접근 제어(Access Control)

접근 제어(Access Control)는 정보보안의 핵심 개념으로, 사용자, 애플리케이션 또는 장치와 같은 엔터티가 시스템 내 자원에 어떻게 접근하고 사용하는지를 결정한다. 이를 통해 데이터의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보호하며, 허가된 사용자만이 특정 자원에 대해 작업을 수행할 수 있도록 보장한다. 시스템 자원은 객체(Object)로 간주되며, 이 객체에 접근하는 사용자나 프로세스는 주체(Subject)로 정의된다. 객체와 주체 간의 상호작용은 다음과 같은 특징을 포함한다.

구분	설명
객체(Object)	데이터베이스, 파일, 네트워크 자원, 디바이스 등 시스템 내에서 보호되어야 할 자원을 의미 객체는 접근 정책의 대상이 되며, 접근 권한에 따라 사용되거나 보호됨
주체(Subject)	객체에 접근하거나 상호작용을 시도하는 사용자, 애플리케이션, 프로세스를 말함 주체는 보안 정책에 의해 인증과 권한 부여 과정을 거쳐 특정 작업을 수행할 수 있음

 

객체와 주체 간의 관계를 적절히 통제하고, 주체가 허가된 방식으로만 객체에 접근하도록 하는 것이 접근 제어의 핵심이다. 접근 제어의 주요 구성 요소는 식별(Identification), 인증(Authentication), 권한 부여(Authorization), 책임 추적(Accountability)으로 나눌 수 있다.

 

주요 구성 요소	설명
식별 (Identification)	접근 제어의 첫 번째 단계로, 자원에 자원에 접근하려는 주체가 누구인지 또는 무엇인지 정의 이는 주체가 고유하게 식별될 수 있도록 사용자 ID, 장치 ID 또는 기타 식별자를 사용하는 과정을 포함하며, 올바른 식별은 모든 인증 및 권한 부여 프로세스의 기초가 됨
인증 (Authentication)	식별된 주체가 주장하는 신원을 검증하는 단계 인증의 강도는 시스템의 보안 요구 사항에 따라 달라질 수 있으며, 높은 보안이 요구되는 환경에서는 다중 계층 인증이 필수적
권한 부여 (Authorization)	인증된 주체가 수행할 수 있는 작업과 접근할 수 있는 자원을 결정하는 과정 사전 정의된 정책 및 규칙에 따라 이루어지며, "최소 권한 원칙"을 기반으로 주체에게 필요한 최소한의 권한만 부여하는 것이 일반적
책임 추적 (Accountability)	주체가 수행한 모든 작업을 기록하고 모니터링하는 단계 로그 및 감사 기록을 통해 작업 내역을 추적함으로써 규정 준수를 보장하고, 이상 행위 또는 보안 침해를 신속히 감지 이 단계는 신뢰할 수 있는 감사 체계를 기반으로 하며, 투명성과 법적 책임을 지원하는 데 필수적

 

정보보안의 역사에서 접근 제어 모델은 기술 발전과 보안 전략의 변화를 반영하며 점진적으로 발전해 왔다. 미국 연방정부의 정보보안 전략 역시 이러한 변화를 수용하며 초기의 정적 접근 제어에서 동적이고 적응형 접근제어로 발전해 왔다. 이는 기밀성, 무결성, 가용성 원칙을 기반으로 한 기존 정보 보안 체계가 고도화된 사이버 위협과 복잡해진 IT 환경에 대응하기 위해 변화해 온 과정을 잘 보여준다.

 

정보보안의 초기 전략은 주로 네트워크 경계 기반 보안에 중점을 두었으며, 방화벽, 침입 탐지 시스템(IDS) 등이 주요 기술로 사용되었다. 정보보안의 초기에는 데이터와 시스템 보호의 핵심 원칙으로 임의 접근 제어(DAC, Discretionary Access control)와 강제 접근 제어(MAC, Mandatory Access Control)가 주로 사용되었다.