[보안] 접근통제 종류: 강제적 접근통제(MAC), 임의적 접근통제(DAC), 역할기반 접근통제(RBAC)

 접근통제 모델에는 '강제적 접근통제', '임의적 접근통제', '역할기반 접근통제'가 있습니다. 각 방식의 개념, 장단점에 대해서 알아보겠습니다.

 

[ Contents ]

 

 

1. 강제적 접근통제 (MAC, Mandatory Access Control)

주체와 객체별 등급이 있으며, 등급에 따라 접근 권한을 부여하는 접근통제

 

 여기서 '객체'는 접근하려는 시스템, 데이터 등을 나타내며 '주체'는 이를 접근하려는 사람이나 시스템을 의미합니다.

 각 주체와 객체별로 보안 등급이 매겨져 있으며, 주체가 객체보다 등급이 낮으면 접근할 수 없습니다. 오로지 등급에 따라 접근 가능 여부가 결정됩니다.

 

 흔히 영화에 나오는 군 기밀기지나 연구소의 '보안 카드'와 비슷합니다. 각 방의 출입권한과 보안 카드에는 '보안 등급'이 있고, 상위 출입권한을 가진 방은 열지 못하는 경우가 더러 나오죠.

  강제적 접근통제는 중앙집중적이고 안정적인 관리를 할 수 있지만, 운영상에는 어려움이 많습니다. 특정 주체만 특정 기간동안 특정 객체에 접근할 수 있도록 허용할 수 없기 때문입니다. 그렇다고 보안등급을 올리면 다른 객체들도 접근이 가능하므로 통제가 되지 않겠죠.

 또한 접근마다 보안등급을 정의하고 검증해야하기 때문에 구현, 개발도 어려울 뿐더러 많은 관리적 부담을 요구합니다. 비용도 많이 들며 성능도 낮고 사용자 친화적이지도 않죠. 따라서 상당히 보수적이고 경직적인 방식을 가진 군사시설, 보안시설 등에서 주로 사용됩니다.

 

 

 

2. 임의적 접근통제 (DAC, Discretionary Access Control)

주체가 속해있는 신분(그룹)에 따라 접근권한을 부여하는 접근통제

 

   주체 또는 주체가 속해있는 그룹(신분)에 따라 객체의 접근 여부가 결정됩니다.

 

2023.05.16 - [CS] - [보안] 파일 접근권한과 chmod, umask 명령어 사용법 (문자, 숫자 표기법)

[보안] 파일 접근권한과 chmod, umask 명령어 사용법 (문자, 숫자 표기법)

 예를 들어, 유닉스의 파일이나 디렉토리의 접근권한은 '외부 사용자', '그룹', '소유자'로 나누어져 있으며 신분에 따라 접근 여부가 결정됩니다. 

 또한 '임의적' 접근통제 기법은 접근권한을 가진 주체가 '임의로' 다른 주체에게 접근권한을 부여할 수도 있습니다. 가장 큰 특징으로, DB에서 grant 명령어로 접근권한을 주는 것과 비슷합니다. 활용사례에는 운영체제, 서버, DB 같은 시스템이 있으며, 매우 유연한 접근 통제가 가능합니다.

 다만 주체-객체별로 접근권한이 다르다보니 '접근제어 행렬', '자격 목록', '접근제어 목록'과 같은 형태로 접근권한 관계를 관리합니다.

 

 

 

3. 역할기반 접근통제 (RBAC, Role Based Access Control)

주체의 역할이나 업무에 따라 접근권한을 부여하는 접근통제

 

 인사이동이 빈번한 공공기관이나 기업에서 많이 사용하는 접근통제 기법입니다.

 접근권한을 '업무'(역할)에 연관시켜 권한 묶음을 만들어두고, 해당 업무를 맡는 사람에게 권한을 부여합니다. 굉장히 직관적이고 관리도 용이하죠. 예를 들어 '인사담당자'라면 인사 관련 업무 메뉴와 데이터만 접근할 수 있는 역할 권한을 부여하면 됩니다.

 업무 외에도 역할이나 신분에 따라서도 분류하기도 합니다. 예를 들어 대학교에서 학생은 학적 상태에 따라 '재학', '휴학', '제적', '졸업' 등으로 나뉘며 학사정보 시스템에 접근할 수 있는 메뉴가 달라집니다.

 임의적 접근통제 방식의 체계적이지 않은 단점과 강제적 접근통제 방식의 경직된 권한체계 단점을 보완한 방식으로, 역할(업무) 중심으로 권한을 관리하다보니 사용자 친화적이며 일관성 있는 권한 관리가 가능합니다.