JinHeeKIM

인공지능 연구가 재밌는 사람

정보보안기사 필기 9장 요약내용입니다.

6 minute read

* 2020 조현준 정보보안기사 산업기사 필기 + 핵심기출 1200제 정보보안기사 & 산업기사 필기 교재를 기반으로 요약하였습니다.

Section 09. 사용자 인증

1. 사용자 인증의 유형

1) 지식 기반 인증

사용자가 알고 있는 어떤 것에 의존하는 인증기법

  • 장점 : 다양한 분야에서 사용이 가능, 검증 확실성, 관리비용의 저렴함, 편리성

  • 단점 : 소유자가 패스워드를 망각할 수 있고 공격자에 의한 추측이 가능

  • 종류 : 패스워드, i-PIN


(1) 패스워트 공격 유형

유형 설명
사전공격 패스워드 사전 파일을 이용하여 패스워드를 알아내는 해킹방법
· 대응책 : 솔트 사용
무차별 공격 문자 조합으로 일치되는 패스워드를 찾는 방법
· 대응책 : clipping, Level, Delay Time
백도어 시스템에 트로이목마 등을 설치하여 키보드 입력을 후킹하는 방법
사회공학 신뢰관계나 개인의 심리를 이용한 공격기법으로 일반적으로 패스워드를 알아내는 방법
스니핑 네트워크상에서 평문 패스워드를 훔치는 방법
패스워드 파일 접근 인증서버에서 있는 패스워드 파일에는 많은 패스워드가 저장되어 있어서 조작될 경우 손실이 큼
· 대응책 : 접근통제 메커니즘, 암호화 등


(2) i-PIN vs 주민등록번호

구분 i-PIN인증 주민등록번호 실명확인
검증방법 주민등록번호 실명확인+신원확인 주민등록번호+이름 일치여부 확인
주민등록번호 저장 웹 사이트에 저장안됨 개별 웹 사이트에 저장
유출 위험 주민등록번호 외부노출 가능성 적음
i-PIN 노출 시 폐지/신규발급 가능		 주민등록번호 외부노출 가능성 많음
사용 방법 신원확인 후 본인 확인기관에서 i-PIN 발급
i-PIN 아이디/비밀번호 사용		 쉡 사이트에서 본인 확인 시 주민번호 사용


2) 소유 기반 인증

실생활에서 사용하는 다양한 매체를 사용자 인증 방안으로 활용하는 것

  • 장점 : 일반적이기 때문에 다양한 수단으로 사용, 입증된 기술로서 비용측면에서 생체 인식방식보다 경제적

  • 단점 : 사용이 불가능한 경우 인증이 불가능, 복제가 가능하며 자산 관리 기능이 요구됨

  • 종류 : 메모리 카드, 스마트 카드, 일회용 패스워드

메모리 카드 : 저장할 수 있지만, 처리는 불가능

스마트 카드 : 실질적으로 정보를 처리할 수 있음(이 점으로 보아 메모리 카드보다 발전된 기술)

일회용 패스워드(OTP) : 사용자 pw와 일회용 pw를 생성하는 입력 값을 입력하면 암호 알고리즘을 사용하여 일회용 pw를 생성하는 사용자 인증 방법


 (1) OTP 비동기화 방식

구분 설명
특징 및 절차 [특징]
· 시도응답 방식
[절차]
· 인증 서버는 사용자에게 시도(임의값)를 보냄
· 사용자는 임의값을 토큰장치에 입력
· 토큰장치는 사용자에게 일회용 패스워드로 값을 돌려줌
· 사용자는 OTP와 사용자 이름을 인증 서버로 전송
· 인증서버는 이전에 보낸 값과 동일하면 사용자를 인증
OTP 입력 은행에서 전달받은 질의 값 혹은 사용자가 직접 입력
장점 구조가 간단하며 OTP 생성 매체와 인증서버 간 동기화가 불필요
단점 · 사용자가 질의 값을 직접 입력해야하기 때문에 번거로움
· 같은 질의 값이 생성되지 않도록 인증 서버 관리 필요(은행)


(2) OTP 동기화 방식

  • 특징

· 동기화 토큰장치의 인증과정은 시간 혹은 계수기를 이용한 인증서비스와 동기화가 핵심

· 토큰 장치와 인증서비스는 반드시 동일한 비밀키를 공유하여 암호화, 복호화에 사용

구분 설명  
종류 시간 동기화 방식 이벤트 동기화 방식(계수기)
OTP 입력 · OTP 생성 : 토큰 장치의 시간 값과 비밀키 사용
· 사용자 생성 값, ID를 컴퓨터에 입력
· 광범위하게 사용되는 시간 기반 토큰 ▶ RSA Security사의 SecurID
☞ 시간, 날짜, 토큰 카드 ID를 사용하여 일회용 패스워드를 생성		 · 사용자가 토큰장치의 버튼을 누르면 다음 인증 값이 나타남
· 인증 값과 비밀키는 해시되어 사용자에게 보여짐
· 사용자는 결과값과 ID를 입력
장점 질의값 입력이 없어 질의 응답방식보다 사용이 간편하고 호환성이 높음 시간 동기화 방식보다 사용이 간편하고 질의응답 방식보다 호환성이 높음
단점 · OTP 생성 매체와 인증서버의 시간 정보가 동기화되어 있어야 함
· 일정시간 이상 인증을 받지 못하면 새로운 비밀번호 생성 시까지 기다려야 하는 문제		 OTP 생성 매체와 인증서버의 계수기 값이 동기화 되어있어야 함


3) 개체 특성 기반 인증

지문, 홍채, 장문, 성문, 얼굴이미지 등의 다양한 기법을 사용

  • 장점 : 사용 용이, 잊어버리거나 손실될 수 없으며 위조가 어렵고 대여가 불가능 함

  • 단점 : 판단 모호성, 관리가 어려우며 인증을 위한 임계치 설정이 어려움

  • 종류 : 생체적 특징, 행동적인 특징

생체적 특징 : 지문, 얼굴, 손모양, 홍채, 망막, 정맥

행동적인 특징 : 서명, 키보드 입력, 음성


(1) 생체인증 기술의 유형 비교

유형 장점 단점 응용 분야
지문 비용이 저렴하며 안전성이 우수 훼손된 지문의 인식 어려움 범죄수사
얼굴 비용이 저렴하며 거부감이 적음 조명, 표정변화에 민감 출입 통제
망막/홍채 타인에 의한 복제 불가능 사용이 불편하며 이용 거부감 핵시설, 의료시설, 교도소
음성 비용이 저렴하며 원격지 사용이 가능 정확도가 낮으며 도용 가능 원격 은행업무, ARS
서명 비용이 저렴하며 거부감이 적음 서명 습관에 따라 인식률 격차가 큼 원격 은행업무, PDA


(2)생체인증 기술의 평가 항목

  • 보편성 : 모든 사람이 가지고 있는 생체 특징인가?

  • 유일성 : 동일한 생체 특징을 가진 타인은 없는가?

  • 지속성 : 시간에 따른 변화가 없는 생체 특징인가?

  • 획득성 : 정량적으로 측정이 가능한 특성인가?

  • 성능 : 환경변화와 무관하게 높은 정확성을 얻을 수 있는가?

  • 수용성 : 사용자의 거부감은 없는가?

  • 반기만성 : 고의적인 부정사용으로부터 안전한가?



(3) 생체인증 기술의 도입 시 선결과제

a. 정확성

고려사항

  • 지식기반인증 error(FRR:False Rejection Rate) : 오거부율

    - FRR은 등록된 사용자를 거부하는 인식 오류를을 나타냄

    - FRR이 높다 = 보안수준이 높다

  • 소유기반인증 error(FAR:False Acceptance Rate) : 오인식율

    - FAR은 등록되지 않은 사용자를 등록된 사용자로 오인하는 비율

    - 높은 보안 성능을 유지하기 위해서는 FRR보다 FAR 성능이 매우 중요 > 기밀성이 강조되는 군사기관은 제 2종 오류가 중요

    - 보안적인 측면에서는 FAR이 높으면 아주 위험한 수준

  • CER(Crossover Error Rate) : 교차 오류율

    - FRR과 FAR이 일치하는 지점

    - 생체인식 장치의 성능을 측정하는 표준 평가 지점으로 사용

    - 낮을수록 정확


b. 속도 및 처리량

고려사항

  • 일반적인 생체인식 기술 처리 속도는 느리며, 처리량은 낮은 수준

  • 생체인식 기술의 확산을 위해서는 속도 향상과 처리량 증가가 필요


c. 수용성

고려사항

  • 개인의 프라이버시, 치매, 심리적, 신체적 편리함 고려

  • 개인의 건강 상태 수집 가능


2. 통합 인증 체계(SSO)

1) SSO(Single Sign On)

▶ 한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 시스템에 재인증 절차 없이 접근할 수 있도록 하 는 통합 로그인 솔루션

→ 로그인 시 한 번만 ID/PW 입력하면 다른 시스템 접속 가능

→ 패스워드를 잊어버리거나 분실할 가능성이 줄어듦

→ 로그인 관리가 간소화되기 때문에 관리가 편해지고 보안수준 향상

장점 단점
· 운영비용 감소
· 보안성 강화
· 사용자 편의성 증가(PW 암기/분실 위험 감소)
· 중앙 집중 관리를 통한 효율적 관리 기능		 · SSO 서버가 단일 실패 지점
· SSO 서버 침해 시 모든 서버의 보안 침해 가능
· SSO 개발 및 운영비용 발생


2) SSO, EAM, IAM 비교

  • 공통점 : 기업 내 다양한 시스템의 접근 통합관리 보안 솔루션
구분 SSO EAM IAM
관련기술 PKI, LDAP SSO, AC, LDAP, PKI, 암호화 통합자원관리 + Provisioning
특징 하나의 ID, PW로 다양한 시스템 접근 SSO + 정책기반 + 접근제어 기업 업무프로세스에 근거한 사용자관리 및 접근제어
장단점 권한에 따른 접근제한 기능 없음 시스템관리의 비용/시간 손실 발생 자동화된 자원관리로 확장 용이


3) 커버로스

(1) 구성요소

· KDC(key Distribution Center) : 키 분배 서버(커버로스에서 가장 중요한 시스템 및 구성 요소)

시스템

  • 모든 사용자와 서비스들의 암호화키 보유

  • 제 3자 기관으로 티켓 생성, 인증서비스 제공

구성요소

  • 모든 사용자와 서비스의 비밀키를 보관

  • 제 3자 기관으로 티켓 생성, 인증서비스 제공

→ 사용자 패스워드는 비밀키로 변환된다.

→ 비밀키는 주체와 KDC 사이에서 민감한 데이터를 전송하기 위해 사용(사용자 인증 목적을 위해 사용되기도 함)

· AS(Authentication Service)

→ 실질적으로 인증을 수행하는 요소

· TGS(Ticket Granting Service)

→ 티켓 부여 서비스

· Ticket

→ 사용자에 대한 신원과 인증을 확인하는 토큰*

→ 통신이 필요할 때마다 패스워드를 입력하지 않도록 도와줌

· Principals → 인증을 위하여 커버로스 프로토콜을 사용하는 모든 실체


(2) 커버로스 장단점

장점 단점
· 데이터의 기밀성과 무결성 보장
· 재생공격 예방
· 개발된 이기종 간의 컴퓨터에서 자유로운 서비스 인증이 가능
· 대칭키를 사용하여 도청으로부터 보호		 · 패스워드 사전공격에 취약
· 비밀키, 세션키가 임시로 단말기에 저장 > 침입자가 탈취 가능
· 시간동기화 프로토콜 필요
· 비밀키 변경 필요
· KDC가 단일 실패지점이 될 수 있음
· KDC는 많은 수의 요청을 처리해야 함(확장 가능성 필요)
· TGS & AS는 물리적 공격 및 악성코드의 공격에 취약



(3) 커버로스의 동작절차

  1. 사용자는 워크스테이션에 로그인하고 호스트의 서비스를 요청

  2. AS는 사용자가 DB에 접근권한이 있는지 확인

    2.1) 티켓-승인 티켓과 세션키 생성

    2.2) 결과물을 사용자의 패스워드로부터 유효한 키를 사용하여 암호화

  3. 워크스테이션은 사용자에게 프롬프트를 통해 패스워드를 요청

    3.1) 패스워드를 복호화한 다음 사용자 이름, 네트워크 주소, TGS의 시간이 기록된 티켓과 인증자를 보냄

  4. TGS는 티켓과 인증자를 복호화하고, 요청을 확인 후 요청된 서버에 사용할 티켓을 생성

  5. 워크스테이션은 티켓과 인증자를 서버에 보냄

  6. 서버는 티켓과 인증자가 일치되는지 확인 후 접근 허락

→ 쌍방 인증이 필요한 경우 서버는 인증자를 반환


요약

  1. 티켓-승인 티켓을 AS(인증서버)에 요청

  2. AS는 확인 후 티켓과 세션키를 전달

  3. 서비스-승인 티켓을 TGS에 요청

  4. TGS는 확인 후 티켓과 세션키 전달

  5. 서버에 서비스 요청

  6. 서버는 서비스 인증자를 제공

Leave a comment

You may also enjoy

SPARK 설치

정보보안기사 필기 9장 요약내용입니다.

less than 1 minute read

Section 02. SPARK 설치

SPARK 기본개념

정보보안기사 필기 9장 요약내용입니다.

1 minute read

Section 01. SPARK 기본 개념