접근통제 정책(DAC,MAC,RBAC 등)

by

1. 접근통제정책 개요

접근통제정책은 시스템, 데이터, 네트워크, 애플리케이션, 물리적 자산 등 정보 자산에 대한 접근을 통제하기 위한 기준과 절차를 정의합니다. 즉, “누가 무엇에 접근할 수 있는가?”를 정의하며, 권한 분리(Separation of Duty), 최소 권한 원칙(Least Privilege), 역할 기반 접근(RBAC) 등의 개념이 근간이 됩니다.

2. 접근통제정책의 주요 목적

  • 기밀성 보호: 민감 정보에 대한 무단 접근 차단
  • 무결성 보장: 승인된 사용자만 정보 수정 가능
  • 가용성 유지: 권한 있는 사용자가 적절한 자원에 접근 가능하도록 보장
  • 감사 추적성 확보: 누가 언제 어떤 자원에 접근했는지를 추적

3. 접근통제의 유형

접근통제정책은 일반적으로 다음 네 가지 방식 중 하나 이상을 기반으로 합니다.

3.1 DAC (Discretionary Access Control, 임의 접근 통제)

  • 소유자가 권한을 설정
  • 파일이나 시스템 자원의 소유자가 다른 사용자에게 권한을 부여
  • 유연하나 보안 수준은 상대적으로 낮음

3.2 MAC (Mandatory Access Control, 강제 접근 통제)

  • 중앙 정책 기반으로 통제
  • 군사/정부 기관 등에서 사용
  • 사용자나 객체에 등급(Classification)을 부여하고 정책에 따라 접근 여부 판단

3.3 RBAC (Role-Based Access Control, 역할 기반 접근 통제)

  • 역할에 따라 권한을 할당
  • 조직 내 직무나 책임에 따라 역할을 정의하고 역할별 권한을 설정
  • 대기업, 공공기관에서 널리 사용됨

3.4 ABAC (Attribute-Based Access Control, 속성 기반 접근 통제)

  • 사용자, 자원, 환경 등의 속성에 따라 정책을 적용
  • “시간이 평일 근무시간일 때만 접근 허용”과 같은 조건 부여 가능
  • 클라우드 환경 등에서 활용도 높음

4. 접근통제정책의 구성요소

접근통제정책은 일반적으로 다음과 같은 요소들로 구성됩니다.

구성 요소설명
정책 범위적용 대상 시스템, 데이터, 사용자 범위
접근 권한 기준어떤 조건에서 접근이 허용/제한되는지
역할 및 책임관리자, 일반 사용자, 외부 사용자의 권한 구분
승인 절차권한 요청 시 승인 방식과 담당자
감사 및 로그 기록접근 내역의 기록과 분석, 감사 주기
권한 검토 주기정기적으로 권한 재검토 및 회수 여부
비상 접근절차장애나 사고 발생 시 특별 접근 절차 정의

5. 접근통제 정책 수립 시 고려사항

  • 최소 권한 원칙 적용
    사용자에게 업무 수행에 필요한 최소한의 권한만 부여
  • 업무 분리(Separation of Duties)
    하나의 사용자에게 중요한 업무를 모두 맡기지 않음 (예: 결재권자와 입금자 분리)
  • 정기적 권한 리뷰
    인사이동, 퇴사 등의 이벤트 발생 시 권한 변경 및 회수
  • 로그 및 감사 활성화
    이상 접근 탐지를 위해 모든 접근 내역은 로깅되어야 함
  • BYOD 및 원격근무 환경 고려
    최근에는 다양한 단말기와 원격접속 환경이 고려되어야 함

6. 클라우드 환경에서의 접근통제

클라우드 환경에서는 전통적인 접근통제 정책 외에도 IAM (Identity and Access Management) 기능을 적극 활용해야 합니다. AWS, Azure, GCP 등은 다음과 같은 보안 기능을 제공합니다.

  • 정책 기반 권한 제어 (Policy JSON)
  • 임시 인증 (STS, session token)
  • MFA(Multi-Factor Authentication) 연동
  • 조직 단위 정책(OUs, SCPs)

7. 접근통제정책 예시 (기업 내부)

- 모든 시스템 접근은 사전 승인된 사용자만 가능하며, AD를 통한 중앙 인증을 거친다.
- 내부 DB는 역할 기반 접근제어(RBAC)를 적용하여, 개발자와 운영자 권한을 분리한다.
- 퇴직자 및 전보자에 대한 권한은 즉시 회수하며, 분기별로 권한 검토를 실시한다.
- 접근 로그는 최소 6개월간 보관하며, 이상 접근은 보안팀에서 모니터링한다.

8. 마무리 정리

접근통제정책은 조직 내 정보 자산의 보안을 보장하기 위한 가장 기본적이면서도 필수적인 정책입니다. 단순히 “접근 허용/차단”의 문제가 아니라, 업무의 효율성과 보안의 균형을 유지하기 위한 전략적 수단이기도 합니다.

특히 클라우드, 모바일, 원격근무 등 복잡한 현대 IT 환경에서는 접근통제정책의 정교화가 필수적이며, 정기적인 리뷰와 모니터링 체계, 유연한 권한 설계, 감사 기능 확보가 중요합니다.

Leave a Comment