인증

From IT Wiki
Revision as of 13:10, 23 April 2022 by 117.112.77.32 (talk)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)


합법적인 사용자에게 유형 혹은 무형의 자원을 사용하도록 허용할 것인지를 확인하는 제반 행위


인증의 유형

지식 기반 인증

What you know
  • 고객이 알고있는 정보 기반으로 인증
  • 비밀번호 등
  • 유추가 가능하고 유출의 우려가 있음

소유 기반 인증

What you have
  • 고객이 소유하고 있는 것을 기반으로 인증
  • 공인인증서, 시크리트 카드, OTP, 문자인증 등
  • 지식 기반 인증과 함께 사용되면 강력함
  • 복제/분실의 우려 존재

생체 기반 인증

What you are
  • 고객이 가지고 있는 고유한 생체적 특징을 기반으로 인증
  • 지문인증, 홍체인증 등
  • 분실이나 도난의 위험이 없고 복제가 어려움
  • 재발급이나 변경이 안되므로 복제가 될 경우 위험
  • 인증 실패(본인거부)의 가능성

인증 수단

인증 수단별 보안 조치[1]

구분 인증 수단 비고
지식 기반 비밀번호
  • 안전한 비밀번호 작성규칙 및 주기적 변경 필요
  • 비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요
  • 시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀 번호 사용정지 또는 변경 필요
소유 기반 인증서(PKI)
  • 개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고)
OTP
  • OTP토큰, 모바일OTP 등 다양한 방식 존재
기타
  • 스마트 카드 방식
  • 물리적 보안토큰 방식 등
생체 기반 지문, 홍채, 얼굴 등
기타 방식 IP주소
  • 특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식
MAC주소
  • 단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식
기기 일련번호
  • 특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식
기타
  • 위치 정보, 디바이스 이용 패턴 등

불법적인 인증시도 통제방안[2]

구분 설명
로그인 실패횟수 제한
  • 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한
  • ※ 개인정보의 안전성 확보조치 기준 제5조제6항
접속 유지시간 제한
  • 접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등)
  • ※ 개인정보의 안전성 확보조치 기준 제6조제5항
  • ※ 개인정보의 기술적·관리적 보호조치 기준 제4조제10항
동시 접속 제한
  • 동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등
불법 로그인 시도 경고
  • 국외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지
  • 주말, 야간 접속 시 문자 알림
  • 관리자 등 특수권한 로그인 시 알림 등

인증 시스템

인증 관리 시스템

  • SSO: 다수의 시스템이 존재하는 환경에서 한번의 인증으로 모든 시스템에 대한 접근 권한을 얻게 되도록 하는 통합인증 시스템
  • EAM
  • IAM

인증 프로토콜

  • 커버로스
  • OAuth
  • Open ID

인증 표준

  • X.509
  • DIDs
  1. ISMS-P 인증기준 안내서(2021.4., KISA, 94페이지)
  2. ISMS-P 인증기준 안내서(2021.4., KISA, 95페이지)