정보 보안의 게이트키퍼, 접근통제(Access Control)
1. 접근통제의 정의 및 3요소
가. 정의
접근통제는 비인가된 사용자가 자원에 접근하는 것을 방지하고, 인가된 사용자가 자신의 권한 범위 내에서만 활동하도록 제한하여 정보의 기밀성, 무결성, 가용성을 보장하는 체계입니다.
나. 접근통제의 3요소 (I.A.A)
접근통제는 보통 다음의 프로세스를 거칩니다.
1. 식별 (Identification): 본인이 누구라고 주장하는 과정 (예: ID 입력).
2. 인증 (Authentication): 주장하는 신원이 맞는지 검증하는 과정 (예: Password, OTP, 지문).
3. 인가 (Authorization): 검증된 대상에게 특정 자원에 대한 권한을 부여하는 과정 (예: 읽기/쓰기 권한).
4. 책임추적성 (Accountability): 수행된 행위를 기록하여 사후에 추적 가능하게 하는 과정 (예: Audit Log).
2. 접근통제의 3개 영역 (P.T.A)
| 구분 | 설명 | 예시 |
|---|---|---|
| 물리적 통제 (Physical) | 물리적 자산에 대한 직접 접근 차단 | 보안 요원, CCTV, 생체 인식 출입 통제, 랙(Rack) 잠금 장치 |
| 기술적 통제 (Technical) | 논리적 시스템 및 네트워크 접근 제어 | 방화벽, IDS/IPS, ACL(Access Control List), 암호화 |
| 관리적 통제 (Administrative) | 정책, 절차, 교육을 통한 통제 | 보안 정책 수립, 업무 분장(SoD), 배경 조사, 보안 교육 |
3. 접근통제 모델 비교 (Access Control Models)
가. DAC (Discretionary Access Control, 임의적 접근통제)
- 개념: 자원 소유자가 자신의 판단에 따라 다른 사용자에게 접근 권한을 부여하는 방식.
- 특징: 유연성이 높으나 보안 취약(트로이 목마 등에 취약). ACL 기반.
나. MAC (Mandatory Access Control, 강제적 접근통제)
- 개념: 관리자가 설정한 보안 등급(Label)과 사용자 승인 권한(Clearance)을 비교하여 접근 제어.
- 특징: 보안성이 매우 높음(군기관 등). 벨-라파듈라(BLP), 비바(Biba) 모델 등.
다. RBAC (Role-Based Access Control, 역할 기반 접근통제)
- 개념: 사용자의 직무나 역할(Role)에 따라 권한을 부여하는 방식.
- 특징: 관력이 효율적(대규모 조직). 사용자와 권한 사이에 '역할'이라는 중계 계층 존재.
라. ABAC (Attribute-Based Access Control, 속성 기반 접근통제)
- 개념: 사용자, 자원, 환경(시간, 장소, IP)의 속성 조합을 기반으로 한 정책(Policy)으로 제어.
- 특징: 가장 정교한 제어 가능. 클라우드 및 제로 트러스트 환경에서 필수적.
4. 접근통제의 주요 원칙
- 최소 권한의 원칙 (Principle of Least Privilege): 직무 수행에 필요한 최소한의 권한만 부여.
- 업무 분장 (Separation of Duties, SoD): 한 사람이 전체 프로세스를 독점하지 못하게 권한 분리.
- 알 필요성의 원칙 (Need-to-Know): 직무와 관련 없는 정보에는 접근 불가.
5. 최신 동향 및 기술사적 제언
가. 제로 트러스트(Zero Trust)와 IAM
- "절대 신뢰하지 마라(Never Trust)". 네트워크 내부에 있다고 해서 신뢰하는 것이 아니라, 매번 접근 시마다 기기 상태와 신원을 연속 인증함.
- IAM (Identity & Access Management): 클라우드 기반의 통합 계정 및 권한 관리 체계로의 진화.
나. MFA (Multi-Factor Authentication)
- 단순 패스워드의 한계를 극복하기 위해 지식(ID/PW), 소유(Token/Phone), 특징(Biometric) 중 2가지 이상의 요소를 결합.
다. CIEM (Cloud Infrastructure Entitlement Management)
- 클라우드 상의 수많은 권한(User, Role, Machine Policy)을 가시화하고, 사용되지 않는 과도한 권한을 제거하여 공격 표면(Attack Surface)을 축소.
6. 결론
접근통제는 더 이상 고정된 성벽(Perimeter)이 아니라, 사용자의 문맥(Context)에 따라 실시간으로 변하는 유연한 방어막이 되어야 합니다. 기술사는 단순히 모델의 정의를 아는 것을 넘어, 업무 생산성을 저해하지 않으면서도 보안 사고를 원천 차단할 수 있는 '상황 인지형 접근통제(Context-aware Access Control)' 설계를 지향해야 합니다.
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent