3A : 인증, 권한 부여, 계정 관리
요약
정보 보안의 핵심 3A 요소인 인증(Authentication), 권한 부여(Authorization), 계정 관리(Accounting)의 개념과 차이점을 명확히 알아봅니다. 각 요소가 어떻게 상호 작용하여 강력한 보안 시스템을 구축하는지 실제 예시와 함께 설명하며, 정처기 실기 대비 문제도 포함합니다.
3A 비교 요약
| 구분 | 인증 (Authentication) | 권한 부여 (Authorization) | 계정 관리 (Accounting) |
|---|---|---|---|
| 핵심 질문 | 당신은 누구인가? | 무엇을 할 수 있는가? | 무엇을 했는가? |
| 목표 | 신원 확인 | 접근 제어 | 활동 기록 및 책임 추적 |
| 주요 기술 | 비밀번호, OTP, 생체 인식 | 접근 통제 목록(ACL), RBAC, DAC, MAC | 로그 파일, 시스템 모니터링, SIEM |
| 순서 | 1단계 (가장 먼저 수행) | 2단계 (인증 후 수행) | 3단계 (접속 내내 지속) |
| 비유 | 공항 탑승 수속 (신분 확인) | 비행기 좌석 등급 (권한 확인) | 출입국 기록 및 면세점 구매 내역 |
암기 팁
어쎈 인증! 어떠한 권한 부여?
- Authen(tication) 어쎈 인증!
- Author(ization) 어떠한 권한 부여?
인증은 쎄고, 권한 부여는 어떻게 할까요?
3A (AAA) 란 무엇일까요?
3A 또는 AAA는 정보 보안의 핵심적인 세 가지 요소를 나타내는 약어입니다. 바로 인증(Authentication), 권한 부여(Authorization), 계정 관리(Accounting) 입니다. 이 세 가지는 사용자가 시스템에 접근하여 작업을 수행하는 전 과정에 걸쳐 보안을 유지하는 데 필수적인 역할을 합니다.
마치 공항 보안 검색대를 통과하는 과정과 같습니다.
- 인증 (Authentication): "당신이 누구인지 증명하세요." (신분증과 탑승권 확인)
- 권한 부여 (Authorization): "당신이 할 수 있는 일은 여기까지입니다." (비즈니스석 티켓 소지자는 비즈니스 라운지 이용 가능)
- 계정 관리 (Accounting): "당신이 한 모든 일을 기록합니다." (면세점 구매 내역, 출입국 기록)
이 세 가지 요소가 어떻게 유기적으로 작동하는지 하나씩 자세히 살펴보겠습니다.
3A의 순차적 작동 과정
- Authentication (인증): 먼저 사용자의 신원을 확인합니다.
- Authorization (권한 부여): 인증된 사용자에게 적절한 권한을 부여합니다.
- Accounting (계정 관리): 사용자의 모든 활동을 지속적으로 기록합니다.
이 순서는 절대 바뀔 수 없으며, 각 단계가 성공적으로 완료되어야 다음 단계로 진행할 수 있습니다.
인증 (Authentication) - "당신은 누구십니까?"
인증은 사용자가 자신이 주장하는 신원(Identity)이 실제로 맞는지 확인하는 과정입니다. 즉, "로그인" 과정 그 자체라고 생각하면 쉽습니다.
- 핵심 질문: "당신이 정말 'user123'이 맞나요?"
- 목표: 시스템에 접근하려는 주체(사용자, 기기 등)의 신원을 검증합니다.
- 정의: 접근을 시도하는 가입자 또는 단말에 대한 식별 및 검증 과정
- 주요 방법:
- 지식 기반 (Something you know): 비밀번호, PIN 번호
- 소유 기반 (Something you have): OTP, 스마트카드, 공인인증서
- 특성 기반 (Something you are): 지문, 홍채, 얼굴 인식 (생체 정보)
- 행위 기반 (Something you do): 서명, 걸음걸이
- 위치 기반 (Somewhere you are): 특정 IP 주소, GPS 위치
다중 인증 (MFA, Multi-Factor Authentication)
보안을 강화하기 위해 위 5가지 인증 요소 중 2가지 이상을 조합하여 사용하는 것을 '다중 인증'이라고 합니다. 예를 들어, 비밀번호(지식)를 입력한 후 OTP(소유)를 추가로 확인하는 것이 대표적입니다.
권한 부여 (Authorization) - "무엇을 할 수 있습니까?"
권한 부여는 인증을 성공적으로 통과한 사용자가 시스템 내에서 어떤 자원(파일, 데이터베이스 등)에 접근할 수 있고, 어떤 작업을 수행할 수 있는지(읽기, 쓰기, 삭제 등)를 결정하고 허용하는 과정입니다.
- 핵심 질문: "'user123'님, 당신은 이 파일에 '쓰기' 작업을 할 수 있나요?"
- 목표: 인증된 사용자가 허가된 범위 내에서만 활동하도록 통제합니다.
- 정의: 검증된 가입자나 단말에게 어떤 수준의 권한과 서비스를 허용할지 결정하는 과정
- 주요 모델:
- 임의적 접근 통제 (DAC): 데이터 소유자가 직접 권한을 관리합니다. (예: 리눅스
chmod) - 강제적 접근 통제 (MAC): 시스템이 정한 보안 등급과 규칙에 따라 접근을 강제합니다. (예: 군사 시스템)
- 역할 기반 접근 통제 (RBAC): 사용자에게 할당된 '역할'에 따라 권한을 부여합니다. (대부분의 기업 환경)
- 임의적 접근 통제 (DAC): 데이터 소유자가 직접 권한을 관리합니다. (예: 리눅스
인증 vs 권한 부여: 명확한 차이
- 인증은 '문'을 열고 들어가는 과정입니다.
- 권한 부여는 '문' 안으로 들어온 뒤, 특정 '방'에 들어가거나 '금고'를 열 수 있는지 결정하는 과정입니다.
즉, 인증이 선행되어야만 권한 부여가 의미를 가집니다.
계정 관리 (Accounting/Auditing) - "무엇을 하셨습니까?"
계정 관리는 사용자가 시스템에 접속해서 수행한 모든 활동을 기록하고 추적하는 과정입니다. 누가, 언제, 어떤 자원에 접근하여 무슨 작업을 했는지 로그(Log)를 남겨, 문제 발생 시 원인을 파악하고 책임을 추적하는 데 사용됩니다.
- 핵심 질문: "'user123'님, 당신은 어제 오후 3시에 어떤 파일을 삭제했나요?"
- 목표: 사용자의 모든 활동을 기록하여 책임 추적성(Accountability)을 확보하고, 보안 감사를 지원합니다.
- 정의: 리소스 사용에 대한 정보를 수집하고 관리하는 서비스
- 주요 기록 항목:
- 접속 시간 및 로그아웃 시간
- 접근한 IP 주소
- 사용한 명령어 및 시스템 콜
- 파일 접근 및 변경 이력
- 사용한 시스템 자원 (CPU, 메모리 등)