인증의 유형

1) 지식 기반 (Something you know)

• 정의: 사용자가 기억하는 정보.
• 예시: 비밀번호/패스프레이즈, PIN, 보안질문.
• 장점: 구현·배포가 쉽고 비용 낮음.
• 주의점: 재사용·유출·피싱·사전공격에 취약. 복잡도·길이·유일성·관리 정책 필수.

2) 소유 기반 (Something you have)

• 정의: 사용자가 소지한 물리/논리 토큰.
• 예시: 하드웨어 보안키(FIDO2/WebAuthn, Passkey 장치), OTP 토큰(앱/TOTP/HOTP), 스마트카드, SMS 코드(권장 X).
• 장점: 지식기반 대비 피싱·크리덴셜 채번에 강함(특히 FIDO2).
• 주의점: 분실·도난·복제 위험. SMS는 SIM 스와핑/가로채기로 취약 → 가급적 지양, 앱 기반 OTP나 보안키 권장.

3) 생체(고유) 기반 (Something you are)

• 정의: 신체적·고유 특성.
• 예시: 지문, 얼굴, 홍채, 정맥, 음성.
• 장점: 편의성 높고 대체로 사용자 저항 낮음.
• 주의점: 오인식/오거부율(FAR/FRR) 관리 필요, 프레젠테이션 공격(사진/마스크), 유출 시 변경 불가 → 장치 내 안전영역(TEE/SE) 저장, liveness 검증 필수.

4) 행위 기반 (Something you do)

• 정의: 사용 행태/패턴.
• 예시: 키보드 타이핑 리듬, 마우스/터치 제스처, 걷기 패턴.
• 장점: 연속·투명 인증에 적합(백그라운드 위험 평가).
• 주의점: 노이즈·개인차·환경 민감, 프라이버시 고려·성능 튜닝 필요. 단독보다는 보조 신호로 사용 권장.