** 접근통제 모델은 프레임워크로 주체가 어떻게 객체에 접근하는지를 설명한다. 이것은 접근통제 기술과 보안 메커니즘을 사용하여 모델의 규칙과 객체 사용에 대해 엄격한 정의를 내린다
■ 접근통제 정책
① MAC (Mandatory Access Control, 강제적 접근 제어)
- 종이 형태로 보관되던 정보가 컴퓨터로 옮겨짐에 따라, 종이문서의 보안 등급이 컴퓨터에 저장된 정보에도 적용하기 위해 만들어졌다
- MAC 보안 정책은 컴퓨터에서의 정보와 사용자 간의 보안정책을 명시하고 있다
- 이 보안 정책은 최초 1980년대 후반 미국의 국방성에서 시작되었다
☆ 특징
- 각 주체가 각 객체에 접근할 때마다 관리자에 의해 사전에 규정된 규칙과 비교하여 그 규칙을 만족하는 주체에게만 접근권한을 부여하는 기법으로 자원마다 보안등급을 부여하였다
(ex, 파일의 보안등급이 2등급일 때 본인의 보안레벨이 1, 2등급이면 열리고, 3등급이면 '보안등급부족'으로 열리지 않는다. 즉 정보에 대하여 비밀 등급이 정해지며 보안 레이블을 사용한다)
** 보안 레이블 (Security Label, Sensitivity Label) : 정보 시스템 내의 어떤 객체에 대해 필요한 보안 수준을 나타내는 정보ㆍ강제적 접근통제 규칙을 적용하기 위한 기반이 된다
- 비밀성을 포함하고 있는 객체에 대해 주체가 가지고 있는 권한에 근거하여 객체에 접근을 제한하는 정책으로 주체가 객체에 접근할 때마다 접근자격을 체크하여 강제적으로 통제하는 방법으로, 높은 등급을 가진 사용자라도 다른 그룹의 낮은 정보에는 접근이 불가능하다
- 방화벽(규칙에 따라 접근제어)에서 응용되고 있다
- 모든 강제적 접근제어 모델은 벨라파듈라 모델(BLP)을 근간으로 하고 있다. 왜냐하면 강제적 접근제어 모델은 다중보안 레벨을 코드로 통합하여 사용하고 있기 때문. 주체와 객체에 레이블이 할당되어 있다
- 강제적 접근통제(MAC) 방식은 하나의 주체, 객체 단위로 접근권한을 설정하기 어려운 단점이 있다
② DAC (Discretionary Access Control : 임의적 접근통제)
- 정보의 소유자가 접근제어 설정, 대부분 OS에서 채택, 사용자별로 접근권리를 이전할 수 있다
- 전통적인 UNIX 운영체계의 기본 접근제어 방식에 적용되었다 (ex, chmod 777 파일명)
- 데이터 소유자(Owner)가 다른 사용자의 식별자(ID)에 기초하여 자신의 의지대로 데이터에 대한 접근권한을 부여한다
- 사용자 계정에 기반하며, 객체의 소유자가 해당 객체의 접근통제 방법을 변경할 수 있다. 즉 데이터의 소유자가 자원에 대한 접근권한을 설정한다(한 개체(entity)가 자신의 의지로 다른 개체의 자원에 접근할 수 있는 권한을 승인받을 수 있다)
- 그들이 소속되어 있는 그룹의 ID에 근거하여 객체에 대한 접근을 제한한다. 즉 객체의 소유자에 의하여 임의적으로 접근통제가 이루어진다. 그러므로 어떠한 접근 허가를 가지고 있는 한 주체는 임의의 다른 주체에게 자신의 접근권한을 넘겨줄 수 있다
- DAC는 ACL(Access Control List, 객체 기반 접근제어)을 사용하여 구현하는 경우가 일반적이다
☆ DAC의 문제점
- 통제의 기준이 주체의 신분에 근거를 두고 있으며, 접근통제 메커니즘이 데이터의 의미에 대해 아무런 지식을 가지고 있지 않다
- 신분이 접근통제 과정에서 매우 중요한 정보이므로 ID도용과 같이 다른 사람의 신분을 사용하여 불법적인 접근이 이루어지면 중대한 결함이 발생할 수 있다
- 트로이 목마 공격에 취약하다
- 객체에 대한 접근권한이 중앙집중형 관리 방식이 아닌 객체소유자의 임의적 판단에 이루어지므로 시스템의 전체적인 보안관리가 강제적 접근통제 정책보다 용이하지 않다
★ 임의적 접근통제 기법과 기술
ⓐ 접근통제행렬 = 접근제어행렬 (ACM : Access Control Matrix)
- 접근제어행렬을 이용하여 주체와 객체의 접근권한 관계를 기술하는 방법
- 주체를 행(Row), 객체를 열(Column)로 구성하고 주체가 객체에 수행할 수 있는 접근권한을 주체의 행과 객체의 열이 만나는 셀에 기록하여 접근제어 정책을 관리한다
- 접근 주체와 접근 객체에 대한 접근권한을 제어하는 방법의 하나로 사용자나 프로세스 등 접근 주체와 시스템 자원, 통신 자원 등 접근 객체를 접근 제어 행렬의 테이블 형태로 유지하는 방식으로, 주체별 객체별 접근권한을 나타낸다. 즉 각 주체와 객체 쌍에 대하여 접근통제 방법을 결정한다
* 접근제어행렬 (ACM)
| 객체 | |||||
| os | program 1 | program 2 | data | ||
| 주 체 |
길동 | rw (권한) | rwx (권한) | rwx (권한) | rwx (권한) |
| 철수 | rw (권한) | rwx (권한) | rwx (권한) | ||
| 지은 | rw (권한) | rwx (권한) | |||
| 예지 | rw (권한) | rwx (권한) | rw (권한) | ||
- ACM의 구성 요소는 주체, 객체, 권한이다
- 규모가 커질수록 주체와 객체의 수가 많아지고 행렬이 상당히 커져 관리가 어려워진다. 또한 비어있는 셀의 크긱 ㅏ많아져 공간적으로 비효율적인 문제가 발생된다
- 그래서 나온 개념이 주체나 객체 중 하나를 중심으로 관리하는 것이며, 종류는 ACL과 CM이다
- ACL(접근제어목록)은 접근제어행렬(ACM)에서 객체중심으로 관리하는 것이고, CL(자격 목록)은 접근제어행렬(ACM)에서 주체중심으로 관리하는 것이다
ⓑ 접근제어목록 (ACL : Access Control List, 객체 기반 접근 제어)
- ACM의 단점(규모가 커지면 관리가 어렵다)을 보완하기 위해 나온 개념
- 접근제어 목록은 객체의 관점에서 객체에 어떤 주체가 어떤 접근권한을 갖는지를 명시한 것
- 기준은 객체중심이다
ex, UNIX : -rwx/rwx/rwx (user/group/other)
- file1 user_1 execute
- file2 user_1 execute, user_2 execute
- file3 user_1 execute, user_2 read write execute, user_3 execute
* 특정 파일 객체에 대한 주체가 접근할 수 있는 권한 목록
ⓒ 자격목록 (CL : Capability List, 주체 기반 접근제어, 권한 리스트)
- 자격목록은 한 주체가 갖는 자격들의 리스트
- 자격목록은 주체중심
- 임의의 사용자가 한 객체에서 수행할 수 있도록 허용된 작업의 리스트를 의미
③ RBAC (Role Based Access Control : 역할 기반 접근통제)
- 조직의 사용자가 수행해야 하는 직무와 직무 권한 등급을 기준으로 객체에 대한 접근을 제어한다
- 접근 권한은 직무에 허용된 연산을 기준으로 허용하므로써 조직의 기능 변화에 따른 관리적 업무의 효율성을 높일 수 있다
- 사용자가 적절한 직무에 할당되고, 직무에 적합한 접근권한이 할당된 경우에만 접근할 수 있다
- RBAC는 사용자에게 주어진 역할에 따라 어떤 접근이 허용되는지를 말해주는 규칙에 기반을 둔다
- 회사(영업부, 기획부)처럼 직무순환이 빈번히 발생되는 환경에 적합한 접근통제 모델
- 조직의 역할에 따라 접근권한을 부여하는 방식으로 주체를 역할에 따라 분류하며 접근권한을 할당한다
- 권한을 직접 사용자에게 부여하는 대신 역할에 권한을 부여하고, 사용자들에게 적절한 역할을 할당하는 접근제어 모델이다
- 이 접근통제 방식에서는 사용자 등 주체의 역할을 기반으로 객체에 대한 주체의 접근권한을 결정한다. 이 방식은 원칙적으로 보안정책에 중립적이다
④ CBAC (문맥의존성 접근통제)
- 주체의 내용에 따라 주체의 접근을 제어한다 (ex, DB의 내용에 인사평가의 내용이 있으면 팀장만 볼 수 있게 한다)
■ 보안 모델 종류
1) BLP (Bell-LaPadula)
- 불법적인 비밀 유출 방지에 중점을 둔 최초의 수학적 접근통제 모델
- 기밀성만 강조한 최초의 수학적 검증모델로 국방부(DoD)의 지원을 받아 정립된 보안모델
- 군대의 보안등급처럼 그 정보의 기밀성에 따라 상하 관계가 구분된 정보를 보호하기 위한 접근제어 모델
- 높은 보안 등급으로부터 낮은 보안 등급으로 정보가 유출되는 것을 방지하는 것으로, 정보의 불법적인 파괴나 변조보다는 불법적인 비밀 유출 방지에 중점을 둔 최초의 수학적 모델로 알려진 접근통제 모델
- BLP 모델은 기밀성을 위한 다중 수준 보안 시스템으로 다음 사항을 준수해야 한다
| 권한 | 설명 |
| 읽기권한 | ㆍ주체는 자신과 같거나 자신보다 낮은 보안수준의 객체만 읽을 수 있다 (No Read Up) ㆍ단순보안규칙(Simple Security Rule)이라 부른다 - 보안 수준이 낮은 주체는 보안 수준이 높은 객체를 읽을 수 없다 - 주체는 객체와 동일한 등급이거나 객체보다 높은 등급일 때만 읽을 수 있다 |
| 쓰기권한 | ㆍ주체는 자신과 같거나 자신보다 높은 보안 수준의 객체에만 쓸 수 있고 (No Write Down), 스타속성규칙(Star(*) Security Rule)이라 부른다 - 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록할 수 없다 - 주체의 등급이 객체와 동일하거나 그 객체보다 낮아야 기록할 수 있다 |
| BLP 규칙 | ㆍ단순보안규칙(Simple Security Rule) : No Read Up ㆍ스타속성규칙(Star(*) Security Rule) : No Write Down |
* BLP 모델의 제한사항
- BLP는 기밀성을 유지한다는 장점이 있으나 단점으로는 무결성이 깨질 수 있고 가용성을 고려하지 않았다
- 낮은 등급의 주체가 상위 등급의 객체를 보지 않은 상태에서 수정하여 덮어쓰기가 가능하므로 문서가 비인가로부터 변경될 가능성이 있다 (Blind Write 가능, 무결성 파괴)
2) Biba (비바)
- 무결성을 위한 상업용 모델로 BLP를 보완한 최초의 수학적 무결성 모델 (즉 무결성 최초모델)
- 사용자 자신과 같거나 자신보다 낮은 무결성 수준의 데이터에만 쓸 수 있고, 자신과 같거나 자신보다 높은 무결성 수준의 데이터만 읽을 수 있도록 한 것
3) Chiness Wall (중국인벽, 만리장성모델) 또는 Brewer-Nash
- 상업적 관점에서의 기밀성에 중점을 두었다
- 최근 일을 한 적 있는 파트너는 동일 영역에 있는 다른 회사 자료에 접근해서는 안 된다 (금융, 광고, 로펌 등)
4) Clark-Wilson (클라크-윌슨) : 무결성의 결정판
- 클라크-윌슨 모델은 한 사람이 모든 권한을 갖는 것을 방지하는 것으로서 정보의 입력ㆍ처리ㆍ확인 등을 여러 사람이 나누어 각 부분별로 관리하도록 하여 자료의 무결성을 보장하는 접근제어 모델이다
- 비밀 노출 방지보다 '자료의 변조 방지' 가 더 중요하다 (ex, 금융, 회계관련 데이터, 기업 재무재표 등)
- 무결성의 목표 : 비인가자 수정 불가, 내외부 일관성
- 무결성을 유지하기 위한 규칙 : Duties are separated (직무분리), 여러 사람이 나누어 각 부문별로 관리토록 한다
5) Lipner
- 기밀성과 무결성을 결합해서 만든다