접근 통제 모델

접근 통제 (Access Control)

● 어떤 주체 (사용자, 프로그램, 프로세스)가 어느 객체 (파일, 디바이스, CPU, 메모리)에 접근하는 것을 통제하는 방법

● 인프라 측면에서 가용성에 어느 정도 영향을 미치지만 기밀성과 무결성 확보가 주목적이다.

● 접근 제어 모델

• 임의적 접근 통제 (DAC, Discretionary Access Control)
• 강제적 접근 통제 (MAC, Mandatory Access Control)
• 역할 기반 접근 제어 (Role-Bases Access Control)

 

임의적 접근 통제

● 접근하는 주체의 신분에 따라 접근 권한 부여

● 정보의 소유자가 정보의 보안 레벨을 결정하고 이에 대한 정보의 접근 제어도 설정하는 모델

● 신분 기반 접근 통제 정책

• 개인 기반 접근 정책 (IBP, Individual-Based Policy)
• 그룹 기반 접근 정책 (GBP, Group-Based Policy)

● 장점

• 구현이 쉽고 변경이 유연

● 단점

• 트로이 목마 등의 공격에 취약
• 주체에 전적으로 의존하므로 이에 따른 문제가 발생
• 주체마다 객체에 대한 접근 권한을 부여해야 하는 불편함 발생
• 중앙 집중 방식이 아니라 시스템 전체적 보안 관리가 MAC보다 약하다.

 

강제적 접근 통제

● 주체와 객체의 등급을 비교해 접근 권한을 부여

● 중앙에서 정보를 수집하고 분류하여 각각의 보안 레벨을 붙이고 이에 대해 정책적으로 접근 제어 수행

● 벨 라파듈라 모델, 비바 모델

● 규칙 기반 접근 통제 정책

• MLP (Multi-Level Policy)
• CBP (Compartment-Based Policy)

● 장점

• 엄격한 보안, 중앙집중식 관리, 관리 용이

● 단점

• 객체 단위 세밀한 권한 설정 불가
• 모든 접근에 대한 보안 정책 확인으로 인한 성능 저하
• 구현이 어렵고 복잡하며 비용이 많이 든다.

 

벨 라파듈라 모델 (Bell-Lapadula)

● 최초의 수학적 모델

● 기밀성 유지에 초점을 둔 모델 (무결성, 가용성에는 신경 X)

● 정보를 극비, 비밀, 미분류로 분류

● 상위 레벨 읽기 금지 정책

• 낮은 보안 레벨의 권한을 가진 이가 높은 보안 레벨의 문서를 읽을 수 없고 자신의 권한보다 낮은 수준의 문서만 읽기 가능

● 하위 레벨 쓰기 금지 정책

• 자신보다 높은 보안 레벨의 문서에 쓰기는 가능하나 보안 레벨이 낮은 문서에는 쓰기 권한이 없다.
• 보안 레벨 2의 정보를 보안 레벨 1에 기록 → 기밀성 손상 X
• 보안 레벨 2의 정보를 보안 레벨 3에 기록 → 기밀성 손상 O
• 자신보다 낮은 레벨 문서에 정보를 작성하는 경우 문서 기준으로 자신보다 높은 레벨의 정보가 해당 문서에 작성될 위험

기밀성(confidentiality)은 정보나 데이터가 허가받지 않은 사람이나 조직에 의해 열람되거나 유출되지 않도록 보호하는 것을 의미

 

비바 모델 (Biba)

● 무결성을 최우선으로 삼아 정보 변조를 방지하는 모델이다.

● 읽기에 대한 권한이 벨-라파듈라 모델과 조금 다르다.

● 하위 레벨 읽기 금지 정책

• 낮은 보안 레벨의 권한을 가진 이가 높은 보안 레벨의 문서를 읽을 수 있고 자신의 권한보다 낮은 수준의 문서만 읽기 불가
• 상대적으로 신뢰도가 높은 레벨 1의 정보를 가져와 신뢰도가 낮은 레벨 2의 정보를 보완하여 신뢰도를 높이는 것은 허용하지만, 신뢰도가 낮은 레벨 3의 정보를 참조하여 신뢰도를 떨어뜨리는 것을 방지
• 해당 문서 정보의 신뢰도를 기준으로 생각하면 이해하기 편하다.
• 본인이 갖고 있는 정보를 바탕으로 하위 레벨의 신뢰도가 떨어지는 정보를 획득, 읽어버리면 전체적인 정보의 신뢰도가 떨어질 수밖에 없다.
• 본인이 갖고 있는 정보를 바탕으로 상위 레벨의 신뢰도가 충분한 정보를 획득, 읽어버리면 전체적인 정보의 신뢰도가 상승한다.

● 상위 레벨 쓰기 금지 정책

• 하위 레벨의 정보를 가지고 상위레벨 문서에 정보를 작성 시 신뢰도가 떨어지는 정보를 작성할 수 있기 때문에 상위레벨 정보의 신뢰도가 떨어진다.
• 상위 레벨의 정보를 가지고 하위레벨 문서에 정보를 작성 시 신뢰도가 보완 가능하다.
• 레벨 2의 문서를 더 높은 신뢰도를 가진 무결성 레벨 1의 정보에 쓸 수 없다.
• 읽기와 마찬가지로 낮은 신뢰도를 가진 정보를 높은 신뢰도를 가진 정보에 더해 결과적으로 높은 신뢰도를 가진 정보의 신뢰도를 떨어뜨리지 않는 것이며 반대로 높은 신뢰도를 가진 레벨 2의 정보를 신뢰도가 더 낮은 레벨 3의 문서에 쓰는 것은 가능하다.

무결성(integrity)은 정보가 정확하고 완전하게 유지되도록 보호

 

RBAC

● 주체와 객체 사이에 역할을 부여해 다른 접근 통제의 약점을 보완 (MAC-DAC의 대안으로 등장)

● 직책이 변경되면 가졌던 권한 중 불필요한 권한이 모두 삭제되고 변경되어야 하나 일반적으로 그렇지 않고 대부분 새로운 업무 수행에 필요한 권한만 추가로 부여되는 사례가 많다.

● 회사에서 근무시 직책이 변경되고 직책에 따라 업무에 대한 권한도 변경된다.

● 직책을 변경하다보면 불필요한 권한을 많이 가지게 되고 권한이 확대되는데, 이를 Authorization Creep이라고 한다.

● 중앙 관리자가 주체와 객체의 상호관계를 통제한다.

● 조직 내에서 맡은 역할에 기초하여 자원에 대한 접근 허용 여부를 결정

• 직책에 대한 권한 세트를 미리 구성 → 새로운 사람이 올 경우 직책에 의해 권한 할당
• 직책이 변경될 경우 기존 권한을 제거하고 해당하는 직책에 대한 권한 부여

---

면접 질문으로 사용될 수도 있다~