이 누구인지 증명하는 것"
예시:
"당신이 뭘 할 수 있는지 결정하는 것"
예시:
| 항목 | 인증 (Authentication) | 인가 (Authorization) |
|---|---|---|
| 의미 | 사용자가 누구인지 확인 | 사용자의 접근 권한 확인 |
| 시점 | 접속 초기에 수행 | 인증 이후 수행 |
| 예시 | 로그인, 지문인식 | 게시판 쓰기/읽기 권한 분리 |
| 기술 | ID/PW, OTP, SSO 등 | RBAC, ACL, 정책 기반 권한 |
인증은 "너 누구야?"
인가는 "그래서 넌 뭘 할 수 있는데?"
보안 개념의 출발점인 인증과 인가는
앞으로 웹 해킹, 권한 상승, API 보안 등을 공부할 때 계속 등장하게 될 개념입니다.
처음부터 정확히 구분하고 이해해두면
나중에 더 복잡한 개념도 쉽게 연결할 수 있습니다.
읽어주셔서 감사합니다!