[정보보안기사] 3.접근통제 - 인가(Authorization)

 

인가(Authorization) 이란?

인가(Authorization)는 어떤 사용자가 특정 리소스나 데이터에 접근할 수 있는지를 규정하는 과정입니다. 일반적으로 인증(Authentication)과 함께 사용되어, 사용자가 인증된 후 인가되는 것이 일반적입니다. 예를 들어, 은행 애플리케이션에서는 사용자가 로그인(authentication)을 하면, 해당 사용자가 소유한 계좌 정보에 접근하기 위해 인가과정을 거치게 됩니다. 이때 은행 시스템은 해당 사용자의 권한을 확인하여, 사용자가 해당 계좌에 대해 조회, 입금, 출금 등의 작업을 수행할 수 있는 권한이 있는지를 결정하게 됩니다. 이후 사용자가 해당 작업을 요청하면, 시스템은 인가 과정을 통해 사용자의 요청이 유효한지 확인하고 작업을 수행하게 됩니다. 인가는 데이터 보안과 권한 관리에 중요한 역할을 합니다. 올바른 인가 과정이 없으면, 권한 없는 사용자가 중요한 데이터에 접근하거나, 권한이 있는 사용자가 인가되지 않은 작업을 수행할 수 있기 때문입니다.

 

인가 과정에서 사용되는 알고리즘은 무엇인가요?

인가 과정에서 사용되는 알고리즘은 다양합니다. 대표적으로는 RBAC(Role-Based Access Control)과 ABAC(Attribute-Based Access Control) 등이 있습니다. RBAC은 역할(Role)을 기반으로 권한을 관리하는 방식으로, 각 역할에 따라 특정 권한이 할당되어 있습니다. 예를 들어, 권한이 다른 여러 사용자가 업무를 할 때, 각각의 역할을 정의하고, 해당 역할에 따라 권한을 할당하는 방식으로 접근을 제어할 수 있습니다. ABAC는 속성(Attribute)을 기반으로 권한을 관리하는 방식이며, 사용자의 속성에 따라 권한을 동적으로 할당할 수 있습니다. 예를 들어, 특정 부서에 속한 사용자일 경우 해당 부서의 데이터에 접근 권한을 부여하는 방식 등이 가능합니다. 게다가, OAuth와 같은 오픈 스탠더드 인증 프로토콜도 있습니다. 이는 서비스 제공자와 인증 제공자 간의 인가 정보 교환을 가능하게 하며, 사용자가 해당 서비스에 대한 인증 및 권한 부여를 간편하게 진행할 수 있도록 합니다. 여러가지 인가 방식이 존재하며, 사용하는 시스템의 특성과 요구사항에 맞는 적절한 방법을 선택하여 사용하면 됩니다.

 

인증과 인가의 중요성은 어떻게 되나요?

인증(Authentication)과 인가(Authorization)는 모두 정보 보안 관리에서 중요한 역할을 합니다. 첫째, 인증은 사용자의 신원 확인을 위한 기능을 수행합니다. 사용자 인증이 안되면, 불법적인 접근자가 시스템에 접근할 가능성이 있습니다. 신원이 확인된 사용자만이 시스템에 접근하여 데이터를 생성하거나, 수정하는 등의 작업을 수행할 수 있습니다. 둘째, 인가는 인증된 사용자의 권한을 관리합니다. 인가를 제대로 수행하지 않으면, 인증된 사용자라도 자격이 없는 분야나 데이터에 대한 접근을 할 수 있으며, 또한 필요 이상의 권한을 부여받아 시스템이나 데이터 등 여러 정보 자원을 해킹 등의 불법적인 이용으로부터 보호하지 못할 수 있습니다. 적절한 인증과 인가 프로세스를 통해, 시스템의 보안을 강화할 수 있습니다. 이로인해 시스템의 안정성이 보장되고, 권한이 있는 사용자에 대해서만 데이터나 서버 자원을 사용할 수 있게 되어 기업의 중요 정보 보호에 도움을 줄 수 있습니다.

 

인증과 인가의 차이점은 무엇인가요?

인증(Authentication)과 인가(Authorization)는 모두 정보 보안 관련 용어이지만, 차이점이 존재합니다. 인증은 사용자가 자신을 신원을 입증하는 것으로, 주로 아이디/비밀번호, 바이오메트릭, 키/인증서 등의 수단을 사용하여 사용자가 누구인지 식별합니다. 즉, 사용자의 신원을 확인하는 과정입니다. 반면, 인가는 사용자에게 부여된 권한을 확인하는 과정으로, 인증된 사용자가 특정 리소스나 데이터에 접근할 때, 해당 사용자가 그것을 할 수 있는 권한이 있는지를 판단하는 과정입니다. 인증된 사용자가 권한 있는 작업만 수행할 수 있도록 권한 관리를 수행하는 것입니다. 따라서, 인증과 인가는 서로 다른 개념이며, 보안과 권한 관리에서 각각 중요한 역할을 합니다. 강력한 보안을 위해서는 서로 동등한 수준으로 신경 써야합니다.

 

인증 정보와 인가 정보의 예시는 무엇인가요?

인증 정보와 인가 정보의 예시를 들어보겠습니다. 예를 들어, 은행 애플리케이션에서 로그인(authentication) 시 인증 정보로는 사용자 아이디와 비밀번호 정보가 필요합니다. 이를 통해 시스템에서는 해당 하는 계정정보를 확인합니다. 이후, 계좌 조회 시 인가 정보로는 해당 사용자가 조회 가능한 계좌를 확인합니다. 이를 확인하기 위해서는 일반적으로 해당 계좌정보의 소유자와 사용자의 매칭여부를 확인하고, 권한이 있는 계좌만 조회 가능하도록 인가합니다. 이와 같은 방식으로 권한을 설정하여 보안을 유지할 수 있습니다. 또 다른 예로, 회사 내부 네트워크에서 특정 파일에 접근 권한을 인가 할때, 사용자 속성(Attribute)을 기반으로 권한을 관리하여 인가할 수 있습니다. 예를 들어, 일반 사용자와 관리자라는 두 개의 역할이 있을 때, 관리자는 특정 파일에 대한 읽기, 쓰기, 삭제 등의 권한을 갖고 있는 반면, 일반 사용자는 해당 파일을 읽기만 가능합니다. 이와 같이 역할인증(Role-Based Authentication)을 통하여 각각의 권한을 관리할 수 있습니다.

 

요약정리