인증, 인가 (Authentication, Authorization), MFA (Multi Factor Authentication)

해당 페이지 에서는 인증과, 인가개념에 대해서 다룬다.

 

참고페이지

 

- https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221727680845 

 

- https://limetok.tistory.com/218

 

- https://myanjini.tistory.com/entry/03-%EC%8B%9D%EB%B3%84-%EC%9D%B8%EC%A6%9D-%EC%9D%B8%EA%B0%80-%EC%B1%85%EC%9E%84%EC%B6%94%EC%A0%81%EC%84%B1

 

 

 

 

인증 (Authentication)

 

어떤 주체가 객체 (혹은 시스템) 에 접근을 할 때, 해당 객체를 사용할 주체가 누구인지를 스스로 밝히는 행위를 뜻한다.

 

자신임을 밝힐 근거가 반드시 필요하기에 이에 따른 각 주체마다 이에 대한 근거를 가지고 있으며 이는 유일한 자신임을 밝혀야 하기에 각 주체가 가지고 있는 근거는 유일해야 한다.

 

보통 우리가 사용하는 시스템에서는 이를 대표하는 것은 ID (혹은 계정번호), 이메일 주소, PIN 번호, MAC Adress 등이 대표적인 예이며, 아래와 같이 세분화 된다.

 

 

 - Type 1 인증 : 지식에 의한 인증 (지식 기반 인증) - 주체가 기억하는 정보를 통하여 인증

    예) 패스워드, PIN 등

 

 - Type 2 인증 : 소유권에 대한 인증 - 주체가 가지고 있는 소유품을 통한 인증

    예) 열쇠, 신분증, 사원증, 핸드폰 (혹은 핸드폰내에 탑재된 인증 프로그램 및 OTP)

 

 - Type 3인증 : 특성에 대한 인증 - 각 주체가 고유하게 가지고 있는 주체 자체의 정보를 통한 인증

    예) 홍채, 지문, 각막 등

 

 

 

 

권한 부여 (혹은 인가) (Authorization)

 

어떤 객체에 주체 자신에 대해서 인증을 했다면 이제 객체가 주체를 확인하여 객체 자신을 사용 할 수 있는 권한 또는 자격이 있는지를 확인한 후, 이를 갖췄다면 자신을 사용 할 수 있도록 허가하는 행위다.

 

예를 들어 회사 A 의 시스템을 회사 B 직원이 사용한다고 하자. 회사 A 의 시스템은 회사 A 소속 직원들만 사용 할 수 있는 권한을 부여했기에 해당 시스템은 회사 B 직원에게 자신을 사용 할 권한을 줄 수 없다.

 

 

 

 

MFA (Multi Factor Authentication)

 

위의 인증방법들을 조합하여 두가지 이상의 방법으로 인증을 수행하는 방법을 뜻한다.

대표적인 예는 사내 시스템에 접근 할 때 PW + 핸드폰 OTP 로 둘다 인증을 성공해야 사내 시스템에 접근 할 수 있도록 하는것이 있다.