시스템 보안 설계
서버 인증
보안서버 개념
- 보안서버는 인터넷을 통한 개인정보를 암호화하여 송/수신할 수 잇는 기능을 갖춘 서버
- Sniffing(스니핑)을 이용한 정보유출, Phishing(피싱)을 이용한 위조 사이트 등에 대비하기 위해 보안 서버 구축 필요
- 개인정보의 기술적/관리적 보호조치 기준에 따르면 다음을 갖추어야함 - 서버에 SSL(Secure Socket Laver) 인증서를 설치하여 정송 정볼르 암호화하여 송/수신 하는 기능 - 서버에 암호화 응용 프로그램을 설치하고 전송 정볼르 암호화하여 송/수신하는 기능
Authentication(인증)의 개념
- 인증은 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안절차
- 인증의 종류 - 지식기반인증 Something You Know - 소유기반인증 Something You Have - 생체기반인증 Something You Are - 행위기반인증 Something You Do
지식기반인증
- 사용자가 기억하고 있는 정보를 기반으로 인증을 수행하는 것
- 사용자의 기억을 기반으로 하므로 관리비용 저렴
- 인증기법 중 가장 보안에 취약함
- 예 - 아이디/비밀번호 - 아이핀
소유기반인증
- 사용자가 소유하고 있는 것을 기반으로 인증하는 것
- 소유물이 쉽게 도용될 수 있기 대문에 지식기반이나 생체기반 인증방식과 함께 사용
- 분실 및 도용의 위험이 존재
- 예 - 신분증 - 스마트 카드 - OTP
생체기반인증
- 사용자의 고유한 생체 정보를 기반으로 인증을 수행하는 것
- 사용이 쉽고 도난 위험도 적으며 위조가 어려움
- 예 - 지문 - 홍채/망막 - 얼굴 - 음성 - 정맥
행위기반인증
- 사용자의 행동 정보를 이용해 인증 수행
- 예 - 서명
위치기반인증
- 인증을 시도하는 위치의 적절성 확인
- 예 - GPS - IP