사용자 인증 방식(지식·소유·존재)별 종류와 특징 정리표
| 인증 기반(요소) | 의미(한줄 정의) | 대표 예시 | 장점 | 단점/주의점 | 공격·사고 포인트 |
|---|---|---|---|---|---|
| 지식 기반 (Something you know) | 사용자가 알고 있는 정보로 인증 | 비밀번호/패스워드, PIN, 패턴, 보안질문(어머니 성함 등) | 구현 쉬움, 비용 낮음, 대부분 서비스에서 기본 지원 | 유출·추측에 취약, 사용자가 강한 비밀번호 관리 어려움 | 피싱, 크리덴셜 스터핑(재사용 비번 대입), 키로깅, 무차별 대입(Brute force) |
| 소유 기반 (Something you have) | 사용자가 가지고 있는 물건/토큰으로 인증 | OTP 토큰(생성기), OTP 앱(Authenticator), 보안카드, 스마트카드, 인증서(USB/PC), FIDO2 보안키(USB/NFC) | 지식 유출만으로는 뚫기 어려움, 2차 인증에 강함 | 분실·도난 가능, SMS 인증은 보안 약점 존재 | SIM 스와핑, 문자 가로채기, 토큰/기기 탈취, 세션 탈취 |
| 존재 기반 (Something you are) | 사용자의 **생체정보(특징)**로 인증 | 지문, 얼굴인식, 홍채, 정맥, 음성, 서명(필적) | 편리함(기억/소지 필요↓), 빠른 인증 | 생체정보는 변경이 어려움(유출 시 치명적), 오인식/환경 영향 | 딥페이크/사진·마스크, 지문 복제, 센서 우회(스푸핑) |
시험/실무에서 자주 나오는 포인트(한 줄 요약)
-
지식(비밀번호): “강화(복잡도/길이) + 정책(잠금/시도제한) + 안전한 저장(해시/솔트)”이 핵심
-
소유(OTP/보안키): SMS는 약한 편, 가능하면 OTP 앱이나 FIDO2 보안키가 더 안전
-
존재(생체인증): 편하지만 유출 시 재발급이 어렵다 → 그래서 보통 **다중요소(MFA)**로 조합
마무리
인증은 보통 “지식(비밀번호)”만 쓰면 위험하고, “소유(OTP/보안키)” 또는 “존재(생체정보)”를 추가한 **MFA(다중요소 인증)**가 안전하다. 단, 각 요소는 장단점이 뚜렷하니 서비스 특성과 위협 모델에 맞게 선택하는 게 중요하다.
