보안 아키텍처와 보안 모델이란?
보안 모델은 보안 정책을 형식적·수학적으로 표현한 것으로, 시스템의 보안 요구사항을 체계적으로 정의합니다. 정보보안기사 시험에서 매우 빈출되는 고전적 보안 모델들을 완벽히 이해해야 합니다.
접근 제어 보안 모델
Bell-LaPadula 모델 (기밀성)
- 목적: 군사 기밀 보호. 기밀성(Confidentiality) 보장에 초점
- SS Property(Simple Security): No Read Up. 주체는 자신보다 높은 보안 등급 객체 읽기 불가
- *Property(Star Property): No Write Down. 주체는 자신보다 낮은 보안 등급 객체에 쓰기 불가
- DS Property(Discretionary Security): 접근 행렬로 임의적 접근 제어
- 한계: 무결성 보장 없음. Trojan Horse 공격에 취약
Biba 모델 (무결성)
- 목적: BLP의 반대. 무결성(Integrity) 보장에 초점
- Simple Integrity: No Read Down. 주체는 자신보다 낮은 무결성 등급 객체 읽기 불가
- Integrity *Property: No Write Up. 주체는 자신보다 높은 무결성 등급 객체에 쓰기 불가
- BLP vs Biba: BLP는 기밀성(읽기 규제), Biba는 무결성(쓰기 규제) — 시험 단골
Clark-Wilson 모델
- 목적: 상업적 환경의 무결성. 거래 처리의 일관성 보장
- CDI(Constrained Data Item): 무결성 규칙 적용 대상 데이터
- UDI(Unconstrained Data Item): 무결성 규칙 미적용 데이터(외부 입력 등)
- IVP(Integrity Verification Procedure): CDI가 무결성 제약 충족하는지 확인
- TP(Transformation Procedure): 유효한 방식으로만 CDI 변환하는 인증된 프로시저
- 3인 통제: 직무 분리(Separation of Duties) 구현. 거래 승인·실행·감사 분리
Chinese Wall(Brewer-Nash) 모델
- 목적: 이해 충돌 방지. 컨설팅·금융 분야
- 원칙: 한 고객사 정보에 접근하면 경쟁사 정보에 접근 불가
- COI(Conflict of Interest) 클래스: 경쟁 관계의 회사들을 묶은 집합
기타 보안 모델
Harrison-Ruzzo-Ullman(HRU) 모델
- 접근 행렬 기반: 주체·객체·권한을 행렬로 표현. 안전성 증명 가능
- 명령어: enter, delete, create-object, destroy-object, create-subject, destroy-subject
- 안전성 결정 불가능: 일반적 경우 안전성 판단은 결정 불가능(undecidable) 문제
Take-Grant 모델
- 그래프 기반: 권리의 전달을 그래프로 표현. take·grant·create·revoke 명령
- tg 클로저: 권리 전달 가능성 분석. 도달 가능성으로 안전성 판단
보안 아키텍처 프레임워크
- SABSA(Sherwood Applied Business Security Architecture): 비즈니스 중심 보안 아키텍처. Zachman 프레임워크 기반
- TOGAF: EA 프레임워크. ADM(Architecture Development Method)으로 보안 아키텍처 통합
- OSI 보안 아키텍처(X.800): 보안 서비스(기밀성·무결성·가용성·인증·부인방지)와 보안 메커니즘 정의
시험 핵심 포인트
- BLP: No Read Up + No Write Down (기밀성 보호)
- Biba: No Read Down + No Write Up (무결성 보호)
- Clark-Wilson: CDI·UDI·IVP·TP. 직무 분리 구현
- Chinese Wall: COI 클래스 내 경쟁사 정보 교차 접근 금지
마무리
보안 모델은 각각의 보안 목표(기밀성·무결성·이해충돌방지)가 다릅니다. 특히 BLP와 Biba의 규칙을 혼동하지 않도록 주의하고, 각 모델의 적용 환경을 명확히 구분하세요.