접근 통제 모델

접근 통제 모델이란

접근 통제 모델의 개념

접근 통제 모델이란 프레임워크로 주체가 어떻게 객체에 접근하는지를 설명하는 모델을 말합니다. 이 모델들을 통해 주체의 객체 사용에 대한 엄격한 정의를 내리게 됩니다. 주체가 객체에 접근하려는 접근 시도가 생성되면 이를 허용할 것인지를 결정하기 위해 접근 통제 모델을 이용하게 됩니다. 접근 통제 모델 기술에는 강제적 접근 통제(MAC), 임의적 접근 통제(DAC), 역할기반 접근 통제(RBAC)등이 있습니다.

접근 통제 모델의 종류

MAC(강제적 접근 통제)
MAC란 보안 레이블과 보안 허가증을 비교하여 접근 제어를 하는 것을 말합니다. 보안 레이블이란 특정 시스템 자원이 얼마나 중요한 자원인지를 나타내는 정보이고, 보안 허가증이란 어떤 시스템 개체가 특정 자원에 접근할 수 있는지를 나타내는 정보입니다. 즉, 비밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제어하는 방법입니다. MAC는 사용자의 의도와는 관계없이 의무적으로 접근을 제어하는 규칙 기반 접근 통제입니다. 이 규칙들은 주체가 객체로 접근하는데 적용되는 규칙을 의미하며, 보안 전문가에 의해 생성됩니다. 각 주체와 객체는 허용 등급을 나타내는 기밀수준과 범주의 집합으로 구성된 보안 등급을 할당받게 됩니다.
MAC의 장점은 매우 엄격하기 때문에 보안성이 좋고, 중앙 집중식 관리 형태라 모든 객체에 대한 관리가 용이하다는 점입니다. 하지만 모든 접근에 대해 레이블링을 정의하고 보안 정책을 확인해야 하므로 성능 저하가 발생할 수도 있습니다. 주로 군 시스템에 사용되며 상업적인 분야에는 적용하기가 어렵습니다.

DAC(임의적 접근 통제)
DAC란 접근을 요청하는 자의 신원 그리고 어떤 사람이 접근 승인이 되는지를 나타내는 접근 규칙에 기반을 두는 접근제어입니다. 한 개체가 자신의 의지로 다른 개체가 어떤 자원에 접근이 가능하도록 승인해주는 접근 권한을 가질 수 있습니다. 임의적으로 어떤 객체에 대하여 주체가 접근 권한을 추가하거나 철회할 수 있기 때문에 임의적 접근 통제라고 하는 것입니다. 주체가 속해있는 그룹의 신원에 근거하여 객체에 대한 접근을 제한하는 방법으로 객체의 소유자가 접근 여부를 결정합니다. DAC는 신원 기반 접근 통제, 사용자기반 접근 통제, 혼합 방식 접근 통제로 나뉘어집니다. MAC와 다르게 분산형 보안 관리의 형태입니다. DAC는 ACL을 통해서 구현하는 것이 가장 일반적입니다.
DAC는 통제의 기준이 주체의 신분에 근거를 두고 있으며 접근 통제 메커니즘이 데이터의 의미에 대해 아무 지식을 가지고 있지 않습니다. 신분이 중요한 정보이기 때문에 다른 사람의 신분을 이용해서 불법적으로 접근할 수 있다는 단점이 있습니다. 또한 중앙집중형 관리 방식인 MAC보다 관리가 용이하지 않습니다.

RBAC(역할기반 접근 통제)
RBAC란 사용자의 역할에 기반을 두고 접근을 통제하는 모델로서, 다중 프로그래밍 환경에서 적용하기 용이하도록 제안된 방식입니다. 이 모델은 MAC와 DAC의 단점을 보완한 대안으로 제안되었습니다. RBAC는 역할과 권한을 연관시켜서 사용자들이 적절한 역할을 할당받도록하여 권한의 관리를 용이하게끔 합니다. 사용자들은 직무에 의한 책임과 자질에 따라 역할을 할당 받습니다. RBAC에서는 사용자 대신에 역할에 접근 권한을 할당합니다. 이렇게 권한을 사용자에게 직접 할당하지 않고 역할에 할당할 경우, 역할과 권한의 관계는 사용자와 권한과의 관계에 비해 변경이 거의 이루어지지 않게 됩니다. 사용자의 직무가 변하면, 사용자와 역할간의 할당 관계만 재정의하면 되기 때문입니다. 따라서 RBAC는 편한 관리 방법을 제공하며 관리 업무의 효율성을 가져옵니다.