접근통제 모델

 

 

접근통제 모델

 

 

• 시스템 또는 네트워크에 대한 무단 접근을 제한하고 통제하기 위해 설계된 구조나 방법을 말한다.
• 이 모델은 인가된 사용자만이 시스템 또는 데이터에 접근할 수 있도록 보장하여 불법적인 접근을 막는 역할을 한다.

 

 

 

 

임의적 접근통제(DAC, Discretionary Access Control)

 

 

• 사용자나 그룹의 신원을 기준으로 객체에 대한 접근을 제한하는 방법
• 객체의 소유자는 다른 주체에 대해 객체에 대한 접근 권한 설정 가능 -> 객체의 소유자가 접근 여부를 결정
• 하나의 주체마다 객체에 대한 접근 권한을 부여
• 접근제어 행렬, 자격목록, 접근제어 목록이 있다.
• 리눅스, 윈도우, 유닉스 등 대부분의 OS에서 사용

 

 

■ 장점

 

• 객체별로 세분화된 접근제어가 가능 (융통성)
• 특정 주체가 다른 주체에 대해 임의적으로 접근제어가 가능하여 유연한 접근제어 서비스를 제공

 

 

■ 단점

 

• 시스템 전체 차원의 일관성 있는 접근제어가 부족
• 높은 접근 권한을 가진 사용자가 다른 사용자의 임의적 접근을 허용할 수 있다.
• 다른 사람의 신분을 도용하는 경우, 통제 방법이 없다.
• 멀웨어, 바이러스, 웜, 루트 킷, 트로이 목마 공격에 취약

 

 

 

 

---

 

 

강제적 접근통제(MAC, Mandatory Access Control)

 

 

• 보안 레벨, 규칙, 관리에 기반
• 주체가 객체에 접근할 때, 보안 레이블과 보안 허가증을 참고하여 접근 통제
• 관리자는 모든 주체, 객체에 보안 레벨을 부여하고 해당 보안 레벨에 따라 접근을 허용하거나 통제
• 보안 등급, 규칙 등은 관리자만이 수정 가능 (중앙 집중형 보안관리)
• 주로 기밀성이 강조되는 조직에서 사용
• 벨라파듈라 모델, Biba 모델, 클락-윌슨 모델, 만리장성 모델이 있다.

 

 

■ 장점

 

• DAC(임의적 접근 통제) 보다 확실한 규칙에 따라 통제하여 높은 보안성을 가진다.
• 접근 규칙 수가 적어 통제하기 쉬워 모든 객체에 대한 관리가 용이

 

 

■ 단점

 

• 매우 제한적인 사용자 기능과 많은 관리적 부담을 요구하며, 비용이 많이 소요
• 모든 접근에 대해 보안 정책을 확인해야 하기 때문에 시스템 성능 저하
• 상업적인 환경에 부적합

 

 

---

 

 

역할 기반 접근통제(RBAC, Role Based Access Control)

 

 

• 권한을 역할 그룹에 부여하고, 사용자에게 역할을 할당하여 중앙에서 집중적으로 관리
• MAC와 DAC의 단점 보완
• 이직률이 높은 기업에 유리
• 권한의 최소, 직무의 분리, 데이터 추상화 보안정책 제공
• 현재 가장 많이 사용되는 통제 방식

 

 

■ 장점

 

• 관리자에게 편리한 관리 능력 제공
• 관리자에 의해 전체 시스템 관점에서 일관성 있는 접근제어 용이
• 최소권한, 직무분리 원칙 충족 용이

 

 

 

 

---

 

 

항목	DAC	MAC	RBAC
정의	접근하고자 하는 주제의 신분에 따라 접근 권한 부여	주체와 객체의 등급을 비교해 접근 권한 부여	주체와 객체 사이에 역할을 부여해 역할에 따라 접근 권한을 부여
권한 부여	소유자	관리자	중앙 관리자
접근 결정	신분	보안 레이블	역할
정책 유형	유연	경직(강력 보안)	유연
장점	유연, 구현 용이	안정(중앙잡중)	관리 용이
단점	멀웨어 취약 신분 도용 대책 X	구현 및 운영의 어려움 성능 저하, 비용
사례	ACL(접근제어 리스트)	방화벽	HIPAA

 

 

 

 

---

 

 

DAC 보안 모델

 

 

접근제어 행렬(Access Control Matrix)

 

 

• 전체 주체와 객체에 대한 권한 관계를 2차원 배열로 관리하고 구현
• 각 행은 주체, 열은 객체
• 주체와 객체를 알고 있는 경우 파악 용이
• 주체와 객체의 수가 증가하면 메모리 공간 증가

 

	File 1	File 2
root	rwx	rwx
user	r--	r-x

 

 

 

 

---

 

 

접근제어 리스트(ACL, Access-Control Lists)

 

 

• 가장 많이 사용하는 구현 방법
• 자원에 대하여 각 사용자들의 권한을 저장(자원 중심)
• 접근 행렬에서 열의 내용을 반영
• IBP, GBP, 직무 기반/신분 기반 접근 통제 정책에 사용
• 적합한 경우는 구분될 필요가 있는 사용자가 소수인 경우, 사용자/사용자 그룹 변경이 잦은 경우, 사용자 분포가 안정적인 경우가 있다.

 

 

ACL

 

 

 

 

---

 

 

자격 목록(CL, Capability List)

 

 

• 각 주체에 대해 접근 가능한 객체를 리스트 형태로 관리(사용자 중심)
• 접근 행렬에서 행의 내용을 반영
• ACL과 같이 메모리 낭비가 적다.
• 한 사용자에 대해 접근할 수 있는 객체가 많아지면 탐색 시간 증가

 

 

CL

 

 

 

 

---

 

 

MAC 보안 모델

 

 

벨라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model)

 

 

• 최초의 수학적 모델로 강제적 접근 통제 모델 중 하나
• 기밀성 > 가용성, 무결성
• 보안 단계가 높은 정보를 훔치는 것은 불가능하여 트로이 목마 공격이 불가능
• 높은 단계에서 낮은 단계로 가는 기밀성 유지에 강함
• 낮은 단계에서 높은 단계로 쓰기 가능하여 무결성 유지가 어렵
• 높은 사용자와 낮은 사용자 간의 자원 공유 시 기밀성 유지 훼손

 

• 주체는 같거나 낮은 계층만 읽기 가능
• 주체는 같거나 높은 계층만 쓰기 가능
• 주체는 동일 레벨에서 읽기/쓰기 가능

 

구분	읽기	쓰기	읽기/쓰기
상급 보안 계층	X (비인가 접근)	O	X (비인가 접근)
할당된 보안 접근 레벨	O	O	O
하급 보안 계층	O	X (비인가 공개)	X (비인가 공개)

 

 

 

 

---

 

 

비바 무결성 모델(Biba Integrity Model)

 

 

• 벨라파듈라 모델을 보완하여 무결성을 위한 최초의 상업적 모델
• 무결성의 목표 중 비인가자에 의한 변조방지만을 취급

 

• 상위레벨 쓰기 금지 : 단순 무결성
• 하위레벨 읽기 금지 : 무결성 제한
• 호출 속성 : 높은 무결성 가진 주체에게 서비스를 요청할 수 없다. (낮은 무결성 가진 객체에게는 가능)

 

구분	읽기	쓰기	읽기/쓰기
상급 보안 계층	O	X (데이터 손상)	X (무결성 위협)
할당된 보안 접근 레벨	O	O	O
하급 보안 계층	X (데이터 손상)	O	O

 

 

 

 

---

 

 

클락-윌슨 무결성 모델(CWM, Clark-Wilson Integrity Model)

 

 

• 무결성 중심의 상업적 모델
• 사용자가 직접 객체에 접근 불가능, 프로그램을 통해서만 객체에 접근 가능
• 무결성 3가지 목표 모두 제공

 

< 무결성의 3가지 목표 > 

 

① 비인가자 수정 방지 (Biba)

② 내/외부 일관성 유지

③ 합법적인 사람에 의한 불법적인 수정 방지

 

 

 

 

---

 

 

만리장성 모델(CWM, Chinese Wall Model, Brewer_Nash Model)

 

 

• 사용자의 이전 동작에 따라 변화할 수 있는 접근 통제 제공
• 이해 충돌을 야기하는 주체와 객체 사이에 정보가 흐르지 않게 한다.
• 이해 충돌을 방지하기 위해 만리장성이라고 불리는 벽을 사용한다.

 

 

 

---

 

 

참고 자료

 

 

https://skogkatt.tistory.com/entry/%EC%A0%91%EA%B7%BC-%EC%A0%9C%EC%96%B4-%EC%A0%91%EA%B7%BC-%ED%86%B5%EC%A0%9CAccess-Control

접근 제어 / 접근 통제 모델(Access Control Model)

 

 

https://peemangit.tistory.com/191

[정보보안기사] 10. 접근통제 보안 모델 (출제율: 2.4%)

 

 

https://thegap.tistory.com/426

접근통제 메커니즘