토픽 226 / 234·비교표
인증 및 접근제어
DAC vs MAC vs RBAC vs ABAC
| 항목 | DAC | MAC | RBAC | ABAC |
|---|---|---|---|---|
| 정의 | 소유자가 접근 권한 설정 | 시스템이 보안등급으로 제어 | 역할 기반 접근 제어 | 속성 기반 접근 제어 |
| 유연성 | 높음 | 낮음(엄격) | 중간 | 가장 높음 |
| 관리 | 분산(소유자) | 중앙(관리자) | 중앙(역할 관리) | 정책 기반 |
| 장점 | 직관적, 유연 | 높은 보안 | 관리 효율적 | 세밀한 제어 |
| 적용 | 파일 시스템(Unix) | 군사, 기밀 시스템 | 기업 정보시스템 | 클라우드, 동적 환경 |
BLP vs Biba vs Clark-Wilson
| 항목 | BLP | Biba | Clark-Wilson |
|---|---|---|---|
| 정의 | 기밀성 중심 접근제어 모델 | 무결성 중심 접근제어 모델 | 상업적 무결성 모델 |
| 목표 | 기밀성(정보 유출 방지) | 무결성(정보 변조 방지) | 무결성(직무 분리) |
| 규칙 | No Read Up, No Write Down | No Read Down, No Write Up | 잘 형성된 트랜잭션, 직무 분리 |
| 적용 | 군사, 기밀 등급 시스템 | 금융, 소프트웨어 개발 | 회계, 상업 시스템 |
SAML vs OIDC vs Kerberos
| 항목 | SAML 2.0 | OIDC | Kerberos |
|---|---|---|---|
| 정의 | XML 기반 인증/인가 표준 | OAuth 2.0 기반 인증 계층 | 티켓 기반 네트워크 인증 |
| 토큰 | XML Assertion | JWT (ID Token) | 티켓(TGT/ST) |
| 프로토콜 | HTTP Redirect/POST | REST/JSON | UDP/TCP (포트 88) |
| 장점 | 엔터프라이즈 SSO | 모바일/SPA 적합, 경량 | 싱글사인온, 상호인증 |
| 적용 | 기업 SSO, 공공 | 소셜 로그인, 모바일 앱 | AD/Windows 도메인 |
OAuth 2.0 vs OIDC
| 항목 | OAuth 2.0 | OIDC |
|---|---|---|
| 정의 | 권한 위임(Authorization) 프레임워크 | OAuth 2.0 위에 인증(Authentication) 추가 |
| 목적 | 인가(리소스 접근 권한 위임) | 인증(사용자 신원 확인) + 인가 |
| 토큰 | Access Token | Access Token + ID Token(JWT) |
| 사용자 정보 | 별도 API 호출 필요 | ID Token에 포함 / UserInfo 엔드포인트 |
| 적용 | API 접근 권한 | 소셜 로그인, SSO |
JWT vs 세션
| 항목 | JWT | 세션 |
|---|---|---|
| 정의 | 자체 포함 토큰(JSON Web Token) | 서버 저장 세션 ID |
| 저장 | 클라이언트(Stateless) | 서버(Stateful) |
| 확장성 | 높음(서버 상태 불필요) | 낮음(세션 저장소 필요) |
| 무효화 | 어려움(만료 전 취소 어려움) | 쉬움(서버에서 삭제) |
| 적용 | MSA, API, 모바일 | 전통적 웹 앱, 모놀리식 |
FIDO U2F vs FIDO2 vs Passkey
| 항목 | FIDO U2F | FIDO2 | Passkey |
|---|---|---|---|
| 정의 | 2차 인증용 보안키 | 패스워드리스 인증 표준 | FIDO2 기반 동기화 인증 |
| 방식 | 보안키(2FA) | 보안키/생체(WebAuthn+CTAP) | 클라우드 동기화 자격증명 |
| 비밀번호 | 필요(1차+2차) | 불필요(패스워드리스) | 불필요 |
| 동기화 | X(디바이스 바인딩) | X(디바이스 바인딩) | O(클라우드 동기화) |
| 적용 | 레거시 2FA | 기업 보안, 높은 보안 | 소비자 서비스(Apple/Google) |
SMS OTP vs TOTP vs FIDO2
| 항목 | SMS OTP | TOTP | FIDO2 |
|---|---|---|---|
| 정의 | SMS로 일회용 코드 전송 | 시간 기반 일회용 비밀번호 | 공개키 기반 인증 |
| 보안 | 낮음(SIM 스와핑 취약) | 중간 | 높음(피싱 내성) |
| 편의성 | 높음(번호만 있으면 됨) | 중간(앱 필요) | 높음(생체 인증) |
| 피싱 방지 | X | X | O(출처 바인딩) |
| 적용 | 기본 2FA | Google Authenticator | 패스워드리스 인증 |
중앙집중 신원 vs Federated vs SSI/VC
| 구분 | 중앙집중 신원(여권/공인인증) | Federated(OAuth/SAML) | SSI/VC(자기주권) |
|---|---|---|---|
| 통제권 | 발급기관 | ID 제공자 | 개인(Holder) |
| 프라이버시 | 전체 공개 | 제공자 의존 | 선택적 공개 |
| 단일장애점 | 있음 | 있음 | 없음 |
ITDR vs EDR vs XDR
| 구분 | ITDR | EDR | XDR |
|---|---|---|---|
| 보호 대상 | ID 인프라(AD/IAM/IdP) | 엔드포인트(PC/서버) | 전체 보안 계층 통합 |
| 탐지 대상 | 자격증명 도용/권한 상승 | 악성코드/이상 프로세스 | 크로스 레이어 위협 |
| 데이터 소스 | IdP 로그/인증 이벤트 | 엔드포인트 텔레메트리 | 네트워크/엔드포인트/클라우드 |
인간 ID 관리 vs NHI 관리
| 구분 | 인간 ID 관리 | NHI 관리 |
|---|---|---|
| 인증 방식 | 비밀번호/MFA/생체 | API 키/인증서/토큰 |
| 수명 | 입사~퇴사(유한) | 무기한(관리 부재 시) |
| 규모 | 수천~수만 | 수십만~수백만 |
| 관리 주체 | HR/IT부서 | 개발팀/DevOps(분산) |
사용자 ID vs 서비스 계정 vs AI 에이전트 ID
| 구분 | 사용자 ID | 서비스 계정 | AI 에이전트 ID |
|---|---|---|---|
| 주체 | 인간 | 애플리케이션/서비스 | 자율 AI 에이전트 |
| 행위 패턴 | 예측 가능 | 정적/반복적 | 동적/비결정적 |
| 권한 관리 | RBAC/MFA | 고정 권한 | 동적 위임/바운더리 |
| 감사 | 로그인/접근 로그 | API 호출 로그 | 의사결정 과정 포함 |