1. 정보자산 보호를 위한 첫 걸음, 접근제어의 개요
가. 접근제어의 정의
정당한 권한을 가진 사용자(Subject)만이 허용된 범위 내에서 정보자산(Object)에 접근하고 이용할 수 있도록 통제하는 보안 프로세스입니다.
비인가자의 불법적인 침입을 차단하고, 내부 사용자의 권한 남용을 방지하여 자산의 기밀성과 무결성을 보장합니다.
나. 접근제어의 3대 요소
주체 (Subject): 접근을 시도하는 사용자, 프로세스, 시스템 등.
객체 (Object): 접근 대상이 되는 데이터, 파일, 하드웨어 자원 등.
접근 (Access): 주체가 객체에 대해 수행하는 읽기, 쓰기, 실행 등의 활동.
2. 접근제어의 정책 (Policies)
접근권한을 누구에게, 어떻게 부여할 것인지 결정하는 통제 원칙입니다.
| 정책 종류 | 주요 개념 및 특징 | 통제 주체 |
| 신분 기반 (DAC) | 객체의 소유자가 임의로 다른 사용자에게 권한을 부여하는 방식 | 데이터 소유자 (Owner) |
| 강제 기반 (MAC) | 주체와 객체의 보안 등급을 비교하여 시스템이 접근을 통제하는 방식 | 시스템 관리자 (Admin) |
| 역할 기반 (RBAC) | 사용자의 직무나 역할(Role)에 따라 권한을 할당하는 현대적 방식 | 중앙 관리자 (Role) |
3. 접근제어의 절차 (Processes)
접근제어는 일반적으로 식별 → 인증 → 인가 → 책임추적성의 4단계를 거쳐 수행됩니다.
식별 (Identification): 자신이 누구라고 주장하는 과정 (예: ID 입력).
인증 (Authentication): 주장하는 신원이 맞는지 확인하는 과정 (예: Password, 생체 인식).
인가 (Authorization): 인증된 사용자에게 허용된 권한을 부여하는 과정 (예: ACL 확인).
책임추적성 (Accountability): 주체의 활동 내역을 기록하고 감시하는 과정 (예: Audit Log).
4. 접근제어 구현 메커니즘 (Mechanisms)
정책을 기술적으로 실현하기 위한 구체적인 방법들입니다.
가. 접근제어 행렬 (Access Control Matrix)
주체(행)와 객체(열)를 축으로 하여 권한을 매핑한 2차원 표 형태의 가장 기본적인 모델입니다.
나. 자격 리스트 (Capability List)
주체를 중심으로 해당 주체가 가질 수 있는 객체와 권한의 목록을 관리하는 방식입니다. (행 중심)
다. 접근제어 리스트 (ACL; Access Control List)
객체를 중심으로 해당 객체에 접근 가능한 주체와 권한의 목록을 관리하는 방식입니다. (열 중심)
라. 기타 구현 기법
보안 커널 (Security Kernel): 참조 모니터(Reference Monitor) 개념을 구현한 하드웨어/소프트웨어 모듈.
속성 기반 접근제어 (ABAC): 주체, 객체, 환경의 속성(Attribute)을 결합하여 동적으로 권한 판단.
5. 기술사적 제언: 제로 트러스트(Zero Trust)와 접근제어의 진화
현대의 복잡한 클라우드 및 원격 근무 환경에서는 기존의 경계 보안 중심 접근제어만으로는 한계가 있습니다.
제로 트러스트 도입: "아무도 믿지 말고 항상 검증하라"는 원칙하에, 네트워크 내부라도 지속적인 인증과 **최소 권한의 원칙(PoLP)**을 적용해야 합니다.
적응형 접근제어 (Adaptive Access Control): 사용자의 접속 기기, 위치, 시간, 행위 패턴 등 컨텍스트(Context)를 AI로 분석하여 위험도에 따라 인증 단계를 조절해야 합니다.
통합 아이덴티티 관리 (IAM): 파편화된 접근제어 체계를 하나로 통합하여 가시성을 확보하고, 퇴사자나 보직 변경자의 권한을 즉시 회수하는 거버넌스 체계 구축이 필수적입니다.
댓글 없음:
댓글 쓰기