다중 보안 수준(MLS, Multilevel Security)

다중 보안 수준(MLS, Multilevel Security)은 서로 다른 보안 등급을 가진 사용자와 데이터가 동일한 시스템 내에서 안전하게 작동할 수 있도록 설계된 보안 모델로, 민감한 데이터를 보호하기 위한 핵심 접근 방식 중 하나이다. MLS는 기밀성, 무결성, 그리고 특정 상황에서는 가용성을 보장하는 데 초점을 맞추고 있으며,  데이터를 등급화하고 사용자의 보안 수준을 분류함으로써 민감 정보에 대한 적절한 접근 제어를 구현한다. 이러한 분류는 민감 데이터의 체계적인 관리를 가능하게 하고, 불필요하거나 부적절한 데이터 접근을 방지하여 보안 위협을 줄이는 데 기여한다.

 

미국 국방부가 발표한 신뢰할 수 있는 컴퓨터 시스템 평가 기준(Trusted Computer System Evaluation Criteria, TCSEC)에 따르면, 보안 등급은 데이터와 사용자의 보안 요구 사항을 기준으로 정의된다. TCSEC는 데이터를 최고 기밀(Top Secret), 중요 기밀(Secret), 기밀(Confidential), 기밀 아님(Unclassified) 으로 분류하였으며, 각 데이터와 사용자는 자신에게 부여된 보안 등급에 따라 접근 권한이 결정된다.

 

등급	설명	특징
최고 기밀 (Top Secret)	가장 높은 수준의 기밀성을 요구하며, 접근 가능한 사용자가 극히 제한됨 국가 안보 관련 정보, 핵무기 설계 문서, 첩보 작전 정보 등	접근 권한은 특별히 승인된 소수의 사용자에게만 부여되며, 물리적 및 기술적 보안 조치가 엄격히 시행됨 국가 안보나 조직의 핵심 정보를 보호하여, 보안 침해가 초래할 수 있는 치명적인 위험 방지
중요 기밀 (Secret)	중간 수준의 민감 데이터를 포함하며, 기밀보다 더 높은 보안이 필요 고위 경영진의 내부 전략 문서, 비공개 금융 데이터 등	데이터 접근이 엄격히 통제되며, 보안 침해 시 심각한 결과를 초래할 수 있음 민감한 정보가 적합한 권한이 없는 사용자에게 노출되는 것을 방지하여 기밀성과 무결성을 보장
기밀 (Confidential)	제한된 사용자만 접근 가능한 낮은 수준의 민감 데이터를 포함 비즈니스 문서, 비공개 보고서, 낮은 수준의 내부 데이터 등	기밀 정보를 보호하기 위한 기본적인 접근 통제가 적용되며, 권한을 부여받은 사용자만 접근 가능 데이터의 기본적인 기밀성을 유지하고, 외부 노출을 방지
기밀 아님 (Unclassified)	민감도가 낮고 공개적으로 접근 가능한 데이터 정부에서 제공하는 공공 정보, 일반 홍보 자료, 공개 웹사이트 콘텐츠 등	모든 사용자가 접근 가능하며, 보안 통제의 범위 밖에 있음 민감하지 않은 정보라도 무결성과 신뢰성을 유지하여 시스템 내에서 안전하게 관리

 

MLS에서 정보 흐름 제어와 필요성 기반 접근 원칙은 민감 데이터의 기밀성과 무결성을 유지하기 위한 핵심 원칙으로 작동한다. 이 두가지는 서로 보완적이며, 데이터를 보호하고 불필요한 노출을 방지하여 보안 사고를 예방한다.

 

MLS 환경에서 정보 흐름 제어는 데이터가 보안 등급 간에 허가되지 않은 방향으로 흐르지 않도록 제한하는 메커니즘이다. 이를 통해 민감 데이터가 하위 등급 사용자에게 유출되거나, 낮은 보안 등급의 데이터가 상위 데이터와 혼합되어 무결성이 손상되는 상황을 방지한다. 동시에 필요성 기반 접근 원칙은 사용자가 자신의 직무 수행에 필요한 데이터에만 접근하도록 제한하여, 불필요한 데이터 노출을 최소화한다. 이는 단순히 보안 등급 충족 여부만으로 접근을 허용하지 않고, 업무와의 직접적인 연관성을 확인하는 방식으로 작동한다.

원칙	설명
정보 흐름 제어	데이터가 보안 등급 간에서 허가된 방향으로만 흐르도록 제한
	상향 읽기 금지 (No Read Up)	사용자는 자신의 보안 등급보다 높은 데이터를 읽을 수 없음 민감 데이터의 유출 방지
	하향 쓰기 금지 (No Write Down)	사용자는 자신의 보안 등급보다 낮은 데이터에 쓰기 불가 낮은 보안 등급 데이터에 민감 정보가 포함되지 않도록 보호하며 무결성 유지
필요성 기반 접근	사용자는 자신의 보안 등급을 충족하더라도 직무와 관련되지 않은 데이터에는 접근 불가 최소 권한 원칙(Principle of Least Privilege)과 결합하여 불필요한 데이터 노출 방지

 

MLS와 MAC는 고도로 민감한 데이터를 처리하는 환경에서 함께 사용된다. MLS는 서로 다른 보안 등급의 데이터와 사용자 간의 접근 권한을 체계적으로 관리하기 위한 상위 개념이며, MAC은 이러한 MLS 환경에서 접근 통제 정책을 강제적으로 구현하는 메커니즘이다. MLS는 데이터를 보안 등급에 따라 분류하고 접근을 제한하는 보안 모델을 제시하며, MAC은 이 모델을 기반으로 데이터를 보호하기 위한 구체적인 접근 통제 방식을 적용한다. 이 두 개념은 함께 사용됨으로써 민감 정보의 기밀성과 무결성을 유지하는 데 중요한 역할을 한다.

구분	다중 보안 수준(MLS)	강제 접근 제어(MAC)
목적	보안 등급에 따라 데이터와 사용자의 접근을 체계적으로 관리	보안 정책을 강제 적용하여 무단 접근을 차단
역할	보안 등급을 정의하고 계층 구조를 통해 데이터와 사용자를 관리	MLS에서 정의된 보안 정책을 구현하고 강제 적용
적용 방식	데이터와 사용자에 보안 등급을 할당하고, 정책을 기반으로 접근 권한을 제한	데이터 객체와 사용자 주체에 보안 라벨을 부여하고, 접근 통제를 정책적으로 강제
특징	보안 수준 간의 정보 흐름을 제어하여 데이터 유출 및 무단 접근 방지	시스템 운영자의 정책에 따라 보안 규칙을 자동으로 적용하며 사용자 제어가 불가

 

MLS는 초기 정보보안 전략에서 기밀성과 무결성을 보호하는데 매우 효과적인 모델이었지만, 정적인 설계와 관리의 복잡성으로 인해 2000년대 중반 이후 클라우드, 모바일, IoT 기술 등의 확산과 더불어 고도화된 사이버 위협이 등장하면서 정적 접근제어 모델의 한계가 드러나기 시작했다. 이 시기에는 역할 기반 접근 제어(RBAC, Role Based Access Control)가 도입되어 사용자 역할을 기반으로 권한을 부여하는 방식이 일반화 되었다.