3A : 인증, 권한 부여, 계정 관리

3A 비교 요약

암기 팁

어쎈 인증! 어떠한 권한 부여?

• Authen(tication) 어쎈 인증!
• Author(ization) 어떠한 권한 부여?

인증은 쎄고, 권한 부여는 어떻게 할까요?

3A (AAA) 란 무엇일까요?

3A 또는 AAA는 정보 보안의 핵심적인 세 가지 요소를 나타내는 약어입니다. 바로 인증(Authentication), 권한 부여(Authorization), 계정 관리(Accounting) 입니다. 이 세 가지는 사용자가 시스템에 접근하여 작업을 수행하는 전 과정에 걸쳐 보안을 유지하는 데 필수적인 역할을 합니다.

마치 공항 보안 검색대를 통과하는 과정과 같습니다.

1. 인증 (Authentication): "당신이 누구인지 증명하세요." (신분증과 탑승권 확인)
2. 권한 부여 (Authorization): "당신이 할 수 있는 일은 여기까지입니다." (비즈니스석 티켓 소지자는 비즈니스 라운지 이용 가능)
3. 계정 관리 (Accounting): "당신이 한 모든 일을 기록합니다." (면세점 구매 내역, 출입국 기록)

이 세 가지 요소가 어떻게 유기적으로 작동하는지 하나씩 자세히 살펴보겠습니다.

3A의 순차적 작동 과정

1. Authentication (인증): 먼저 사용자의 신원을 확인합니다.
2. Authorization (권한 부여): 인증된 사용자에게 적절한 권한을 부여합니다.
3. Accounting (계정 관리): 사용자의 모든 활동을 지속적으로 기록합니다.

이 순서는 절대 바뀔 수 없으며, 각 단계가 성공적으로 완료되어야 다음 단계로 진행할 수 있습니다.

---

인증 (Authentication) - "당신은 누구십니까?"

인증은 사용자가 자신이 주장하는 신원(Identity)이 실제로 맞는지 확인하는 과정입니다. 즉, "로그인" 과정 그 자체라고 생각하면 쉽습니다.

• 핵심 질문: "당신이 정말 'user123'이 맞나요?"
• 목표: 시스템에 접근하려는 주체(사용자, 기기 등)의 신원을 검증합니다.
• 정의: 접근을 시도하는 가입자 또는 단말에 대한 식별 및 검증 과정
• 주요 방법:
  • 지식 기반 (Something you know): 비밀번호, PIN 번호
  • 소유 기반 (Something you have): OTP, 스마트카드, 공인인증서
  • 특성 기반 (Something you are): 지문, 홍채, 얼굴 인식 (생체 정보)
  • 행위 기반 (Something you do): 서명, 걸음걸이
  • 위치 기반 (Somewhere you are): 특정 IP 주소, GPS 위치

다중 인증 (MFA, Multi-Factor Authentication)

보안을 강화하기 위해 위 5가지 인증 요소 중 2가지 이상을 조합하여 사용하는 것을 '다중 인증'이라고 합니다. 예를 들어, 비밀번호(지식)를 입력한 후 OTP(소유)를 추가로 확인하는 것이 대표적입니다.

---

권한 부여 (Authorization) - "무엇을 할 수 있습니까?"

권한 부여는 인증을 성공적으로 통과한 사용자가 시스템 내에서 어떤 자원(파일, 데이터베이스 등)에 접근할 수 있고, 어떤 작업을 수행할 수 있는지(읽기, 쓰기, 삭제 등)를 결정하고 허용하는 과정입니다.

• 핵심 질문: "'user123'님, 당신은 이 파일에 '쓰기' 작업을 할 수 있나요?"
• 목표: 인증된 사용자가 허가된 범위 내에서만 활동하도록 통제합니다.
• 정의: 검증된 가입자나 단말에게 어떤 수준의 권한과 서비스를 허용할지 결정하는 과정
• 주요 모델:
  • 임의적 접근 통제 (DAC): 데이터 소유자가 직접 권한을 관리합니다. (예: 리눅스 chmod)
  • 강제적 접근 통제 (MAC): 시스템이 정한 보안 등급과 규칙에 따라 접근을 강제합니다. (예: 군사 시스템)
  • 역할 기반 접근 통제 (RBAC): 사용자에게 할당된 '역할'에 따라 권한을 부여합니다. (대부분의 기업 환경)

인증 vs 권한 부여: 명확한 차이

• 인증은 '문'을 열고 들어가는 과정입니다.
• 권한 부여는 '문' 안으로 들어온 뒤, 특정 '방'에 들어가거나 '금고'를 열 수 있는지 결정하는 과정입니다.

즉, 인증이 선행되어야만 권한 부여가 의미를 가집니다.

---

계정 관리 (Accounting/Auditing) - "무엇을 하셨습니까?"

계정 관리는 사용자가 시스템에 접속해서 수행한 모든 활동을 기록하고 추적하는 과정입니다. 누가, 언제, 어떤 자원에 접근하여 무슨 작업을 했는지 로그(Log)를 남겨, 문제 발생 시 원인을 파악하고 책임을 추적하는 데 사용됩니다.

• 핵심 질문: "'user123'님, 당신은 어제 오후 3시에 어떤 파일을 삭제했나요?"
• 목표: 사용자의 모든 활동을 기록하여 책임 추적성(Accountability)을 확보하고, 보안 감사를 지원합니다.
• 정의: 리소스 사용에 대한 정보를 수집하고 관리하는 서비스
• 주요 기록 항목:
  • 접속 시간 및 로그아웃 시간
  • 접근한 IP 주소
  • 사용한 명령어 및 시스템 콜
  • 파일 접근 및 변경 이력
  • 사용한 시스템 자원 (CPU, 메모리 등)

---

정보처리기사 실기 대비 문제