본문 바로가기
IT/정보보안

정보보안 접근통제 구성요소, 접근통제 기본원칙

by 미니송 2017. 10. 22.

정보보안 접근통제 구성요소, 접근통제 기본원칙


이번 포스팅은 정보보안 접근통제에 대한 이야기를 하겠습니다. 접근 통제는 말 그대로 접근을 통제하는데 의의가 있습니다. 정보보안기사와 같은 시험에서도 다루고 있으며 보안전문가를 하고 싶다면 어느 정도 이해가 바탕이 되어야 합니다.


실무자라면 이해가 빠를 수 있으며 글로서만 읽게 된다면 이해가 되지 않을 수 있습니다. 하지만 개념을 알아두어야 실무에 가서 접하더라도 더 빠르게 이해할 수 있습니다. 실무에 가면 알아서 알게 될 개념이지만 정리를 하고 넘어가도록 하겠습니다.


2017/07/19 - [IT] - 정보보안의 3요소에 대해서


 

접근통제의 구성 용어

 

주체(Subject)

객체나 객체 내의 데이터에 대한 접근을 요청하는 능동적인 개체를 말합니다. 주체는 행위자라고 불립니다. 쉽게 설명한다면 사용자라고 생각하시면 될 것 같습니다.

 

객체(Object)

접근대상이 수동적인 개체 혹은 행위가 일어날 아이템을 말합니다. 객체는 제공자라고 불립니다. 쉽게 생각한다면 정보라고 생각하면 될 것 같습니다.

 

접근(Access)

읽고, 만들고, 삭제하거나 수정하는 등의 행위를 하는 주체의 활동을 말합니다. 쉽게 생각하면 행위라고 보시면 됩니다. 어떠한 행위를 하는지에 대해 말하는 것은 접근이라고 생각하면 될 것 같습니다.

 


접근통제 3단계

 

식별(Identification)

식별이란 본인이 누구인지를 시스템에게 알려주는 것입니다. 인증 서비스에 스스로를 확인시키기 위해 정보를 공급하는 주체의 활동입니다. 식별자는 각 개인의 신원을 나타내기 때문에 사용자의 책임주적성 분석에 중요한 자료가 됩니다. 접근 매체로는 사용자명, 계정번호, 메모리카드 등이 있으며 사용하는 곳마다 다릅니다.

 

인증(authentication)

주체의 신원을 검증하기 위해 사용증명 활동을 하는 것을 말합니다. 본인임을 주장하는 사용자가 본이 맞다는 것을 시스템이 인정해 주는 것을 이야기합니다. 따라서 식별하기 위해서 인증이 필요하다고 할 수 있습니다. 접근 매체로는 패스워드, PIN, 토큰, 스마트카드, 생체인증 등이 있습니다.

 

인가(authorization)

인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정입니다. 이 때부터 시스템을 사용할 수 있으며 어느 레벨까지 사용하는지 통제가 됩니다. 알 필요성(Need-to-know)라는 주체에 있어서 어떤 정보가 유용해야 할지의 여부와 관계가 있는 형식상의 접근수준이라는 개념이 있다는 것을 알아두면 됩니다. 접근 매체로는 접근제어목록(ACL), 보안 등급 등이 있습니다.

 


접근통제의 기본 원칙

 

직무 분리(Separation of Duty)

업무의 발생부터 승인, 수정, 확인, 완료 등이 처음부터 끝까지 한 사람에 의해 처리될 수 없도록 하는 보안 정책입니다. 단계별로 직무를 분리해 두어야 합니다. 그래야 보안성을 더 높게 유지할 수 있습니다. 예를 들면, 보안/감사, 개발/운영, 암호키 관리/ 암호키 변경 등 이렇게 보안과 감사, 개발, 운영과 암호키 관리 그리고 암호키 변경 등 직무를 나눠놓는 것입니다.

 

최소 권한(Least Privilege Policy)

최소 권한이란 허가 받은 일을 수행하기 위한 최소한의 권한만을 부여하여, 권한남용으로 인한 피해를 최소화하기 위해 사용합니다. 알 필요성과 같은 의미이며, 최대권한과는 반대의 의미를 가지게 됩니다. 예를 들면 정보등급 분류, 접근통제 리스트를 사용하여 최소 권한을 부여하는 것 입니다.

 

댓글