접근 통제 정책/모델

접근 통제 정책

1) MAC (Mandatory Access Control, 강제적 접근통제)

• 개념: 시스템/관리자가 정한 보안 등급(기밀/비밀/일반 등) 과 객체 레이블에 따라 접근을 강제 통제. 사용자가 임의로 권한을 부여할 수 없음.
• 핵심: 주체·객체 레이블 매칭, 정책 우선. (예: Bell–LaPadula: 기밀성 “위로 읽지 말고, 아래로 쓰지 말라”)
• 장점: 강한 기밀성, 내부자 오남용 억제.
• 단점: 유연성 낮음, 운영 복잡.
• 적용: 군/정부, 고기밀 환경, 일부 보안강화 Linux(SELinux, AppArmor의 정책 모델).

→ LIKE 군대 (이 문서는 중령부터 볼 수 있어, 소위부터 볼 수 있어 등)

2) DAC (Discretionary Access Control, 임의적 접근통제)

• 개념: 소유자(Owner) 가 자신의 자원에 대한 접근권을 임의로 부여/회수.
• 핵심: ACL/권한 비트(r/w/x) 중심, 주체의 재량.
• 장점: 유연/간편, 일반 OS·애플리케이션에 적합.
• 단점: 권한 전이로 통제 약화(권한 공유/복사), 세분화 한계.
• 적용: Unix/Linux 파일 권한·ACL, 윈도우 NTFS ACL.

3) RBAC (Role-Based Access Control, 역할기반 접근통제)

• 개념: 사용자 → 역할(Role) → 권한(Privilege) 로 간접 매핑. 사용자는 역할을 할당받고, 역할에 묶인 권한을 사용.
• 핵심: 직무/조직 단위로 권한 관리, 역할 계층/분리(SOD) 가능.
• 장점: 조직 규모가 커질수록 관리 효율/일관성↑, 최소권한 구현 용이.
• 단점: 역할 설계·유지보수 비용, 역할 폭증(Role Explosion) 주의.
• 적용: 기업 시스템, DB(오라클/포스트그레스 RBAC), 클라우드(IAM의 Role).

한줄 요약

• MAC: “정책이 최상위” — 등급/레이블로 강제 통제(보안 최우선).
• DAC: “소유자가 결정” — 사용자가 권한을 주고받음(유연하지만 취약).
• RBAC: “역할로 관리” — 직무 기반 권한 묶음(대규모 조직 효율).

---

접근 통제 모델

Bell–LaPadula (벨-라파둘라) — 기밀성 중심

• 목표: 비인가 열람 방지(Confidentiality).
• 규칙:
  • 단순 보안 성질 (No Read Up): 상위 등급은 읽지 못한다.
  • 성질 (No Write Down): 하위 등급에 쓰지 못한다(기밀 누출 방지).
• 비유: “윗등급 문서는 못 읽고(읽기 금지 위쪽), 아래 등급으로는 못 내려쓴다.”

Biba (비바) — 무결성 중심

• 목표: 데이터 변조/오염 방지(Integrity).
• 규칙(벨–라파둘라의 반대 방향):
  • 단순 무결성 성질 (No Read Down): 아래 등급은 읽지 않는다(오염 전이 방지).
  • 무결성 성질 (No Write Up): 위 등급에 쓰지 않는다(저신뢰 → 고신뢰 오염 방지).
• 비유: “신뢰 낮은 데이터를 읽지 말고(아래 읽지 않음), 높은 등급 데이터는 함부로 건드리지 마라(위에 쓰지 않음).”

모델	목표	읽기 규칙	쓰기 규칙
Bell–LaPadula	기밀성(Confidentiality)	No Read Up (위로는 읽지 말라)	No Write Down (아래로 쓰지 말라)
Biba	무결성(Integrity)	No Read Down (아래는 읽지 말라)	No Write Up (위로 쓰지 말라)

Chinese Wall (만리장성, Brewer–Nash) — 이해상충 방지

• 목표: 동일 분석가가 경쟁 관계 데이터를 교차 접근/유출하지 못하게 함.
• 규칙:
  • 한 번 A사 기밀에 접근하면, A사의 경쟁사 그룹(이해상충 클래스)에 속한 B사 기밀에는 접근 불가.
  • 공개/비기밀 데이터는 접근 가능.
  • 쓰기 규칙: 이해상충 클래스 간 교차 쓰기 금지(정보 혼합/유출 방지).
• 비유: “A사 일을 시작하면 보안 장벽이 생겨 B사 기밀은 못 본다.”