MAC(강제 접근 제어, Mandatory Access Control)
시스템이 미리 정의한 규칙과 정책에 따라 리소스 접근을 통제하는 접근 제어 모델이다. 즉, 리소스에 대한 접근 권한을 사용자나 소유자가 아닌 시스템 자체가 관리하도록 책임을 부여하는 보안 모델이다.
- 보안 정책 기반 접근 통제
- 사용자가 권한을 임의로 바꿀 수 없음
- 주로 군사, 정부, 금융 기관 등 보안이 최우선인 환경에서 사용
작동 방식
-
데이터/리소스에 보안 레이블(Confidentiality level) 부여
- (ex) Top Secret, Secret, Confidential, Public ...
-
사용자 권한(Clearance level) 지정
- 사용자가 어떤 리소스에 접근 가능한지 이 레벨에 따라 결정된다.
-
사용자가 리소스 접근을 요청하면, 시스템은 사용자의 권한 레벨과 리소스의 보안 레벨을 비교해 적절한 권한이 확인되면 접근을 허용하고, 그렇지 않으면 거부한다.
DAC(임의 접근 제어, Discretionary Access Control)
리소스의 소유자가 직접 접근 권한을 부여/관리하는 보안 모델이다. MAC과 달리 시스템이 아닌 리소스 소유자가 누가 리소스에 접근할 수 있는지를 결정한다.
작동 방식
-
권한 부여
- 권한 유형
- Read
- Write
- Execute
- 권한 유형
-
접근 제어 목록(ACL, Access Control List) 생성
- 사용자별로 어떤 권한이 부여되었는지에 대한 내용
장점
-
유연성(Flexibility)
리소스 소유자가 권한을 실시간으로 조정할 수 있다. -
사용자 자율성(User Autonomy)
MAC vs. DAC
| MAC | DAC | |
|---|---|---|
| 권한 결정 | 운영체제/보안정책 | 소유자(Owner) |
| 사용자 권한 변경 | 불가 | 가능 |
| 유연성 | 낮음 | 높음 |
| 주 사용 환경 | 군사, 정부, 금융 | 일반 OS, 기업/협업 |
출처
https://www.zuar.com/blog/discretionary-access-control-vs-mandatory-access-control/
