인증과 권한 부여는 조직의 ID 및 액세스 관리(IAM) 시스템에서 서로 관련되어 있지만 서로 다른 프로세스입니다. 인증은 사용자의 신원을 확인합니다. 권한 부여는 사용자에게 시스템 리소스에 대한 적절한 수준의 액세스 권한을 부여합니다.
인증 프로세스는 사용자가 본인임을 증명하기 위해 제시하는 비밀번호 또는 지문 스캔과 같은 자격 증명에 의존합니다.
권한 부여 프로세스는 각 사용자가 특정 리소스 또는 네트워크 내에서 수행할 수 있는 작업을 간략하게 설명하는 사용자 권한에 의존합니다. 예를 들어, 파일 시스템의 권한에 따라 사용자가 파일을 생성, 읽기, 업데이트 또는 삭제할 수 있는지 여부가 결정될 수 있습니다.
인증 및 권한 부여 프로세스는 디바이스, 자동화된 워크로드 및 웹 앱과 같은 사람 및 사람이 아닌 사용자 모두에게 적용됩니다. 단일 IAM 시스템에서 인증과 권한 부여를 모두 처리할 수도 있고, 함께 작동하는 별도의 시스템에서 프로세스를 처리할 수도 있습니다.
인증은 일반적으로 권한 부여를 위한 전제 조건입니다. 시스템은 사용자가 누구인지 알아야 해당 사용자에게 모든 항목에 대한 액세스 권한을 부여할 수 있습니다.
해커가 유효한 사용자 계정을 탈취하고 액세스 권한을 남용하는 ID 기반 공격이 증가하고 있습니다. IBM X-Force Threat Intelligence Index에 따르면 이러한 공격은 위협 행위자가 네트워크에 몰래 침투하는 가장 일반적인 방법으로, 전체 사이버 공격의 30%를 차지합니다.
인증과 권한 부여는 함께 작동하여 보안 액세스 제어를 적용하고 데이터 침해를 방지합니다. 강력한 인증 프로세스는 해커가 사용자 계정을 장악하기 어렵게 만듭니다. 강력한 권한 부여는 해커가 해당 계정으로 입힐 수 있는 피해를 제한합니다.
"authn"이라고도 하는 인증은 인증 요소라고도 하는 사용자 자격 증명의 교환을 기반으로 합니다. 인증 요소는 사용자의 신원을 증명하는 증거입니다.
사용자는 시스템에 처음 등록할 때 일련의 인증 요소를 설정합니다. 사용자가 로그인하면 이러한 요소가 표시됩니다. 시스템은 제시된 요소를 파일에 있는 요소와 비교하여 확인합니다. 일치하는 경우 시스템은 해당 사용자가 자신이 주장하는 사용자임을 신뢰합니다.
인증 요소의 일반적인 유형은 다음과 같습니다.
개별 앱과 리소스에는 자체 인증 시스템이 있을 수 있습니다. 많은 조직에서는 사용자가 한 번 인증하면 보안 도메인의 여러 리소스에 액세스할 수 있는 싱글사인온(SSO) 솔루션과 같은 하나의 통합 시스템을 사용합니다.
일반적인 인증 표준에는 SAML(보안 어설션 마크업 언어) 및 OIDC(OpenID Connect)가 있습니다. SAML은 XML 메시지를 사용하여 시스템 간에 인증 정보를 공유하는 반면, OIDC는 'ID 토큰'이라는 JSON 웹 토큰(JWT)을 사용합니다.
IBM의 ID 및 보안 전문가가 IAM 작업을 간소화하고, 하이브리드 클라우드 환경 전반에서 솔루션을 관리하며, 거버넌스 워크플로를 혁신하는 데 어떻게 도움이 되는지 알아보세요.
'authz'라고도 하는 권한 부여는 사용자 권한을 기반으로 합니다. 권한은 사용자가 액세스할 수 있는 항목과 시스템에서 해당 액세스로 수행할 수 있는 작업을 자세히 설명하는 정책입니다.
일반적으로 관리자와 보안 책임자는 사용자 권한을 정의한 후 권한 부여 시스템을 통해 이를 시행합니다. 사용자가 리소스에 액세스하거나 작업을 수행하려고 하면 권한 부여 시스템은 계속 진행할 수 있도록 허용하기 전에 권한을 확인합니다.
고객 기록이 포함된 민감한 데이터베이스를 생각해 보세요. 권한 부여에 따라 사용자가 이 데이터베이스를 볼 수 있는지 여부가 결정됩니다. 가능한 경우 권한에 따라 데이터베이스 내에서 수행할 수 있는 작업도 결정됩니다. 항목을 읽기만 할 수 있나요, 아니면 항목을 생성, 삭제 및 업데이트할 수도 있나요?
액세스 토큰을 사용하여 사용자에게 권한을 위임하는 OAuth 2.0은 일반적인 권한 부여 프로토콜의 한 예입니다. OAuth를 사용하면 앱이 서로 데이터를 공유할 수 있습니다. 예를 들어, 소셜 미디어 사이트에서는 사용자가 동의하는 경우 OAuth를 사용하여 사용자가 알고 있을 가능성이 있는 사람을 찾기 위해 사용자의 이메일 연락처를 스캔할 수 있습니다.
사용자 인증과 권한 부여는 민감한 정보와 네트워크 리소스를 내부 위협과 외부 공격자로부터 보호하는 데 상호 보완적인 역할을 합니다. 간단히 말해서 인증은 조직이 사용자 계정을 보호하는 데 도움이 되는 반면 권한 부여는 해당 계정이 액세스할 수 있는 시스템을 보호하는 데 도움이 됩니다.
포괄적인 ID 및 액세스 관리(IAM) 시스템은 사용자 활동을 추적하고 네트워크 자산에 대한 무단 액세스를 차단하며 적절한 사용자만 적절한 리소스에 액세스할 수 있도록 세분화된 권한을 적용하는 데 도움이 됩니다.
인증 및 권한 부여는 조직이 의미 있는 액세스 제어를 적용하기 위해 답변해야 하는 두 가지 중요한 질문을 해결합니다.
조직은 적절한 수준의 액세스를 허용하기 전에 사용자가 누구인지 알아야 합니다. 예를 들어, 네트워크 관리자는 로그인할 때 올바른 인증 요소를 제공하여 본인이 관리자임을 입증해야 합니다. 그런 다음에만 IAM 시스템이 사용자에게 다른 사용자 추가 및 제거와 같은 관리 작업을 수행할 수 있는 권한을 부여합니다.
조직의 보안 제어가 더욱 효과적이 됨에 따라 더 많은 공격자가 사용자 계정을 훔치고 권한을 남용하여 혼란을 일으키고 있습니다. IBM X-Force Threat Intelligence Index에 따르면 2022년에서 2023년 사이에 ID 기반 공격의 빈도가 71% 증가했습니다.
사이버 범죄자들은 이런 공격을 쉽게 실행할 수 있습니다. 해커는 무차별 대입 공격을 통해 비밀번호를 해독할 수도 있고, 정보 유출 악성 소프트웨어를 이용하거나 다른 해커로부터 자격 증명을 구매할 수도 있습니다. 실제로 X-Force Threat Intelligence Index에 따르면 다크 웹에서 판매된 클라우드 자산의 90%가 클라우드 계정 자격 증명으로 구성된 것으로 나타났습니다.
피싱은 또 다른 일반적인 자격 증명 도용 수법이며, 이제 생성형 AI 툴을 통해 해커는 더 짧은 시간에 더 효과적인 피싱 공격을 개발할 수 있습니다.
인증 및 권한 부여는 기본적인 보안 조치로 보일 수 있지만, AI 기반 공격을 포함한 ID 도용 및 계정 남용에 대한 중요한 방어 수단입니다.
인증은 생체 인식과 같이 해독하기 더 어려운 다른 요소로 비밀번호를 대체하거나 강화하여 계정을 도용하기 어렵게 만들 수 있습니다.
세분화된 권한 부여 시스템은 사용자 권한을 필요한 리소스와 작업으로만 제한하여 수평 이동을 줄일 수 있습니다. 이렇게 하면 악의적인 해커와 내부자 위협이 액세스 권한을 오용하여 입힐 수 있는 피해를 제한하는 데 도움이 됩니다.
IBM Security Verify를 사용하면 조직은 기본 인증 및 권한 부여 이상의 작업을 수행할 수 있습니다. Verify는 비밀번호가 없는 다중 인증 옵션으로 계정을 보호하는 데 도움이 될 수 있으며, 세분화된 상황에 맞는 액세스 정책으로 애플리케이션을 제어하는 데 도움이 될 수 있습니다.