본문 바로가기
정보처리기사

[정처기실기] 3.인증과 접근 통제 - 5과목 정보 보안

by 공불러 2024. 4. 10.
728x90
반응형

인증과 접근 통제 - 5과목 정보 보안

저번 시간에는 암호화알고리즘을 공부했습니다. 대칭키는 많은 양을 암호화 시키고 속도가 빠르지만 키를 n(n-1)/2로 나누게 되어 공유키, 개인키를 쓰는 비대칭키를 이용합니다. 블록암호는 DES, 3DES, AES, SEED, ARIA, IDEA, SKIPJACK로 이루어져 있으며, 스트림 암호화 알고리즘은 LFSR(난수), RC4, A5(GSM 휴대폰) 등이 있습니다. 비대칭은 소인수 분해(RSA, RabbiN), 이산대수(디피헬만, DSA, ELmagal), 타원곡선(ECC), 단방향 암호화는 MD5, SHA, HAS-160이 있습니다.

이 부분은 정처기 실기 시험 전에 꼭 암기 하셔야합니다.

 

이번 시간은 인증과 접근 통제에 대해 공부합니다. 인증은 로그인을 검토 과정이며, 인가는 수정할 수 있는 권한을 이야기합니다. 

 

목차

    인증( Authentication)이란?

    인증은 특정 개체가 자신이 주장하는 정체성이나 권한을 증명하는 과정입니다. 이를 통해 시스템이나 서비스에 접근하거나 행동할 수 있는 권한을 부여받게 됩니다.

    다양한 유형의 인증 방법이 있으며, 주로 지식, 소유, 생체, 행위, 위치 등의 기준을 사용합니다.

    접근 권한을 검증하는 보안 절차

    인증( Authentication) 유형

    1. 지식 기반 인증 (Knowledge-based Authentication)
      • 사용자가 지식을 제공하여 자신의 정체성을 인증하는 방식입니다. 대표적으로 비밀번호나 PIN을 사용합니다.
      • 일반적으로 우리가 많이 사용합니다.
    2. 소유 기반 인증 (Possession-based Authentication)
      • 사용자가 특정한 물리적인 장치나 객체를 소유하고 있는지를 확인하여 인증하는 방식입니다.
      • 예를 들어, 스마트폰을 통한 SMS 인증이나 토큰을 통한 OTP(일회용 비밀번호)이 여기에 해당합니다.
    3. 생체 기반 인증 (Biometric Authentication)
      • 사용자의 생체적인 특징을 기반으로 인증을 수행하는 방식입니다.
      • 지문, 홍채, 얼굴 인식 등이 이에 해당합니다.
    4. 행위 기반 인증 (Behavior-based Authentication)
      • 사용자의 행동 패턴이나 습관을 기반으로 인증을 수행하는 방식입니다.
      • 예를 들어, 타이핑 패턴, 걷기 패턴 등이 여기에 해당합니다.
    5. 위치 기반 인증 (Location-based Authentication)
      • 사용자의 위치 정보를 기반으로 인증을 수행하는 방식입니다.
      • 주로 지리적인 위치나 IP 주소 등을 활용합니다.

    인가(Authorization)란?

    인가(Authorization)는 인증된 사용자에게 특정 자원이나 서비스에 대한 접근 권한을 부여하는 과정이나 행위를 말합니다. 즉, 인가는 인증된 사용자가 특정 자원에 대한 허가를 받는 것을 의미합니다.

    인증 방식

    인증 방식 설명
    계정 정보를 요청 헤더에 넣는 방식 사용자의 인증 정보를 HTTP 요청 헤더에 담아 서버에 전달하는 방식
    Cookie/Session 사용자의 인증 정보를 서버에 저장하고 클라이언트에게 세션 식별자를 부여하여 세션을 유지하는 방식

    Cookie : 내 로컬 컴퓨터에 이름, id 등이 저장
    Session : 서버에 위 정보를 저장
    토큰 기반 인증 방식
    (JWT, JSON Web Token)    		 클라이언트가 인증에 성공하면 서버는 클라이언트에게 토큰을 발급하고, 이를 이용하여 인증을 수행하는 방식

    암호화된 문자열을 이용하는 방식
    Auth 온라인 서비스에서 사용자의 자격 증명을 고유하지 않곧 한 서비스가 사용자를 대신해 다른 서비스에 접근할 수 있도록 하는 개방형 표준 인증 프로토콜
    SSO (Single Sign-On) 단일 로그인으로 여러 개의 서비스나 시스템에 접근할 수 있는 인증 방식
    커버로스 (KERBEROS) 네트워크 상에서 안전하게 인증과 통신을 수행하기 위한 네트워크 프로토콜 및 인증 프로토콜
    아이핀 (i-PIN) 한국정보통신진흥협회(KISA)에서 발급하는 주민등록번호 대체 인증 수단

     

    접근 통제(Access Control)란?

    접근 통제(Access Control)는 시스템 또는 리소스에 대한 접근을 통제하고 관리하는 과정을 의미합니다.

    민감한 정보나 시스템 자원에 대한 무단 접근을 방지하고, 인가된 사용자만이 필요한 자원에 접근할 수 있도록 보장하는 데 중요합니다.

    정당한 사용자에게 권한을 부여하고 그외의 사용자는 접근을 거부합니다.

    IP주소와 서비스 포트는 접근 제어의 기본적인 수단이며 네트워크 장비의 관리 인터페이스 접근제어, ACL(Access Control List)등을 통해 IP 접근을 제한한다.

    ex) white lite, black list

    접근 통제 과정

    • 식별(Identification): 사용자가 시스템에 접근할 때 자신을 식별합니다.
      • 보통 사용자 아이디(ID), 이메일 주소, 혹은 다른 식별자를 사용하여 이루어집니다.
    • 인증(Authentication): 사용자가 자신이 주장하는 신원을 확인합니다.
      •  사용자가 올바른 사용자인지를 확인하고, 실제로 해당 사용자인지를 검증합니다. 주로 비밀번호, 토큰, 혹은 생체 인식과 같은 인증 수단이 사용됩니다.
    • 인가(Authorization): 인증된 사용자에게 특정 자원이나 서비스에 대한 접근 권한을 부여합니다.
      • 사용자가 접근할 수 있는 자원과 행동이 정의됩니다. 즉, 인가는 인증된 사용자에게 적절한 권한을 할당하여 필요한 작업을 수행할 수 있도록 하는 것입니다.

    접근 통제 원칙

    • 최소 권한의 원칙 (Principle of Least Privilege)
      • 사용자에게 필요한 최소한의 권한만을 부여하여 작업을 수행할 수 있도록 하는 원칙입니다.
      • 즉, 사용자는 자신의 업무를 수행하는 데 필요한 최소한의 권한만을 가지고 있어야 합니다. 이를 통해 사용자가 불필요한 자원에 접근하지 못하게 함으로써 보안을 강화할 수 있습니다.
    • 직무 분리 (Separation of Duties)
      • 시스템의 접근 권한을 여러 사용자나 역할로 분리하여 하나의 작업을 여러 사람이 협력하여 완료하도록 하는 원칙입니다.
      • 예를 들어, 자금 이체 작업을 처리하는 직원이 해당 이체를 승인하는 권한을 가지지 못하게 함으로써 부정행위를 방지할 수 있습니다. 이를 통해 내부적인 통제를 강화하고 오류나 부정 행위를 방지할 수 있습니다.

     

    접근 통제 정책

    접근 통제 정책 설명
    MAC
    (Mandatory Access Control)    		 시스템 관리자가 사전에 정의한 보안 취급 인자 정책에 따라 특정 계급사용자에게 접근 권한을 부여하는 접근 통제 방식입니다.

    기밀성 강조
    보안등급
    강제접근 통제
    DAC
    (Discretionary Access Control)    		 사용자가 자원에 대한 접근 권한을 부여하는 것에 대한 권한을 자원의 소유자가 가지고 있는 접근 통제 방식입니다.

    임의적 접근 통제
    소유자가 다른 사용자 접근 여부 결정
    RBAC
    (Role-Based Access Control)    		 사용자의 역할에 기반하여 접근 권한을 관리하는 접근 통제 방식입니다.

    역할 접근 통제

     

    접근통제 모델

    접근 통제 모델 설명 주요 특징 및 사용 분야
    벨-라파둘라 모델
    (Bell-LaPadula Model)    		 정보의 기밀성을 유지하기 위해 설계된 접근 통제 모델로, 각 객체에 대한 접근 권한을 기밀성 수준에 따라 정의합니다.

    기밀성 중심
    정보가 낮은 보안 레벨에서 낮은 레벨로 유출 방지
    No Read up, No Write down    		 군사 및 정부 기관, 기밀 정보 보호에 사용됨
    비바 모델
    (Biba Model)    		 정보의 무결성을 유지하기 위해 설계된 접근 통제 모델로, 사용자가 객체에 대한 접근 권한을 객체의 무결성 수준에 따라 제한합니다.

    무결성 강조
    No Write  up, No Read  down     		금융 및 의료 분야, 데이터 무결성 보호에 사용됨
    클락-월슨 모델
    (Clark-Wilson Model)    		 상업적이고 신뢰할 수 있는 환경에서 사용자의 권한을 관리하고, 무결성을 유지하기 위한 접근 통제 모델입니다.

    업무처리과정, 트랜잭션 무결성    		 기업 내부 시스템, 보안 강화 및 업무 분리에 사용됨
    만리장성 모델
    (Great Wall Model)    		 네트워크 환경에서 다중 수준 보안을 구현하기 위해 사용되는 접근 통제 모델입니다.

    이해 충돌 방지    		 네트워크 보안, 다중 수준 보안 환경에서 사용됨

     

    728x90
    반응형

    '정보처리기사' 카테고리의 다른 글

    [정보처리기사] 5. 보안 공격 기법 총 정리 - 5과목 정보보안  (0) 2024.04.11
    [정처기 실기] 4. 취약점 분석과 시스템 보안 구현 - 5과목 정보 보안  (0) 2024.04.11
    [정처기 실기] 2. 암호화알고리즘 - 보안 구현 - 정보 보안  (0) 2024.04.10
    [정처기실기] 1. SW 개발 보안 설계 - 5과목 정보보안  (0) 2024.04.10
    [정보처리기사 실기] 6. OSI 7계층, TCP/IP, 라우팅 프로토콜 - 4과목 네트워크  (0) 2024.04.09

    관련글

    댓글

    티스토리툴바