보안

[네트워크 용어] AAA

shepherd.dev 2015. 9. 16. 12:37

[네트워크 용어] AAA(Authentication Authorization Accounting)

 저번에 보안과 관련된 용어를 한번 살펴본다고 했습니다. 첫 번째 보안 용어이므로 보안의 제일 기본이 될 것 같은 기본 용어를 한번 보고 가겠습니다. AAA, Triple-A라고 읽는 이 용어는 보안의 세가지 요소인 Authentication(인증), Authorization(권한부여), Accounting(계정 관리)를 합쳐 축약한 용어입니다. 제가 생각하기엔 보안은 이 세가지만 제대로 지켜진다면 거의 대부분이 해결 됩니다. 하지만 정말 어려운 부분이죠. 그럼 각 용어를 자세히 보겠습니다.


1. 인증(Authentication)보안 기능에서, 사람이나 프로세스의 신분을 확인하는 것.

2. 권한부여(Authorization) : 검증된 사용자에게 어떤 수준의 권한과 서비스를 허용하는 것.

3. 계정관리(Accounting) : 사용자의 자원에 대한 사용 정보를 모아서 과금,감사,용량증설,리포팅 등을 실시하는 것. ( TTA에서는 Accounting을 과금이라고 해석했네요. 과금, 계정관리 중 Accounting을 설명하기엔 계정관리쪽이 더 가까운 것 같아서 계정관리로 표시하겠습니다. )


 이 세가지가 왜 중요한지 한번 살펴볼까요? 여기서부턴 제가 이해한대로 작성한 시나리오입니다. 너무 신뢰도를 가지진 마세요. 제가 이 AAA를 너무 크게 보고있는 건지 잘 모르겠네요. 보안을 공부하신 분들의 검증이 필요한 부분이니 댓글로 틀린 부분이 있으면 알려주세요. 수정하겠습니다.


 우선 어떠한 시스템이 존재하고 있습니다. 이 시스템에 보안을 위해 위의 세가지가 완벽히 구현되었다고 하겠습니다.

 첫 번째, 인증이 완벽히 이루어 지고 있다면 시스템에 인가된 사용자나 프로세스만이 시스템의 인증을 받을 수 있습니다. 시스템의 내부적인 인증 오류가 없으니 인증 부분이 위협되는 경우는 시스템의 관리자나 사용자의 인증 요소 관리 실수로 인한 유출이 될것입니다. 이런 부분은 인증요소관리매뉴얼을 지켜야 되겠습니다.

 두 번째, 인증된 후 사용자 등급에 맞는 권한부여를 합니다. 이 권한이란 부분은 사용자마다 지정되어 있지만 권한 상승 공격으로 권한을 올려 인가되지 않은 시스템의 일부분을 사용할 수 있을 것입니다. 권한관리 부분이 제대로 이루어 지고 있다면 악의적 사용자의 권한 상승은 없다고 보겠습니다.

 세 번째, 악의적 사용자가 시스템에 침입하여 부정적인 사용을 하게 되었다고 가정합니다. 하지만 시스템에서 이 부정사용자에 대한 계정관리를 통해 부정사용을 감지하고 차단한 뒤 시스템 관리자에게 보고를 합니다. 악의적 사용자의 시스템 침입은 허용하였지만 시스템의 부정적 사용은 방지할 수 있게 됩니다.

  

 그럼 이 시스템을 요즘 보안 이슈 중 하나인 IOT쪽으로 한번 생각해보겠습니다. 어느 개인의 홈시스템을 구현하여 냉장고, TV, 가스레인지 등이 전자기기화 되어있고 이를 관리하는 중앙제어장치가 있을 것입니다. 어느 악의적 사용자가 이 사용자의 홈시스템을 해킹합니다. 보안이 이루어지고 있지 않다면 쉽게 뚫릴것이고 악의적 사용자는 각각의 전자기기들에 DDOS를 공격을 위한 프로그램을 심은 뒤 DDOS공격에 이용합니다. 홈시스템의 AAA가 잘 지켜진다면 이런 일은 없을 것입니다.


 물론 여러가지 여건들에 의해 AAA를 지키기란 정말 어렵습니다. 기존 프로토콜의 취약점 문제, 신속한 취약점 패치, 일반 사용자의 인증 요소 보안 등등 시스템자체에서 대응하기 힘든 부분도 많이 있습니다. 그래서 이 AAA를 완벽하게 지키기 위한 보안법이 다양하게 발전되어 온 것 같습니다. 


출처

TTA 용어 사전: http://word.tta.or.kr/terms/terms.jsp

CISCO 용어 사전: http://www.cisco.com/web/KR/networking/glossary/a.html

IOT기기 보안 문제 기사: http://www.etnews.com/20150515000119