인증이란?
인증하려는 주체가 자신이 누구인지 식별하는 과정 이후에 정말 해당 사용자가 맞는지 증명하는 활동을 의미한다.
인증의 유형
| 유형 | 예 |
| 지식 | 패스워드, 핀(PIN) |
| 소유 | 토큰, 스마트 카드 |
| 존재 | 생체 인증 |
| 행위 | 서명, 움직임, 음성 |
지식 기반 인증(Something you know)
사용자가 알고 있는 정보에 의존하는 인증 기법이다.
웹사이트에서 ID와 비밀번호를 입력하여 인증하는 것이 이에 해당한다.
종류
- 평문 패스워드 저장: 사용자의 ID와 비밀번호가 그대로 DB에 저장되므로 유출 가능성이 있음
- 해시 패스워드 저장: 해시 함수를 통해 해시값으로 변환된 ID와 비밀번호를 저장하지만 무차별 공격에 해당 정보가 노출될 수 있음
- 솔팅된 해시 패스워드 저장: 랜덤 문자열인 솔트(Salt) 값을 덧붙여서 해시 값을 계산한다.
장점
인증이 편리하다.
검증을 확실하게 할 수 있다.
관리 비용이 상대적으로 적게 든다.
단점
사용자가 ID나 비밀번호를 잊어버릴 수 있다.
공격자가 정보를 추측, 탈취하기 쉽다.
사용자가 관리를 허술히 하면 정보가 유출될 가능성이 있다.
소유 기반 인증(Something you have)
열쇠, 카드와 같이 사용자가 가지고 있는 인증 수단으로 인증하는 방식이다.
종류
- 스마트 카드: 고유한 식별 정보를 저장하고 있으며, 정보 처리를 위한 메모리, CPU 등을 포함하고 있는 카드
- 일회용 패스워드(OTP: One-Time Password): 고정된 비밀번호가 아닌 무작위 비밀번호를 생성하는 매체. 분실했을 때 악용이 가능하며 배터리 방전이 될 경우 인증이 실패할 수 있음
- 시간 동기화 방식 OTP: 인증 서버와 사용자 OTP 생성기가 같은 시간을 시드(Seed)로 하여 같은 알고리즘으로 난수(토큰) 생성
장점
비용이 상대적으로 저렴하다.
신뢰성 있는 다양한 방법을 제공한다.
단점
복제가 가능하다.
소유물이 고장, 파손될 수 있다.
타인이 해당 소유물을 탈취하여 부정한 방법으로 사용할 수 있다.
카드 리더기 등 추가적인 자산 구입이 필요할 수 있다.
존재 기반 인증(Something you are)
따로 무언가를 준비하지 않아도 개인별 신체 특징 등을 가지고 인증하는 방법이다.
종류 및 장단점
생체 인증: 생체 조직을 통해 인증하는 방식이다.
지문: 효율성/안정성이 우수하나 오탐률이 높다.
망막/홍채: 복제가 불가능하나 인증 시간이 오래 걸려 사용자의 거부감이 높다.
얼굴: 거부감이 적으나 표정 변화나 주위 조명에 민감하다.
음성: 원격지에서도 사용 가능하나 정확도가 낮고 타인에 의한 도용이 가능하다.
서명(필체): 거부감이 적으나 서명 습관에 따라 인식률이 달라질 수 있다.
'공부 > 보안' 카테고리의 다른 글
| [Next.js] React2Shell 취약점 때문에 버전업하기... (0) | 2026.01.18 |
|---|---|
| [보안] 보안 솔루션 (방화벽, IDS, IPS 등) (0) | 2024.06.04 |
| [보안] 해시, 메시지 인증 코드, 전자서명 (0) | 2024.06.02 |
| [보안] 악성코드 / 소프트웨어 보안 (0) | 2024.05.31 |
| [보안] 인가 (Authorization) (0) | 2024.05.29 |
