인증 사용자 인증 기술

인증 사용자 인증 기술

보안 3대 목표(CIA)

• 기밀성(Confidentiality) : 인가받지 않은 사용자(Unauthorized User)에게 정보를 노출하지 않는 것. 노출(Disclosure) 공격 가능
• 무결성(Integrity) : 인가받지 않은 사용자(Unauthorized User)에 의한 정보의 변경, 삭제, 생성 등을 예방하는 것. 변경(Alternation) 공격 가능
• 가용성(Availability) : 정상적인 사용자가 시스템을 사용하려고 할 때 사용할 수 있게 하는 것. 파괴(Destruction) 공격 가능

인증 절차

• 식별(Identification) : 사용자의 이름, ID 등을 통해 사용자를 식별
• 인증(Authentication) : 사용자의 이름 + 유효한 사용자 확인(=패스워드)
• 인가(Authorization) : 인증된 사용자에게 접근할 수 있는 자원 접근권한 부여

사용자 인증 시 보안 요구사항

사용자가 정보 자산에 접근을 요구할 때 시스템과 관리자는 사용자의 실제 존재, 사용자의 확인 그리고 권한의 부여와 같은 인증 허가의 일련의 과정을 거치게 됨. 이런 과정에서 사용자 식별 및 인증, 사용 권한의 허가 그리고 책임 추적성 보장 등 메커니즘이 요구됨

 

식별(Identification)

시스템에 주체(subject)의 식별자(ID)를 요청하는 과정으로 각 시스템 사용자는 시스템이 확인할 수 있는 유일한 식별자(예 : Login ID)를 가짐. 이러한 사용자의 식별자는 각 개인의 신원을 나타내기 때문에 사용자의 책임 추적성(Accountability) 분석에도 중요한 자료가 됨. 따라서 개인 식별자는 반드시 유일한 것을 사용해야 하고 공유되어서는 안 되며 중요한 의미를 갖는 식별자는 사용을 피하는 것이 좋음

 

인증(Authentication)

임의의 정보에 접근할 수 있는 주체의 능력이나 주체의 자격을 검증하는 단계. 시스템의 부당한 사용이나 정보의 부당한 전송 등 예방

 

인가(Authorization)

사용자, 프로그램 또는 프로세스에 허가한 권한을 의미하는 것으로 누구에게 무엇을 할 수 있거나, 가질 수 있는 권한을 부여하는 과정

 

책임 추적성(Accountability)

멀티유저, 멀티태스킹이 지원되는 네트워크 환경에서 누가, 언제, 어떤 행동을 했는지 기록하여 필요시 그 행위자를 추적할 수 있게 해 책임소재를 명확하게 할 수 있는 기반

사용자 인증 종류

• User to Host 인증 : Host가 User에게 서비스를 제공하기 전에 User 확인
• Host to Host 인증 : Host System 간에 인증 확인(예 : 시스템 간의 신뢰 관계)
• User to User 인증 : 송신자의 목적대로 시작된 전자정보인가를 검증(예 : E-mail)

사용자 인증 기술

• 지식 기반(What you Know) : ID/Password, 암호구, 개인 식별 번호 등
• 소유 기반(What you Have) : 스마트카드(Smart Card), 마그네틱카드(Memory Card) 등
• 존재 기반(What you Are) : 지문, 홍채, 망막 등
• 행위 기반(What you Do) : 음성, 서명 등

사용자 인증 기술 유형

패스워드(Password)

인증 기술로 가장 널리 사용되는 방식으로 사용자만이 알고 있는 정보를 입력함으로써 사용자 인증 수행. 가장 간편한 동시에 보안상 가장 취약한 인증 기술로써 다른 사용자가 패스워드를 추측할 수 없도록 하는 것이 보안상 가장 중요

 

일회용 패스워드(OTP, One Time Password)

패스워드에 대한 문제점을 보완하기 위해서 쓰이기 시작. 새로운 로그온 시도마다 새로운 패스워드가 사용되며 한 번 사용된 패스워드는 더 이상 사용할 수 없음

 

개인 식별 번호(PIN, Personal Identification Number)

현금자동지급기나 전자 투표와 같은 장치에 대한 접근 관리를 위해 개인에게 부여된 개인 식별 번호로 일정한 알고리즘을 이용해 생성되며 일련번호 형태로 제공

 

암호구(Pass Phrase)

연속적인 문자들의 집합으로 일반적으로 사용하는 패스워드보다는 더 긴 길이의 비트 열로 작성된 패스워드. 패스워드와 같은 개념으로 사용자가 응용프로그램에 로그온하려면 해당 응용프로그램은 사용자가 비밀키를 써야 하는 작업마다 암호구를 입력하라고 요구

 

메모리카드(Memory Card)

일반적으로 사용하는 현금카드나 신용카드 등의 자기 띠를 이용한 마그네틱카드. 데이터의 저장은 가능하나 데이터를 처리할 수는 없음. 사용자의 인증을 위한 정보를 포함하고 있으며 두 가지 이상의 인증 정보를 이용하여 사용자를 인증

 

스마트카드(Smart Card)

칩 카드(Chip Card)라고도 불리며 신용카드 정도 크기의 플라스틱으로 만들어져 있으며 데이터를 저장할 수 있는 전자회로가 내장되어 있음. 교통카드와 전자화폐 등 다양한 용도로 사용될 수 있으며 주기적으로 충전하여 재사용할 수 있음

패스워드를 이용한 개인 식별

특정 사용자가 자신만이 알고 있는 비밀 정보인 패스워드를 사용자 이름과 함께 서버에 제공함으로써 서버의 서비스를 제공받을 수 있는 가장 전통적인 개인 식별 방법

문제점

• 통신망을 통하여 원격 접속을 시도할 때 주로 공격자에게 노출되는 패스워드에 대한 불법적인 도청임
• 일반적으로 패스워드는 사용자가 암기하기 쉬운 문자열로 이루어지기 때문에 공격자가 추측하기 쉬움
• 모든 사용자의 패스워드를 보관하는 시스템 서버의 효율적인 파일 관리의 어려움

패스워드 추측

패스워드 추측을 어렵게 만들기 위하여 사용자 자신이 예측하기 어려운 문자열을 사용하는 경우에도 사용자 자신의 편의성을 고려하면 문자열의 길이에 한계 존재

이와 같은 상태에서 만든 패스워드는 생일 공격 등에 의하여 어렵지 않게 공격당함. 안전하게 하려면 현재까지 패스워드에서 대부분 숫자만을 사용하고 있는 것을 영문자 또는 한글이 사용되도록 함으로써 생일 공격에 대응

패스워드 파일

모든 사용자의 패스워드를 보관하고 있는 시스템 파일을 효과적으로 관리해야 함. 패스워드 자체를 그대로 보관하지 않고 해시 함수를 이용하여 암호화한 값을 보관

패스워드 관리 방법

사용자 개인이 패스워드를 선택할 때, 시스템 관리자가 일반 사용자에게 패스워드의 중요성과 패스워드를 선택하는 기준을 교육하므로 일반 사용자가 추측하기 어려운 패스워드를 선정할 수 있도록 도와주는 방법과 안전한 패스워드를 선택하도록 유도하는 방법이 있음

일회용 패스워드

유효 기간이 없이 세션마다 서로 상이한 패스워드를 사용하면 특별 세션의 개인 식별 과정에서 해당 패스워드가 노출되어도 다음 세션에 사용될 패스워드를 예측할 수 없는 장점이 있음

시도-응답 개인 식별 프로토콜

어떤 실체가 자신의 신분을 다른 실체에 증명하기 위하여 자기 자신만이 소유하고 있는 어떤 비밀 정보를 자신이 알고 있다는 사실을 간접적으로 보여주는 프로토콜

신분 증명을 요청하는 서버가 신분을 밝히라는 시도를 클라이언트에게 보내면 클라이언트는 그 비밀 정보를 이용하여 적당하게 응답함으로써 서버에게 자신을 증명하는 프로토콜

시도-응답 방식의 개인 식별 프로토콜에서 사용되는 시도는 그 값이 가변적인 난수, 순번, 시각표 등을 사용해야 함

일방향 개인 식별 프로토콜

시스템 서버 또는 클라이언트 중에 어느 한 대상이 다른 대상을 식별하는 프로토콜

상호 개인 식별 프로토콜

일방향 개인 식별 프로토콜처럼 서버가 클라이언트의 신원을 확인할 수 있는 것과 달리 클라이언트 또한 서버를 확인하기를 원하는 경우 요구되는 프로토콜

영지식 기반 개인 식별 프로토콜

자신의 비밀 정보를 서버에게 제공하지 않고, 자신의 신분을 증명하는 프로토콜. 클라이언트는 자신의 신분을 증명해야 하므로 증명자(Prover)라 하고 서버는 클라이언트를 확인해야 하므로 검증자(Verifier)라고 함