불충분한 인가의 경우 인증과 인가의 개념으로 인해 불충분한 인가와 착각할 수 있음
우리가 흔히 알고있는 인증/인가의 개념은 다음과 같음
인증 -> 사용자/내가 누구인지 식별 혹은 알리는 것 즉 어떠한 자원(리소스)에 접근하기 전에 주체가 누구인지 식별, 알리는 과정(프로세스)이 인증을 의미하며 휴대폰 인증, 로그인 인증이 이에 해당함
인가 -> 인증된, 식별된 사용자나 주체가 어떠한 자원(리소스)에 접근할 수 있는 권한을 부여하는 프로세스 예를 들어 관리자가 사용자의 파일 업로드 기능을 할 수 있도록, 접근할 수 있도록 권한을 부여하는 프로세스를 인가라고 함
이러한 개념에서 불충분한 인가, 불충분한 인증을 생각하면 발생한 취약점에 대해 분류를 할때 동시에 인증/인가가 적용되는 경우가 발생함
따라서 주요정보통신기반 시설 기술적 취약점 분석 평가 기준 가이드에 따른 설명을 근거로 취약점에 대한 항목을 판단해야함
주요정보통신기반 시설 기술적 취약점 분석 평가 기준은 정보통신기반 보호법에 따름
정보통신기반 보호법 제9조(취약점의 분석 평가)에서 과기부(과학기술정보통신부)는 국가정보원장 또는 관계중앙행정기관의 장과 협의하여 취약점 평가 기준을 정함
과기부는 자체적으로 이러한 전문성을 필요로 하는 업무를 수행할 수 없으므로 과기부 산하기관 내 kisa를 통해 업무를 수행함 즉 kisa에서 기술적 취약점 점검 시 평가 항목과 양취 기준을 정함 이게 바로 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드이다.
해당 가이드에는 불충분한 인가/인증을 다음과 같이 작성함
불충분한 인증의 경우 - 중요정보 페이지(회원정보 수정,관리자 페이지) 접근 시 별도의 인증 절차가 불충분할 경우 즉 추가적인 인증 절차가 없는 경우에 해당함 - 회원정보 수정 리소스에 접근 시 사용자 로그인 또는 비밀번호 재입력 등의 인증 절차가 있어야함
불충분한 인가의 경우 - 중요 페이지에 접근제어가 부족한 경우이며 url 내 파라미터 값 변경 등의 방법으로 리소스에 접근이 가능할때를 의미 - 주요 게시글 구분 파리미터 값 변경을 통해 다른 사용자의 게시글에 접근이 가능할때, ur 내 사용자 id 파라미터 값 변경을 통해 회원정보 수정 페이지에 접근 가능할때 즉 접근제어, 통제수단이 미흡할때를 말함
모험