목차
로그인, 결제, 개인정보 접근 과정에서 인증과 인가라는 용어를 자주 보게 됩니다. 두 개념은 보안에서 항상 함께 등장하지만, 역할과 의미는 완전히 다릅니다. 이 차이를 이해하면 보안 구조를 훨씬 쉽게 볼 수 있습니다.
인증이란 무엇일까?
인증(Authentication)은 “이 사람이 누구인지 확인하는 과정”입니다. 아이디와 비밀번호 입력, 휴대폰 인증, 지문·얼굴 인식 등이 모두 인증에 해당합니다.
즉, 시스템은 인증을 통해 “당신이 주장하는 그 사람이 맞는가?”를 확인합니다.
인가란 어떤 의미일까?
인가(Authorization)는 “무엇을 할 수 있는지 결정하는 과정”입니다. 인증이 끝난 뒤, 해당 사용자에게 어떤 권한을 줄지 판단합니다.
예를 들어 관리자와 일반 사용자가 같은 시스템에 로그인하더라도 접근 가능한 메뉴와 기능은 다를 수 있습니다. 이 차이를 만드는 것이 인가입니다.
인증과 인가는 순서부터 다르다
보안 절차에서는 인증이 먼저, 인가는 그다음입니다.
- ① 인증 → 신원 확인
- ② 인가 → 권한 부여
인증되지 않은 상태에서는 인가 자체가 이루어질 수 없습니다.
인증과 인가의 차이 한눈에 보기
| 구분 | 인증 | 인가 |
|---|---|---|
| 목적 | 사용자 신원 확인 | 권한 범위 결정 |
| 시점 | 로그인 단계 | 로그인 이후 |
| 예시 | 비밀번호, OTP | 접근 권한, 사용 권한 |
| 보안 역할 | 외부 침입 차단 | 내부 오남용 방지 |
보안에서 왜 이렇게 중요할까?
인증만 있고 인가가 없다면, 누구든 로그인만 하면 모든 기능을 사용할 수 있는 위험이 생깁니다.
반대로 인가만 있고 인증이 약하면, 신분을 속여 시스템에 접근할 가능성이 커집니다. 두 개념은 반드시 함께 작동해야 보안이 완성됩니다.
정리하면
인증 → “너 누구야?”
인가 → “여기까지 할 수 있어”
이 차이를 알고 나면 로그인 오류, 접근 제한, 권한 문제를 훨씬 논리적으로 이해할 수 있습니다.