접근통제 정책(DAC,MAC,RBAC 등)

Table of Contents

1. 접근통제정책 개요

접근통제정책은 시스템, 데이터, 네트워크, 애플리케이션, 물리적 자산 등 정보 자산에 대한 접근을 통제하기 위한 기준과 절차를 정의합니다. 즉, “누가 무엇에 접근할 수 있는가?”를 정의하며, 권한 분리(Separation of Duty), 최소 권한 원칙(Least Privilege), 역할 기반 접근(RBAC) 등의 개념이 근간이 됩니다.

2. 접근통제정책의 주요 목적

기밀성 보호: 민감 정보에 대한 무단 접근 차단
무결성 보장: 승인된 사용자만 정보 수정 가능
가용성 유지: 권한 있는 사용자가 적절한 자원에 접근 가능하도록 보장
감사 추적성 확보: 누가 언제 어떤 자원에 접근했는지를 추적

3. 접근통제의 유형

접근통제정책은 일반적으로 다음 네 가지 방식 중 하나 이상을 기반으로 합니다.

3.1 DAC (Discretionary Access Control, 임의 접근 통제)

소유자가 권한을 설정
파일이나 시스템 자원의 소유자가 다른 사용자에게 권한을 부여
유연하나 보안 수준은 상대적으로 낮음

3.2 MAC (Mandatory Access Control, 강제 접근 통제)

중앙 정책 기반으로 통제
군사/정부 기관 등에서 사용
사용자나 객체에 등급(Classification)을 부여하고 정책에 따라 접근 여부 판단

3.3 RBAC (Role-Based Access Control, 역할 기반 접근 통제)

역할에 따라 권한을 할당
조직 내 직무나 책임에 따라 역할을 정의하고 역할별 권한을 설정
대기업, 공공기관에서 널리 사용됨

3.4 ABAC (Attribute-Based Access Control, 속성 기반 접근 통제)

사용자, 자원, 환경 등의 속성에 따라 정책을 적용
“시간이 평일 근무시간일 때만 접근 허용”과 같은 조건 부여 가능
클라우드 환경 등에서 활용도 높음

4. 접근통제정책의 구성요소

접근통제정책은 일반적으로 다음과 같은 요소들로 구성됩니다.

구성 요소	설명
정책 범위	적용 대상 시스템, 데이터, 사용자 범위
접근 권한 기준	어떤 조건에서 접근이 허용/제한되는지
역할 및 책임	관리자, 일반 사용자, 외부 사용자의 권한 구분
승인 절차	권한 요청 시 승인 방식과 담당자
감사 및 로그 기록	접근 내역의 기록과 분석, 감사 주기
권한 검토 주기	정기적으로 권한 재검토 및 회수 여부
비상 접근절차	장애나 사고 발생 시 특별 접근 절차 정의

5. 접근통제 정책 수립 시 고려사항

최소 권한 원칙 적용
사용자에게 업무 수행에 필요한 최소한의 권한만 부여
업무 분리(Separation of Duties)
하나의 사용자에게 중요한 업무를 모두 맡기지 않음 (예: 결재권자와 입금자 분리)
정기적 권한 리뷰
인사이동, 퇴사 등의 이벤트 발생 시 권한 변경 및 회수
로그 및 감사 활성화
이상 접근 탐지를 위해 모든 접근 내역은 로깅되어야 함
BYOD 및 원격근무 환경 고려
최근에는 다양한 단말기와 원격접속 환경이 고려되어야 함

6. 클라우드 환경에서의 접근통제

클라우드 환경에서는 전통적인 접근통제 정책 외에도 IAM (Identity and Access Management) 기능을 적극 활용해야 합니다. AWS, Azure, GCP 등은 다음과 같은 보안 기능을 제공합니다.

정책 기반 권한 제어 (Policy JSON)
임시 인증 (STS, session token)
MFA(Multi-Factor Authentication) 연동
조직 단위 정책(OUs, SCPs)

7. 접근통제정책 예시 (기업 내부)

- 모든 시스템 접근은 사전 승인된 사용자만 가능하며, AD를 통한 중앙 인증을 거친다.
- 내부 DB는 역할 기반 접근제어(RBAC)를 적용하여, 개발자와 운영자 권한을 분리한다.
- 퇴직자 및 전보자에 대한 권한은 즉시 회수하며, 분기별로 권한 검토를 실시한다.
- 접근 로그는 최소 6개월간 보관하며, 이상 접근은 보안팀에서 모니터링한다.