인증과 권한 부여는 조직의 ID 및 액세스 관리(IAM) 시스템에서 서로 관련되어 있지만 서로 다른 프로세스입니다. 인증은 사용자의 신원을 확인합니다. 권한 부여는 사용자에게 시스템 리소스에 대한 적절한 수준의 액세스 권한을 부여합니다.

인증 프로세스는 사용자가 본인임을 증명하기 위해 제시하는 비밀번호 또는 지문 스캔과 같은 자격 증명에 의존합니다.

권한 부여 프로세스는 각 사용자가 특정 리소스 또는 네트워크 내에서 수행할 수 있는 작업을 간략하게 설명하는 사용자 권한에 의존합니다. 예를 들어, 파일 시스템의 권한에 따라 사용자가 파일을 생성, 읽기, 업데이트 또는 삭제할 수 있는지 여부가 결정될 수 있습니다.

인증 및 권한 부여 프로세스는 디바이스, 자동화된 워크로드 및 웹 앱과 같은 사람 및 사람이 아닌 사용자 모두에게 적용됩니다. 단일 IAM 시스템에서 인증과 권한 부여를 모두 처리할 수도 있고, 함께 작동하는 별도의 시스템에서 프로세스를 처리할 수도 있습니다.

인증은 일반적으로 권한 부여를 위한 전제 조건입니다. 시스템은 사용자가 누구인지 알아야 해당 사용자에게 모든 항목에 대한 액세스 권한을 부여할 수 있습니다.

해커가 유효한 사용자 계정을 탈취하고 액세스 권한을 남용하는 ID 기반 공격이 증가하고 있습니다. IBM X-Force Threat Intelligence Index에 따르면 이러한 공격은 위협 행위자가 네트워크에 몰래 침투하는 가장 일반적인 방법으로, 전체 사이버 공격의 30%를 차지합니다.

인증과 권한 부여는 함께 작동하여 보안 액세스 제어를 적용하고 데이터 침해를 방지합니다. 강력한 인증 프로세스는 해커가 사용자 계정을 장악하기 어렵게 만듭니다. 강력한 권한 부여는 해커가 해당 계정으로 입힐 수 있는 피해를 제한합니다.

인증 작동 방식

"authn"이라고도 하는 인증은 인증 요소라고도 하는 사용자 자격 증명의 교환을 기반으로 합니다. 인증 요소는 사용자의 신원을 증명하는 증거입니다.

사용자는 시스템에 처음 등록할 때 일련의 인증 요소를 설정합니다. 사용자가 로그인하면 이러한 요소가 표시됩니다. 시스템은 제시된 요소를 파일에 있는 요소와 비교하여 확인합니다. 일치하는 경우 시스템은 해당 사용자가 자신이 주장하는 사용자임을 신뢰합니다.

인증 요소의 일반적인 유형은 다음과 같습니다.

• 지식 요소: 비밀번호, PIN, 보안 질문에 대한 답변 등 사용자만 알고 있는 정보입니다.
  
• 소유 요소: 사용자만 가지고 있는 것, 예를 들어 SMS 문자 메시지를 통해 개인 휴대폰으로 전송된 일회용 PIN(OTP)이나 Physical Security 토큰 등입니다.
  
• 내재적 요소: 얼굴 인식 및 지문 스캔과 같은 생체 인식입니다.

개별 앱과 리소스에는 자체 인증 시스템이 있을 수 있습니다. 많은 조직에서는 사용자가 한 번 인증하면 보안 도메인의 여러 리소스에 액세스할 수 있는 싱글사인온(SSO) 솔루션과 같은 하나의 통합 시스템을 사용합니다.

일반적인 인증 표준에는 SAML(보안 어설션 마크업 언어) 및 OIDC(OpenID Connect)가 있습니다. SAML은 XML 메시지를 사용하여 시스템 간에 인증 정보를 공유하는 반면, OIDC는 'ID 토큰'이라는 JSON 웹 토큰(JWT)을 사용합니다.

인증 유형

• 단일 요소 인증(SFA)은 사용자의 신원을 증명하기 위해 하나의 인증 요소가 필요합니다. 소셜 미디어 사이트에 로그인하기 위해 사용자 이름과 비밀번호를 제공하는 것이 SFA의 대표적인 예입니다.
  
• 다중 요소 인증(MFA)에는 비밀번호(지식 요소) 및 지문 스캔(고유 요소)과 같이 서로 다른 두 가지 유형의 인증 요소가 두 개 이상 필요합니다.
  
• 2단계 인증(2FA)은 정확히 두 가지 요소가 필요한 특정 유형의 MFA입니다. 대부분의 인터넷 사용자는 뱅킹 앱에서 비밀번호와 사용자의 휴대폰으로 전송된 일회성 코드를 모두 요구하는 경우와 같이 2FA를 경험한 적이 있을 것입니다.
  
• 비밀번호 없는 인증 방법은 비밀번호나 그 어떤 지식 요소도 사용하지 않습니다. 비밀번호 없는 시스템은 도용하기 가장 쉽기 때문에 지식 요소를 노리는 자격 증명 도용에 대한 방어 수단으로 인기를 얻고 있습니다.
  
• 적응형 인증 시스템은 인공 지능과 머신 러닝을 사용하여 사용자의 행동이 얼마나 위험한지에 따라 인증 요구 사항을 조정합니다. 예를 들어, 기밀 데이터에 액세스하려는 사용자는 시스템에서 이를 확인하기 전에 여러 인증 요소를 제공해야 할 수 있습니다.

IBM의 ID 및 보안 전문가가 IAM 작업을 간소화하고, 하이브리드 클라우드 환경 전반에서 솔루션을 관리하며, 거버넌스 워크플로를 혁신하는 데 어떻게 도움이 되는지 알아보세요.

인증 예시

• 지문 스캔과 PIN 코드를 사용하여 스마트폰 잠금을 해제합니다.
  
• 새 은행 계좌를 개설하기 위해 신분증을 제시합니다.
  
• 웹 브라우저는 디지털 인증서를 확인하여 웹 사이트가 합법적인지 확인합니다.
  
• 앱은 호출할 때마다 비밀 API 키를 포함시켜 애플리케이션 프로그래밍 인터페이스(API)에 자신을 인증합니다.

권한 부여 작동 방식

'authz'라고도 하는 권한 부여는 사용자 권한을 기반으로 합니다. 권한은 사용자가 액세스할 수 있는 항목과 시스템에서 해당 액세스로 수행할 수 있는 작업을 자세히 설명하는 정책입니다.

일반적으로 관리자와 보안 책임자는 사용자 권한을 정의한 후 권한 부여 시스템을 통해 이를 시행합니다. 사용자가 리소스에 액세스하거나 작업을 수행하려고 하면 권한 부여 시스템은 계속 진행할 수 있도록 허용하기 전에 권한을 확인합니다.

고객 기록이 포함된 민감한 데이터베이스를 생각해 보세요. 권한 부여에 따라 사용자가 이 데이터베이스를 볼 수 있는지 여부가 결정됩니다. 가능한 경우 권한에 따라 데이터베이스 내에서 수행할 수 있는 작업도 결정됩니다. 항목을 읽기만 할 수 있나요, 아니면 항목을 생성, 삭제 및 업데이트할 수도 있나요?

액세스 토큰을 사용하여 사용자에게 권한을 위임하는 OAuth 2.0은 일반적인 권한 부여 프로토콜의 한 예입니다. OAuth를 사용하면 앱이 서로 데이터를 공유할 수 있습니다. 예를 들어, 소셜 미디어 사이트에서는 사용자가 동의하는 경우 OAuth를 사용하여 사용자가 알고 있을 가능성이 있는 사람을 찾기 위해 사용자의 이메일 연락처를 스캔할 수 있습니다.

권한 부여 유형

• 역할 기반 액세스 제어(RBAC) 방법은 역할에 따라 사용자 액세스 권한을 결정합니다. 예를 들어 주니어 레벨 보안 분석가는 방화벽 구성을 볼 수 있지만 변경할 수는 없는 반면, 네트워크 보안 책임자는 전체 관리 액세스 권한을 가질 수 있습니다.
  
• 속성 기반 액세스 제어(ABAC) 방법은 사용자, 개체 및 작업의 속성(예: 사용자 이름, 리소스 유형, 시간)을 사용하여 액세스 수준을 결정합니다. 사용자가 리소스에 액세스하려고 하면 ABAC 시스템은 모든 관련 속성을 분석하고 사전 정의된 특정 기준을 충족하는 경우에만 액세스 권한을 부여합니다. 예를 들어, ABAC 시스템에서 사용자는 근무 시간 중에 일정 수준의 직급을 보유한 경우에만 민감한 데이터에 액세스할 수 있습니다.
  
• 필수 액세스 제어(MAC) 시스템은 모든 사용자에게 중앙에서 정의된 액세스 제어 정책을 적용합니다. MAC 시스템은 RBAC와 ABAC보다 덜 세분화되어 있으며, 액세스는 일반적으로 설정된 인가 수준 또는 신뢰 점수를 기반으로 합니다. 많은 운영 체제는 MAC을 사용하여 중요한 시스템 리소스에 대한 프로그램 액세스를 제어합니다.
  
• 임의 액세스 제어(DAC) 시스템을 사용하면 리소스 소유자가 해당 리소스에 대한 자체 액세스 제어 규칙을 설정할 수 있습니다. DAC는 MAC의 포괄적 정책보다 더 유연합니다.

권한 부여 예시

• 사용자가 이메일 계정에 로그인하면 자신의 이메일만 볼 수 있습니다. 다른 사람의 메시지를 볼 수 있는 권한이 없습니다.
  
• 의료 기록 시스템에서 환자의 데이터는 환자가 명시적으로 동의한 의료 서비스 제공자만 볼 수 있습니다.
  
• 사용자가 공유 파일 시스템에 문서를 만듭니다. 다른 사용자가 문서를 볼 수는 있지만 편집할 수는 없도록 액세스 권한을 "읽기 전용"으로 설정합니다.
  
• 노트북의 운영 체제는 알 수 없는 프로그램이 시스템 설정을 변경하는 것을 방지합니다.

사용자 인증과 권한 부여는 민감한 정보와 네트워크 리소스를 내부 위협과 외부 공격자로부터 보호하는 데 상호 보완적인 역할을 합니다. 간단히 말해서 인증은 조직이 사용자 계정을 보호하는 데 도움이 되는 반면 권한 부여는 해당 계정이 액세스할 수 있는 시스템을 보호하는 데 도움이 됩니다.

ID 및 액세스 관리를 위한 기반 제공

포괄적인 ID 및 액세스 관리(IAM) 시스템은 사용자 활동을 추적하고 네트워크 자산에 대한 무단 액세스를 차단하며 적절한 사용자만 적절한 리소스에 액세스할 수 있도록 세분화된 권한을 적용하는 데 도움이 됩니다.

인증 및 권한 부여는 조직이 의미 있는 액세스 제어를 적용하기 위해 답변해야 하는 두 가지 중요한 질문을 해결합니다. 

• 누구시죠? (인증)
  
• 이 시스템에서 무엇을 할 수 있나요? (권한 부여)

조직은 적절한 수준의 액세스를 허용하기 전에 사용자가 누구인지 알아야 합니다. 예를 들어, 네트워크 관리자는 로그인할 때 올바른 인증 요소를 제공하여 본인이 관리자임을 입증해야 합니다. 그런 다음에만 IAM 시스템이 사용자에게 다른 사용자 추가 및 제거와 같은 관리 작업을 수행할 수 있는 권한을 부여합니다.

지능형 사이버 공격 대응

조직의 보안 제어가 더욱 효과적이 됨에 따라 더 많은 공격자가 사용자 계정을 훔치고 권한을 남용하여 혼란을 일으키고 있습니다. IBM X-Force Threat Intelligence Index에 따르면 2022년에서 2023년 사이에 ID 기반 공격의 빈도가 71% 증가했습니다.

사이버 범죄자들은 이런 공격을 쉽게 실행할 수 있습니다. 해커는 무차별 대입 공격을 통해 비밀번호를 해독할 수도 있고, 정보 유출 악성 소프트웨어를 이용하거나 다른 해커로부터 자격 증명을 구매할 수도 있습니다. 실제로 X-Force Threat Intelligence Index에 따르면 다크 웹에서 판매된 클라우드 자산의 90%가 클라우드 계정 자격 증명으로 구성된 것으로 나타났습니다.

피싱은 또 다른 일반적인 자격 증명 도용 수법이며, 이제 생성형 AI 툴을 통해 해커는 더 짧은 시간에 더 효과적인 피싱 공격을 개발할 수 있습니다.

인증 및 권한 부여는 기본적인 보안 조치로 보일 수 있지만, AI 기반 공격을 포함한 ID 도용 및 계정 남용에 대한 중요한 방어 수단입니다.

인증은 생체 인식과 같이 해독하기 더 어려운 다른 요소로 비밀번호를 대체하거나 강화하여 계정을 도용하기 어렵게 만들 수 있습니다.

세분화된 권한 부여 시스템은 사용자 권한을 필요한 리소스와 작업으로만 제한하여 수평 이동을 줄일 수 있습니다. 이렇게 하면 악의적인 해커와 내부자 위협이 액세스 권한을 오용하여 입힐 수 있는 피해를 제한하는 데 도움이 됩니다.

IBM Security Verify를 사용하면 조직은 기본 인증 및 권한 부여 이상의 작업을 수행할 수 있습니다. Verify는 비밀번호가 없는 다중 인증 옵션으로 계정을 보호하는 데 도움이 될 수 있으며, 세분화된 상황에 맞는 액세스 정책으로 애플리케이션을 제어하는 데 도움이 될 수 있습니다.