인증과 인가 (권한 부여) 비교 – 특징 및 차이점
인증(Authentication)과 인가 (Authorization, 권한 부여) 비교 – 특징 및 차이점
인증과 인가(혹은 권한 부여)는 무엇이 다를까요? 인증 단계에서는 사용자의 신원을 확인합니다. 인가 및 권한 부여 단계에서는 신원이 확인된 사용자에게 리소스에 액세스할 수 있는 권한을 부여합니다.
인증과 인가가 비슷하게 들릴 수도 있지만 IAM(Identity and Access Management) 환경에서는 명확히 구분되는 보안 프로세스입니다.
인증에 대한 정의
인증은 사용자의 신원을 검증하는 행위로서 보안 프로세스에서 첫 번째 단계입니다.
인증 프로세스는 다음과 같이 구성됩니다.
- 비밀번호. 사용자 이름과 비밀번호는 가장 많이 사용되는 인증 요소입니다. 사용자가 데이터를 올바르게 입력하면 시스템은 아이덴티티가 유효하다고 판단하고 액세스를 허용합니다.
- 일회용 핀. 단일 세션이나 트랜잭션에 한하여 액세스를 허용합니다.
- 인증 앱. 액세스를 허용하는 외부 기관을 통해 보안 코드를 생성합니다.
- 생체인식. 사용자가 시스템에 액세스하기 위해 지문이나 망막 스캔을 제출합니다.
상황에 따라 인증 요소를 2가지 이상 성공적으로 확인해야만 시스템에 액세스할 수 있는 경우도 있습니다. 이러한 다중 요소 인증(MFA) 요건이 배포되어 비밀번호의 한계를 넘어 보안을 강화하는 경우도 많습니다.
인가 (권한 부여)에 대한 정의
시스템 보안에서 인가란, 사용자에게 특정 리소스나 기능에 액세스할 수 있는 권한을 부여하는 프로세스를 말합니다. 이 용어는 흔히 액세스 제어나 클라이언트 권한을 서로 대체하여 사용되기도 합니다.
대표적으로, 서버에서 특정 파일을 다운로드할 수 있는 권한을 부여하거나, 개별 사용자에게 관리자 권한으로 애플리케이션에 액세스할 수 있는 권한을 부여하는 경우가 여기에 해당합니다.
보안 환경에서 권한 인증은 항상 인증 이후에 진행되어야 합니다. 사용자가 먼저 자신의 자격 증명을 입증하면 기업의 관리자가 해당 사용자에게 요청한 리소스에 액세스할 수 있는 권한을 부여합니다.
인증과 인가의 비교
인증과 인가는 로그인 프로세스에서 서로 다른 단계입니다. 따라서 IAM 솔루션을 성공적으로 구현하려면 이 둘의 차이점을 잘 알고 있어야 합니다.
이를 비유적으로 설명해보겠습니다.
여기 가족이 휴가를 떠나 집에 홀로 남겨진 반려 동물을 보살피기 위해 누군가가 잠긴 문으로 다가가고 있습니다. 이 사람에게 필요한 것은 다음과 같습니다.
- 열쇠 형태의 인증이 필요합니다. 자격 증명을 정확하게 입력하는 사용자에 한해서 액세스가 허용되는 것처럼 현관 자물쇠에 맞는 열쇠를 가진 사람에게만 접근이 허용됩니다.
- 출입 허가에 해당하는 인가 및 권한 부여가 필요합니다. 일단 집 안으로 들어가면 주방에 가서 반려 동물 사료가 보관된 찻장을 열 수 있는 권한 인증을 받게 됩니다. 하지만 침실에 들어가서 낮잠을 잘 수 있는 권한은 없습니다.
위의 예에서 인증과 권한 인증은 함께 작동합니다. 반려 동물 관리인은 집에 들어갈 수 있는 권한(인증)이 있으며, 일단 내부로 입장하면 특정 영역에 접근할 수 있습니다(권한 인증).
| 인증 (Authentication) | 인가 (Authorization) | |
| 기능 | 자격 증명 확인 | 권한 허가/거부 |
| 진행 방식 | 비밀번호, 생체인식, 일회용 핀 또는 앱 | 보안 팀에서 관리하는 설정 사용 |
| 사용자가 볼 수 있는가? | 예 | 아니오 |
| 사용자가 직접 변경할 수 있는가? | 부분적으로 가능 | 불가능 |
| 데이터 전송 | ID 토큰 사용 | 액세스 토큰 사용 |
시스템도 동일한 방식으로 이러한 개념을 구현하므로 IAM 관리자는 두 가지 프로세스의 활용 방식에 대해 잘 알고 있어야 합니다.
- 인증. 선택한 인증 요건과 관련하여 적합한 자격 증명을 입력하는 직원에게 기업 시스템에 대한 액세스를 허용합니다.
- 인가 (권한 부여). 부서별 파일에 액세스할 수 있는 권한을 부여하고, 필요할 경우 금융 정보 등의 기밀 데이터에 대한 액세스 권한도 갖습니다. 직원은 업무 수행에 필요한 파일에도 액세스할 수 있어야 합니다.
인증과 인가의 차이점에 대해 알았다면 이제 두 프로세스를 확실하게 지원할 수 있는 IAM 솔루션을 구현해야 합니다. 이를 통해 기업의 데이터 유출을 막고 직원의 생산성을 더욱 높일 수 있습니다.
Okta를 통한 권한 부여
Okta Lifecycle Management에서는 사용자 권한을 한눈에 확인하여 필요에 따라 시스템과 툴에 대한 액세스를 손쉽게 허용하거나 취소할 수 있습니다. 또한 Okta Adaptive MFA (Multi-factor Authentication, 다중 인증 요소)에서는 선택한 인증 요소를 통해 인프라를 안전하게 보호할 수 있습니다.
예를 들어 기업 자격 증명과 음성 인식을 모두 사용해 인증에 성공하는 사용자에 한하여 생산 오더에 액세스하도록 허용할 수 있습니다.