인증

인증

• 합법적인 사용자에게 유형 혹은 무형의 자원을 사용하도록 허용할 것 인지 확인하는 제반 행위
• 사용자 간의 권한은 서로 다르기 때문에 해당 권한을 사용할 사람이 맞는지 아닌지 인증하는 절차는 필수적이다.

메시지 인증

• 메시지의 무결성을 검증하는 데 사용되는 방법으로 전송받은 정보의 내용이 변조 또는 삭제^[각주:1]되었는지 확인한다.
• 메시지 암호화 방식, MAC(Message Authentication Code) 방식, 해시 함수 방식 등이 있다.

사용자 인증

• 전송받은 정보의 내용이 변조 또는 삭제되었는지, 올바른 송수신자인지 확인하는 방법
• 메시지 인증과 다르게 실시간으로 발생하며, 한 번 인증 되면 그 세션 동안은 재인증이 필요 없다.

---

사용자 인증 기법

지식 기반 인증(What you know)

• 사용자만이 알 수 있는 내용으로 사용자를 인증하는 방법.
• 사용자는 자신을 입증하기 위한 정보를 제공하고 대상은 이를 비교 확인한다.
• 지식기반 인증방법의 보안성은 패스워드의 크기와 랜덤성에 달려있다. 또한, 무엇보다 키 보관에 신경 써야 한다.

장점

• 다양한 분야에서 사용 가능하다. 
• 검증 시 애매한 경우가 존재하지 않는다. 즉, 검증되거나 검증되지 않거나 단 두 경우뿐이다.
• 지식에 기반한 방법이기 때문에 관리와 유지 비용이 거의 들지 않는다.
• 분실이나 유출 시 쉽게 변경할 수 있다.

단점

• 공격자에 의해 유추가 가능하고 유출의 우려가 있다.
• 소유자가 패스워드를 잊어버릴 수 있다.
• 사회 공학적 공격에 취약하다.

예

• 패스워드
• 시도-응답 개인 식별 프로토콜
• 영지식 증명(zero-knowledge proof)^[각주:2]
• i-PIN 등

소유 기반 인증(What you have)

• 사용자가 소유하고 있는 것을 기반으로 인증하는 방식.
• 실생활에서 사용하는 다양한 매체를 사용자를 인증하는 방식으로 활용한다.

장점

• 다양한 수단이 인증에 사용될 수 있다.
• 믿을 수 있고 편안한 인증 방식을 제공한다.
• 비용 측면에서 생체 기반 인증방식보다 저렴하다.^[각주:3]

단점

• 복제/분실의 가능성이 존재한다.
• 소유물이 없을 경우(집에 두고 오거나)   인증이 어렵다.

예

• 공인인증서
• 보안 카드
• OTP 등

생체 기반 인증

• 사용자가 가지고 있는 고유한 생체적 특징을 사용해 인증하는 방식이다.
• 사전에 사용자는 자신의 신체 특징(지문, 홍채)을 입력하면 이를 분석해 데이터베이스에 저장한다.
  인증이 필요한 경우 인식기기(스마트폰 등)를 사용해 비교한다.

장점

• 분실이나 도난의 위험이 없고 복제가 어렵다.
• 사용하기 쉽다.

단점

• 자신의 생체 정보를 미리 등록해야 하며 지속적인 관리가 다른 인증에 비해 어렵다.
• 재발급이나 변경이 안되므로 만약 복제가 될 경우 매우 위험하다.
• 여러 문제로 사용자의 인증 실패 가능성이 존재한다. (판단 모호성)

예

• 지문 인식 - 우수한 안정성, 훼손 시 인식 문제
• 망막/홍채 인식 - 적은 거부감, 환경 변화(조명, 표정)에 민감
• 얼굴 인식 - 복제 불가능, 사용에 따른 거부감, 비교적 사용 불편
• 음성 인식 - 원격 사용 가능, 낮은 정확도, 도용 가능

생체 인증 기술 평가 항목

특성	설명
보편성(Universality)	모든 사람이 가지고 있는 생체 특징인지
유일성(Uniqeness)	동일한 생체 특성을 가진 타인은 없는지
지속성(Permanence)	시간에 따른 변화가 없는지
획득성(Collectability)	측정이 가능한 생체 인증 요소인지
성능(Performance)	인증환경의 변화와 무관하게 높은 정확성을 보장하는지
수용성(Acceptability)	사용자의 거부감이 없는지
기만성(Circumvention)[각주:4]	고의적인 부정사용으로부터 안전한지

 

생체 인증 정확도

• 부정 거부율(FRR, False Rejection Rate) : 인식되어야  할 사람이 얼마나 자주 인식되지 않는지(잘못된 인식 거부 비율) 
• 부정 허용률(FAR, False Acceptance Rate) : 인식되어서는 안 될 사람이 얼마나 자주 인식되는지(잘못된 인식 허용 비율)
• 사용자의 편의성을 요구하는 경우 FAR이 높아지고 FRR을 낮아진다.
  반대로 보안성을 강화할 경우 FRR이 높아지고 FAR이 낮아진다.
• 해당 곡선의 접점을 CER(Crossover Error Rate) 혹은 ERR(Equal Error Rate)라고 부른다.

---

통합 인증 체계(SSO, Single Sign On)

• 한 번의 인증 과정으로 접근하고자 하는 여러 시스템에 재인증 없이 접근할 수 있는 통합 로그인 기능
• 단일 계정 로그인, 단일 인증이라고도 한다.
• 보안이 필요한 환경에서 통합 인증 체계를 도입하는 경우, 여러 응용 프로그램의 로그인 처리가 간소화되어 편리성을 도모할 수 있는 반면, 통합인증의 시작점이 되는, 즉 최초의 로그인 대상이 되는 응용 프로그램 혹은, 운영체제에 대한 접근 보안이 중요하게 된다. 보안 위험이 적은 환경에서는 편리성만을 추구하면 되지만, 보안이 요구되는 환경에서는 1회용 비밀번호를 이용하는 등, 이중 인증 등으로 보안을 강화할 필요가 있다.

1. 수신 받은 데이터가 전송된 것과 정확히 동일한지 [본문으로]
2. 누군가가 상대방에게 어떤 사항이 참이라는 것을 증명할 때, 그 문장의 참 거짓 여부를 제외한 어떤 것도 노출되지 않게 하는 절차를 말한다. [본문으로]
3. 물리적 토큰이 저가로 제조되기 때문에 생체 인식보다 일반적으로 더욱 경제적이다. [본문으로]
4. 계략으로 속임; 우회 [본문으로]