728x90

 

1. Single-Factor Authentication (SFA)

단일 인증

  • 의미: 사용자가 하나의 인증 요소만으로 본인을 인증하는 방식입니다.
  • 예시:
    • 아이디 + 비밀번호 로그인
    • 은행 카드 사용 시 카드 번호 입력
  • 특징:
    • 인증 요소는 오직 하나 (know – 사용자가 아는 것)
    • 구현은 쉽고 사용자 친화적이지만 보안성이 낮음 → 비밀번호 유출 시 누구나 접근 가능
  • 취약점:
    • 비밀번호가 약하거나 재사용되면 쉽게 뚫릴 수 있음
    • 피싱, 키로거, 브루트포스 공격에 취약

 

2. Two-Factor Authentication (2FA)

이중 인증

  • 의미: 서로 다른 두 가지 인증 요소를 결합해 본인을 인증하는 방식입니다.
  • 예시:
    • 아이디 + 비밀번호 (첫 번째 요소: 아는 것)
    • OTP 코드, 문자 인증, 모바일 앱 알림 (두 번째 요소: 가지고 있는 것)
    • ATM에서 카드 (가지고 있는 것) + 비밀번호 (아는 것)
  • 인증 요소 조합:
    • 아는 것 (Something you know): 비밀번호, PIN
    • 가지고 있는 것 (Something you have): 스마트폰, OTP 토큰, 보안카드
    • 본인임을 증명하는 것 (Something you are): 지문, 홍채, 얼굴
  • 특징:
    • 하나의 요소가 뚫리더라도 두 번째 요소로 보완 → 보안성이 크게 향상
    • 사용자가 약간의 추가 행동을 해야 해서 SFA보다 약간 불편할 수 있음

 

3. Multi-Factor Authentication (MFA)

다중 인증

  • 의미: 두 가지 이상, 즉 최소 세 가지 이상 인증 요소를 사용하는 방식 (일반적으로는 2FA도 MFA에 포함시키지만, 좁은 의미로는 3개 이상을 의미할 때 쓰이기도 함).
  • 예시:
    • 비밀번호 + OTP + 지문 인증
    • 카드 + PIN + 얼굴 인식
  • 특징:
    • 서로 다른 두 가지 이상의 범주에서 인증 요소를 결합
    • 2FA보다 더 높은 보안을 제공, 특히 보안이 매우 중요한 환경(군사, 금융, 고위 경영층 시스템 등)에서 사용
    • 사용 편의성은 상대적으로 떨어질 수 있으나, 보안 수준은 최상급

 

 요약

구분 예시 보안성
SFA 1개 비밀번호만, 카드만 낮음
2FA 2개 비밀번호 + OTP, 카드 + PIN 높음
MFA 2개 이상 비밀번호 + OTP + 생체인증 매우 높음

 

 

 

인증요소

 

 1. Something you know (당신이 아는 것)

  • 정의: 사용자가 알고 있는 비밀 정보
  • 예시:
    • 비밀번호
    • PIN 번호 (예: 은행 카드 PIN)
    • 패턴 (스마트폰 잠금 패턴)
    • 답변형 질문 (예: 비밀번호 찾기 시 “어머니의 결혼 전 성은?”)
  • 특징:
    • 전통적인 인증 요소, 오래전부터 사용됨
    • 입력만으로 인증되므로 사용 편의성이 좋음
    • 취약점:
      • 쉽게 추측될 수 있음 (예: 생일, 1234 같은 비밀번호)
      • 재사용하거나 메모해두면 유출 위험 증가
      • 피싱, 키로깅, 사전 공격(brute-force) 등에 약함

 

2. Something you have (당신이 가진 것)

  • 정의: 사용자가 소유한 물리적 장치나 토큰
  • 예시:
    • 스마트폰 (문자 메시지, OTP 앱, 푸시 알림 수신용)
    • 하드웨어 토큰 (예: RSA 보안 토큰, OTP 생성기)
    • 스마트카드, 보안 카드, USB 보안 키 (예: YubiKey)
    • 은행 카드 (실물 카드 자체)
  • 특징:
    • 물리적으로 소유해야 하므로, 유출되더라도 물리적 절도 없이는 사용 어려움
    • 취약점:
      • 분실하거나 도난당할 수 있음
      • 복제 가능성이 존재(특히 보안이 낮은 장치나 카드)
      • 배터리나 네트워크 의존성이 있는 경우 사용 불편 가능성

 

3. Something about you (당신 자체, 생체적 특징)

  • 정의: 사용자의 고유한 생물학적/행동학적 특성
  • 예시:
    • 지문
    • 얼굴 인식
    • 홍채(눈) 스캔
    • 음성 인식
    • 서명, 걸음걸이, 타이핑 습관 (행동적 생체 인식)
  • 특징:
    • 사용자가 ‘본인’이라는 사실 자체로 인증
    • 도난이나 분실 걱정이 없음 (지문이나 얼굴은 항상 소지)
    • 취약점:
      • 생체정보는 유출되면 변경이 불가능
      • 인식 기기의 품질에 따라 오탐, 미탐 가능 (예: 습기 있는 손, 어두운 곳)
      • 프라이버시 문제(민감한 개인정보 수집)

 

728x90

'정보보호' 카테고리의 다른 글

DRM(Digital Rights Management 디지털저작권 관리)의 개념  (0) 2025.05.03
Replay 공격에 대한 개념  (0) 2025.05.02
세션쿠키(Session Cookie)와 지속쿠키(Persistent Cookie) 개념  (0) 2025.04.30
SQL Injection 개념 및 대응 방법  (0) 2025.04.29
Snooping 공격에 대한 개념  (0) 2025.04.29

+ Recent posts

티스토리툴바