접근통제 파트 출제 경향
접근통제는 정보보안의 핵심 개념 중 하나로 매 시험마다 빠지지 않고 출제됩니다. 세 가지 접근통제 모델(DAC, MAC, RBAC)의 차이와 각각의 장단점, 그리고 최소권한·직무분리 원칙은 반드시 암기해야 합니다.
【기출 토픽 1】 임의적 접근통제 (DAC)
기출 문제 예시: 데이터 소유자가 자신의 판단에 따라 다른 주체에게 접근 권한을 부여하거나 취소할 수 있는 접근통제 방식은?
- ① 강제적 접근통제 (MAC)
- ② 임의적 접근통제 (DAC) ✅
- ③ 역할 기반 접근통제 (RBAC)
- ④ 속성 기반 접근통제 (ABAC)
해설: DAC(Discretionary Access Control)는 자원 소유자가 접근 권한을 자유롭게 설정합니다. 유연하지만 소유자의 실수로 과도한 권한 부여가 가능하다는 단점이 있습니다. 유닉스/리눅스의 파일 권한(chmod) 방식이 대표적입니다.
【기출 토픽 2】 강제적 접근통제 (MAC)
기출 문제 예시: 보안 레이블(Security Label)을 기반으로 시스템이 중앙에서 접근 권한을 강제로 결정하는 방식으로, 주로 군사·정부 시스템에서 사용되는 접근통제는?
- ① DAC
- ② MAC ✅
- ③ RBAC
- ④ ABAC
해설: MAC(Mandatory Access Control)은 보안 등급(기밀·비밀·일반 등)을 기반으로 시스템이 강제로 접근을 결정합니다. 소유자도 임의로 권한을 변경할 수 없습니다. 가장 강력하지만 운용이 복잡합니다.
【기출 토픽 3】 역할 기반 접근통제 (RBAC)
기출 문제 예시: 사용자에게 직접 권한을 부여하지 않고 역할(Role)을 할당하고, 역할에 권한을 부여하는 접근통제 방식은?
- ① DAC
- ② MAC
- ③ RBAC ✅
- ④ IBAC
해설: RBAC(Role-Based Access Control)는 현실 조직 구조와 가장 잘 맞는 모델입니다. 사용자 → 역할 → 권한의 구조로, 인사이동 시 역할만 변경하면 되어 관리가 용이합니다. 대부분의 기업 시스템에서 사용합니다.
3가지 모델 한눈에 비교:
- DAC: 소유자 재량, 유연, 트로이목마에 취약
- MAC: 시스템 강제, 보안 강력, 운용 복잡
- RBAC: 역할 기반, 관리 용이, 기업 환경 적합
【기출 토픽 4】 최소권한 원칙과 직무분리
기출 문제 예시: 업무 수행에 필요한 최소한의 권한만 부여하여 침해 발생 시 피해 범위를 줄이는 보안 원칙은?
- ① 직무분리 원칙
- ② 최소권한 원칙 (Principle of Least Privilege) ✅
- ③ 알 필요성 원칙
- ④ 기본 거부 원칙
해설: 최소권한 원칙은 사용자·프로세스·시스템에 업무 수행에 꼭 필요한 권한만 부여하는 것입니다. 직무분리(SoD)는 한 사람이 중요 업무 전 과정을 단독으로 처리할 수 없도록 분리하는 원칙입니다(예: 회계 결재와 지급을 다른 사람이 처리).
접근통제 최종 정리
DAC·MAC·RBAC의 특징과 차이점, 각 모델이 적합한 환경, 최소권한·직무분리·알 필요성 원칙의 개념을 정확히 구분하세요. 접근통제 관련 Bell-LaPadula·Biba 모델과도 연계해서 학습하면 효과적입니다.