HTTP 보안: 인증과 인가

웹 애플리케이션에서 보안은 사용자 데이터 보호와 서비스 무결성을 유지하는 핵심 요소입니다. 인증(Authentication)과 인가(Authorization) 는 이러한 보안을 유지하기 위한 두 가지 필수 개념으로, 각각 사용자의 신원을 확인하고, 해당 사용자가 특정 리소스나 기능에 접근할 수 있는지를 결정하는 역할을 합니다.

이 문서에서는 인증과 인가의 개념, 주요 방법, 실제 적용 사례, 그리고 강력한 보안을 위한 모범 사례를 심층적으로 살펴보겠습니다.

---

1. 인증(Authentication): 사용자의 신원 확인

인증은 사용자가 주장하는 신원이 실제로 맞는지를 검증하는 과정입니다.
예를 들어, 사용자가 로그인할 때 입력한 아이디와 비밀번호가 서버의 데이터베이스에 저장된 정보와 일치하는지를 확인하는 과정이 인증에 해당합니다.

✅ 1) 주요 인증 방식

1. 아이디와 비밀번호 기반 인증 (Basic Authentication)

• 가장 일반적인 인증 방식으로, 사용자가 입력한 아이디(username)와 비밀번호(password) 를 서버가 확인하여 일치하면 인증이 완료됩니다.
• 서버는 비밀번호를 안전하게 저장하기 위해 해싱(Hashing) 및 솔트(Salting) 기법을 사용해야 합니다.

📌 예제 (HTTP 기본 인증)

Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

🔴 문제점:

• 아이디와 비밀번호만으로 인증하는 방식은 보안이 취약하며, 피싱 공격과 무차별 대입 공격(Brute-force Attack)에 노출될 가능성이 높음.

✅ 보완 방법:

• 비밀번호 해싱(예: bcrypt, Argon2) 및 솔트 적용.
• 로그인 시도 횟수 제한 및 CAPTCHA 적용.
• 다단계 인증(MFA, Multi-Factor Authentication) 추가.

---

2. 다단계 인증(MFA, Multi-Factor Authentication)

• 사용자의 신원을 추가적으로 확인하는 보안 방법으로, 최소 두 개 이상의 인증 요소를 요구합니다.
• 예를 들어, 비밀번호 입력 후 SMS 코드, 이메일 인증, 생체 인식(지문, 얼굴 인식) 등을 추가로 요구하는 방식입니다.

📌 예제 (2단계 인증 흐름)

1. 사용자가 아이디와 비밀번호를 입력하여 로그인.
2. 서버가 입력값을 검증하고, 추가 인증 코드(SMS, 이메일)를 전송.
3. 사용자가 받은 인증 코드를 입력하면 최종적으로 로그인 성공.

✅ MFA 적용 예시

• Google 2단계 인증(OTP) 사용.
• 은행, 금융 서비스에서 SMS OTP 필수 적용.
• 기업용 시스템에서 지문 인식 또는 보안 키(FIDO2, YubiKey) 활용.

---

3. 토큰 기반 인증 (JWT, OAuth 2.0, API Key)

웹 서비스에서는 세션 쿠키 방식보다 토큰(Token) 기반 인증 방식이 더 유용하게 사용됩니다.

✅ JWT(JSON Web Token)

• 서버가 사용자의 인증이 완료되면, JWT를 생성하여 클라이언트에게 반환.
• 이후 사용자는 API 요청 시 JWT를 포함하여 요청을 보내고, 서버는 이를 검증하여 인증 처리.
• JWT는 자체적으로 서명이 포함되어 있어 무결성을 검증할 수 있음.

📌 JWT 예제 (Authorization 헤더 사용)

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

✅ OAuth 2.0 (Access Token, Refresh Token)

• OAuth 2.0은 타사 애플리케이션이 사용자 계정에 접근 권한을 부여할 수 있도록 하는 인증 프로토콜.
• Google, Facebook, GitHub 로그인 시 많이 사용됨.
• Access Token(액세스 토큰)과 Refresh Token(리프레시 토큰)을 이용한 인증 관리.

---

2. 인가(Authorization): 사용자의 접근 권한 제어

인가(Authorization) 는 인증이 완료된 사용자가 특정 리소스나 기능에 접근할 수 있는지를 결정하는 과정입니다.
즉, "이 사용자는 누구인가?" 를 확인하는 것이 인증,
"이 사용자는 무엇을 할 수 있는가?" 를 결정하는 것이 인가입니다.

---

✅ 1) 주요 인가 방식

1. 역할 기반 접근 제어(RBAC, Role-Based Access Control)

• 사용자의 역할(Role)에 따라 접근 권한을 설정하는 방식.
• 예를 들어, 관리자(Admin), 일반 사용자(User), 게스트(Guest) 와 같은 역할을 부여하여 각 역할에 따라 권한을 제한할 수 있음.

📌 예제 (RBAC 적용)

역할	권한
Admin	모든 데이터 읽기/쓰기/삭제 가능
User	개인 데이터 조회 및 수정 가능
Guest	일부 데이터 조회만 가능

✅ RBAC 적용 사례

• 기업 내부 시스템(ERP, CRM)에서 관리자와 직원의 접근 권한 분리.
• 쇼핑몰 관리자(Admin)만 상품 등록/수정 가능, 일반 사용자는 구매만 가능.

---

2. 속성 기반 접근 제어(ABAC, Attribute-Based Access Control)

• RBAC보다 더 정교한 방식으로, 사용자의 속성(Attribute)과 환경(Context)에 따라 접근 권한을 설정.

📌 예제 (ABAC 적용)

• 특정 파일에 "HR" 태그가 붙어 있으면 HR 부서 직원만 접근 가능.
• 업무 시간(09:00~18:00) 내에서만 시스템 접근 허용.

✅ ABAC 적용 사례

• 은행 시스템에서 VIP 고객에게만 특정 금융 서비스 제공.
• 사내 문서 관리 시스템에서 직원의 부서에 따라 문서 접근 제한.

---

3. 실생활 적용 사례

✅ 웹 애플리케이션 인증 및 인가 흐름

1️⃣ 사용자가 아이디와 비밀번호 입력 후 로그인 시도.
2️⃣ 서버가 비밀번호 검증 및 다단계 인증 적용.
3️⃣ 인증 성공 후 JWT 또는 세션 쿠키 발급.
4️⃣ 사용자가 API 요청 시 JWT 또는 세션 쿠키 포함하여 요청 전송.
5️⃣ 서버는 해당 요청을 검증하고, RBAC 또는 ABAC 기반으로 인가 결정.
6️⃣ 접근이 허용되면 요청된 데이터를 반환, 그렇지 않으면 403 Forbidden 응답.

---

4. HTTP 인증 및 인가 보안 강화

✅ 1) 보안 강화 방법
✔ 비밀번호 해싱(BCrypt, Argon2) 및 솔트 적용.
✔ 2단계 인증(MFA) 필수 적용.
✔ JWT 및 OAuth 2.0 활용하여 인증 세션 관리.
✔ RBAC 또는 ABAC 기반의 세밀한 접근 제어 정책 적용.
✔ 세션 타임아웃 설정 및 비정상적인 로그인 감지.

✅ 2) 공격 방어 기법
✔ CSRF 보호 (SameSite 쿠키 설정 및 CSRF 토큰 사용).
✔ XSS 방어 (Content Security Policy 적용, 입력값 검증).
✔ Brute-force 공격 차단 (로그인 시도 횟수 제한, CAPTCHA 사용).

---

5. 결론

✔ 인증(Authentication)과 인가(Authorization)는 웹 보안의 핵심 요소이며, 강력한 보안 체계를 구축하려면 이 두 개념을 모두 잘 설계해야 합니다.
✔ 단순한 아이디/비밀번호 인증 방식은 보안이 취약하므로, MFA, JWT, OAuth 2.0 등의 기술을 활용하여 보안을 강화해야 합니다.
✔ RBAC 또는 ABAC를 사용하여 사용자 역할 및 속성 기반으로 접근 제어를 수행하면 보다 안전한 시스템을 구축할 수 있습니다.

💡 안전한 웹 서비스 운영을 위해 인증과 인가를 철저하게 구현하는 것이 필수적입니다! 🚀