본문 바로가기
정보보안/시스템보안

접근통제 개요 1/2

by 피갓자 2025. 1. 13.

접근통제 개요
접근통제 개요

개요

접근통제(Access Control)는 자원에 대한 비인가된 접근을 감시하고 접근을 요구하는 이용자를 식별하며 사용자의 접근 요구가 정당한 것인지 확인 및 기록하고 보안 정책(Security Policy)에 근거하여 접근을 승인하거나 거부함으로써 비인가자에 의한 불법적인 자원 접근 및 파괴를 예방하는 하드웨어, 소프트웨어 및 행정적인 관리(Administration)를 총칭

접근통제를 적용하기 위해서는 신분 확인 과정을 통해 객체(Object)에 접근하려는 주체(Subject)의 신분이 먼저 확인되어야 함. 신분 확인에서는 식별(Identification) 및 인증(Authentication)을 통해 사용자가 정당한 사용자인지를 확인하여 정당한 사용자가 아니면 접근을 거부하는 방식으로 통제

접근통제 객체에 대해 사용을 요청한 사용자가 요청한 형태의 접근을 허가받았는지를 확인하여 접근을 통제하는 것으로 구분할 수 있음

원칙

접근이란 주체와 객체 간의 정보의 흐름으로 주체는 능동적인 성질을 갖고 있고 객체는 수동적인 성질을 가짐. 주체라고 하면 보통 정보를 요청하는 사용자라고만 생각할 수 있으나 실제로 시스템 자원에 접근을 요청하는 주체에는 다양한 형태가 존재할 수 있으며 객체 또한 여러 가지 형태가 있음

기본 원칙

최소 권한의 정책(Least Privilege Policy) : 사용자가 작업 수행을 위해 필요한 권한만을 가지도록 접근 권한을 부여하는 것

직무 분리의 원칙(Separation of Duty) : 보안, 감사, 개발, 생산, 암호키 관리, 변경 등

알 필요성의 원칙(Need to Know) : 해당 업무에 대해서만 접근 권한을 부여하는 원칙

접근통제 유형

임의적 접근통제(DAC, Discretionary Access Control)

객체의 소유자가 접근을 요청하는 사용자의 신분 즉 식별자(ID)에 기초하여 객체에 대한 접근을 제한하는 접근통제 방식

 

강제적 접근통제(MAC, Mandatory Access Control)

어떤 주체가 어떤 객체에 접근하려 할 때 양자의 보안 레이블(보안 등급)을 비교하여 높은 보안 수준을 요구하는 정보가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 접근통제 방식

 

역할 기반 접근제어(RBAC, Role Based Access Control)

관리자가 사용자에게 적절한 역할을 할당하고 그 역할에 대한 적절한 접근 권한을 부여하여 정보에 접근할 수 있도록 하여 주체의 역할이나 임무에 따라 객체의 접근 권한을 제어하는 접근통제 방식

역할에 따라 설정된 권한만 할당하므로 보안 관리를 아주 단순하고 편리하게 할 수 있음

접근통제 도구

패킷필터 : ipfwadm, ipchain, iptable, tcp wrapper 등

프록시 서비스 : TIS FWTK

파일과 디렉터리에 접근 권한 변경 : chmod

파일과 디렉터리에 소유자 및 소유그룹 변경 : chown

사용자 계정 생성 및 활용

  1. 사용자 계정별로 실행할 수 있는 프로그램 및 접근할 수 있는 폴더 및 파일을 구분할 수 있음
  2. 관리자 또는 root 계정이 아닌 사용자 계정으로 로그인하여 사용하면 프로그램 설치가 안 되거나 설정 파일 변경이 제한되기 때문에 악성코드 설치를 제한 할 수 있음
  3. Users는 시스템 크기의 레지스트리 설정, 운영체제 파일 또는 프로그램 파일을 수정할 수 없음
  4. Users는 워크스테이션을 종료할 수는 있지만 서버는 종료할 수 없음
  5. Users가 로컬 그룹을 만들 수는 있지만 자신이 만든 로컬 그룹만 관리할 수 있음
  6. 관리자가 설치하거나 배포한 인증된 Windows 프로그램을 실행할 수 있음
  7. Users 그룹의 구성원은 자신의 모든 데이터 파일(%userprofile%) 및 레지스트리에서 자신의 부분(HKEY_CURRENT_USER)을 완전하게 제어할 수 있음
  8. Users 그룹의 구성원은 다른 Users 그룹에서 실행할 수 있는 프로그램은 설치할 수 없음 → 트로이목마 프로그램 방지 및 시스템 관리자가 다른 Users 그룹의 개인 데이터나 데스크톱 설정에 엑세스할 수 없음

'정보보안 > 시스템보안' 카테고리의 다른 글

접근통제 관리  (1) 2025.01.15
접근통제 개요 2/2  (0) 2025.01.14
인증 생체 인증 기술  (0) 2025.01.12
인증 커버로스 인증 기술  (0) 2025.01.11
인증 디바이스 인증 기술  (0) 2025.01.10

관련글

티스토리툴바