Authentication과 authorization의 차이는 무엇인가요?

Question

Accepted Answer

**Authentication**은 **당신이 누구인지**(신원)를 확인하고, **authorization**은 **무엇을 할 수 있는지**(권한)를 결정합니다. 둘은 구별되지만 관련되어 있습니다 — authentication이 먼저(신원 증명)이고 그다음 authorization(권한 확인)입니다. 둘을 혼동하는 것은 흔한 실수입니다.

## Authentication — 당신은 누구인가?

```text
AUTHENTICATION (AuthN)은 IDENTITY를 확인한다 — 당신이 주장하는 사람임을 확인:
  → 자격 증명(password), token, 생체 인식, 다단계(MFA)로 로그인
  → "당신이 Ann임을 증명하라" → 시스템이 신원을 확인
→ 답한다: 당신은 WHO인가?
```

## Authorization — 무엇을 할 수 있는가?

```text
AUTHORIZATION (AuthZ)은 PERMISSIONS를 결정한다 — 인증된 사용자가 무엇을 할 수 있는지:
  → 이 사용자가 이 리소스에 접근할 수 있는가? 이 작업을 수행할 수 있는가? (role, permission)
  → "Ann은 인증되었지만, 이 레코드를 삭제할 수 있는가?"
→ 답한다: 무엇을 하도록 ALLOWED되었는가?
```

## 관계와 순서

```text
1. AUTHENTICATION 먼저 → 당신이 WHO인지 확립(로그인)
2. AUTHORIZATION 다음 → 무엇을 하도록 ALLOWED인지 확인(요청/작업마다)
→ authorization이 의미를 가지려면 먼저 인증되어야 한다(누구인지 안 후, 무엇을 할 수 있는지).
→ 둘 다 필요하다: 인증되었지만 권한이 없는 경우(로그인했지만 X를 못 함)는 흔하다.
```

## 흔한 실수

```text
⚠️ 둘을 혼동(서로 다른 관심사다)
⚠️ BROKEN ACCESS CONTROL (authorization 결함) → 최상위 취약점 (OWASP #1):
   → authorization을 제대로 확인하지 않음 → 사용자가 접근/수정해선 안 되는 것에 접근
   → 예: URL의 ID를 바꿔 다른 사용자의 데이터에 접근(IDOR)
→ 모든 보호된 작업에 대해 항상 SERVER에서 authorization을 강제하라.
```

## 왜 중요한가

Authentication과 authorization의 차이를 이해하는 것이 근본적인 이유는 그것들이 **접근 제어의 중심이 되는 핵심 보안 개념**이며, 둘을 혼동하는 것이 흔하고 중대한 실수이기 때문이며, 따라서 필수적인 보안 지식입니다.

그 구분 — **authentication은 당신이 누구인지를 확인**(신원, 로그인/자격 증명/MFA를 통해)하고 **authorization은 무엇을 할 수 있는지를 결정**(권한, 리소스 및 작업에 대한 접근 확인)함 — 은 애플리케이션이 접근을 제어하는 방식의 근본이며, 이를 명확히 이해하는 것은 안전한 시스템 구축에 필요합니다.

**관계와 순서**를 이해하는 것(신원을 확립하기 위해 authentication이 먼저, 그다음 작업마다 권한을 확인하기 위해 authorization, 둘 다 필요함 — 인증된 사용자도 특정 작업에 대해서는 권한이 없을 수 있음)은 접근 제어에서 둘이 함께 작동하는 방식을 명확히 합니다.

결정적으로, **흔한 실수**를 이해하는 것이 중요합니다: 두 개념을 혼동하는 것, 그리고 특히 authorization이 제대로 확인되지 않아 사용자가 접근/수정해선 안 되는 것에 접근하게 되는 **broken access control**(authorization 결함 — OWASP의 #1 위험), 예컨대 URL의 ID를 바꿔 다른 사용자의 데이터에 접근하는 IDOR 취약점입니다.

**모든 보호된 작업에 대해 항상 서버에서 authorization을 강제하라**는 지침은 필수적인 보안 관행입니다 — 흔한 실제 취약점은 authorization을 제대로 확인하지 않거나 클라이언트가 그것을 강제하도록 의존하는 것입니다.

접근 제어(authentication + authorization)는 애플리케이션 보안의 근본이며 이 개념들을 혼동하거나 잘못 다루면 심각한 취약점(특히 최상위 위험인 broken access control)으로 이어지고, 그 구분과 순서, 흔한 authorization 실수를 이해하는 것이 안전한 시스템 구축에 필수적이므로, authentication과 authorization을 이해하는 것은 필수적이고 기초적인 보안 지식입니다. 이는 모든 개발자가 명확히 이해해야 할 접근 제어의 핵심 개념이며, 안전한 애플리케이션을 구축하고 가장 흔하고 심각한 보안 결함 중 하나인 broken-access-control 취약점을 피하는 데 중심이 됩니다.