■ 접근통제 (접근제어, Access Control)
- 접근제어는 적절한 권한을 가진 인가자만 특정 시스템이나 정보에 접근할 수 있도록 통제하는 것
- 시스템의 보안 수준을 갖추기 위한 가장 기본적 수단
- 어떤 회사나 조직의 민감한 정보가 권한 없는 사용자에 의해 외부로 누출, 변조, 파괴될 위험성을 차단하기 위한 보안기술
- 사용자, 프로그램, 프로세스, 시스템 등의 정보시스템 자원에 허가된 주체만이 접근할 수 있도록 제한하는 것
** 접근통제란 주체와 객체 사이의 정보 흐름을 Control 하는 것
- 주체 : 자원의 접근을 요구하는 활동 개체(사람, 프로그램, 프로세스 등) - 능동적 역할
- 객체 : 자우너을 가진 수동적인 개체(Database, 컴퓨터, 파일 등) - 수동적 역할
- 접근 : Create, Read, Update, Delete 등의 행위를 하는 주체의 활동
■ 접근통제 정의
- 주체의 객체에 대한 접근을 통제하는 것으로 허가된 사용자가 허가된 방식으로 자원에 접근하도록 하는 것
- 통제 활동 : 비인가된 접근 감시, 접근을 요구하는 이용자를 식별, 정당한 이용자인지를 확인
- 통제 목적 : 주체의 접근으로부터 객체의 기밀성, 무결성, 가용성을 보장
■ 접근통제 절차
- 접근통제 절차는 식별, 인증, 인가로 구성되어 있으며, 많은 기업 및 조직 내의 시스템들은 이러한 식별, 인증, 인가 3단계를 기본으로 하여 시스템을 구성하여 운영하고 있음
① 식별 : 사람이나 객체의 유일성을 확인하는 절차 또는 사용자 식별 부호(ID), 식별, 신원 증명, 신원 확인 등의 뜻으로, 패스워드와 함께 다수의 사용자가 이용하는 컴퓨터 시스템이나 통신망에서 정당한 사용자임을 인증 받는 절차의 필수 요소
② 인증 : 다중 사용자 컴퓨터 시스템 또는 망운용 시스템에서 시스템이 단말 작동 개시(log-on) 정볼ㄹ 확인하는 보안 절차
** 인증의 종류 : 인증은 사용자 인증(개체인증, 신원인증)과 메시지 인증(데이터 출처 인증)으로 나눌 수 있다
| 인증의 종류 | 설명 | 응용 |
| 사용자 인증 (개체인증, 신원인증) |
망을 경유해서 컴퓨터에 접속해오는 사용자가 등록된(허가받은) 사용자인지를 확인하는 것 | 사용자의 성명과 패스워드를 허가받은 사용자 목록과 대조하여 일치하면 사용자가 컴퓨터 시스템에 접속하는 것을 허용하되 그 사용자의 접속 카테고리나 사용자 계정상의 지정돈 범위까지만 접속을 허용한다 |
| 메시지 인증 (데이터 출처 인증) |
전송된 메시지(통신문)가 변조되지 않은 송신자가 보낸 그대로의 것인지를 확인하는 것 | 메시지 인증 부호, 암호, 디지털 서명 부호 등이 사용된다 |
③ 인가 : 권한 부여라고도 하며, 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정
주체의 인증이 완료된 후에 그 주체가 정확히 무엇을 할 수 있도록 허용할 것인지를 결정하는 것
★ 접근통제 3단계
| 단계 | 설명 | 접근 매체 |
| 식별 (Identification) |
본인이 누구라는 것을 시스템에 밝히는 것으로, 인증 서비스에 스스로를 확인시키기 위하여 정보를 공급하는 주체의 행동을 의미 | 사용자명, 사용자ID, 메모리카드 |
| 인증 (Authentication) |
주체의 신원을 검증하기 위한 사용 증명 (Verify, Prove)활동, 본인임을 주장하는 사용자가 그 본인이 맞는다고 시스템이 인증해 주는 것 | 패스워드, PIN, 토큰, 스마트카드, 생체인증(지문, 홍채 등) |
| 인가 (Authorization) |
시스템 접근을 허락받은 후에 그 시스템의 어떤 기능 또는 서비스를 이용할 수 있도록 필요한 권한을 부여하는 것, 그래서 인가를 권한 부여라고도 한다 | 접근제어목록(ACL), 보안등급 |
■ 접근통제 기본 원칙
1) 최소권한정책 (Least Privilege Policy) = 알 필요성의 원칙 (Need to know)
- 알 필요의 원칙(Need-to-know)과 같은 의미이며, 최대권한 (Maximum Privilege Policy)과는 반대의 의미를 가진다'
- 시스템 주체들은 그들의 활동을 위하여 최소한의 정보를 사용한다
- 객체 접근에 대하여 강력한 통제를 부여하는 효과를 부여할 수 있다
- 때로는 정당한 주체에게 추가적 제한을 부과할 수 있다
- 모든 사용자는 현재 작업을 완료하는 데 필요한 최소한의 권한만 가진 사용자 계정으로 로그인해야 하며, 그 이상의 권한을 부여하지 않는다
2) 직무분리 (Separation of Duty)
- 업무의 발생, 승인, 변경, 확인, 배포 등이 한 사람에 의해 처리되지 않도록 직무를 분리(공모방지)한다
ex) 보안관리자와 감시자, 개발자와 운영자
세금 고지 업무와 세금 수납 업무를 같은 사람에게 맡기지 않는다