역할 기반 접근 제어(RBAC, Role Based Access Control)

역할 기반 접근 제어는 사용자의 직무나 책임을 기반으로 역할(Role)을 정의하고, 역할에 권한(Permission)을 부여하여 자원 접근을 관리하는 보안 모델이다. 사용자는 역할을 통해 권한을 간접적으로 부여받기 때문에, 접근 관리의 효율성을 높이고 정책의 일관성을 유지할 수 있다. RBAC는 사용자와 권한 간의 관계를 직접적으로 설정하는 대신 역할-권한 관계를 정의하고, 사용자를 역할에 매핑하는 방식으로 동작한다. 이를 통해 사용자가 변경되거나 추가될 경우에도 역할을 재사용할 수 있어 관리 부담을 줄이고 보안 정책을 쉽게 유지할 수 있다.

구분	설명
역할(Role)	조직의 특정 직무, 업무 또는 책임을 나타냄 예: 관리자(Admin), 개발자(Developer), 운영자(Operator)
권한(Permission)	특정 자원에 대한 작업 수행 권리를 정의 예: 사용자 추가/삭제, 파일 읽기, 시스템 설정 변경,

 

RBAC는 역할을 중심으로 권한을 관리하며, 조직의 보안 정책과 업무 흐름을 체계적으로 적용할 수 있도록 설계되었으며, 다음과 같은 주요 단계를 통해 동작한다.

 

① 역할 정의

조직의 구조와 직무, 업무 흐름을 기반으로 역할을 정의한다. 각 역할은 특정 직무나 책임을 반영하여, 조직 내에서 수행해야 할 작업의 범위를 나타낸다. 예를 들어, 시스템 관리자(Admin) 역할은 시스템 관리 작업을 담당하며, 개발자(Developer) 역할은 소프트웨어 개발과 관련된 작업을 수행하도록 정의한다. 역할은 조직의 운영 요구와 보안 정책을 반영해 체계적으로 설계한다.

 

② 권한 설정

역할에 필요한 권한을 정의하고, 각 역할과 권한 간의 매핑을 설정한다. 권한은 읽기, 쓰기, 삭제 등 특정 자원에서 수행할 수 있는 작업을 의미하며, 역할별로 할당한다. 예를 들어, 관리자 역할은 모든 자원에 대해 읽기, 쓰기, 삭제 권한을 가지며, 개발자 역할은 코드 작성과 배포 권한만 가지도록 설정할 수 있다. 이러한 매핑은 보안 정책의 일관성을 유지하고, 불필요한 권한 남용을 방지한다.

 

③ 사용자-역할 연결

사용자는 직접 권한을 부여받지 않고, 특정 역할에 연결됨으로써 간접적으로 권한을 획득한다. 예를 들어, Alice는 관리자 역할을 부여받아 시스템 관리 작업을 수행할 수 있고, Bob은 개발자 역할을 통해 소프트웨어 개발과 관련된 작업에 접근할 수 있다. 이를 통해 사용자 관리의 복잡성을 줄이고, 동일한 역할을 여러 사용자에게 재사용할 수 있다.

 

④ 접근 제어

사용자가 자원에 접근을 시도하면, 시스템은 사용자에게 부여된 역할과 해당 역할에 정의된 권한을 확인한다. 접근 여부는 사전에 정의된 권한과 매칭하여 결정되며, 권한이 없는 작업은 수행할 수 없다. 예를 들어, 일반 사용자가 관리자 권한이 필요한 시스템 설정을 변경하려는 경우, 시스템은 이를 차단한다. 이러한 방식은 데이터 보호와 보안 정책 준수를 보장하며, 권한 남용이나 보안 침해를 방지한다.

 

RBAC는 역할 중심 접근 관리를 통해 조직의 보안 정책을 간소화하고 효율적으로 유지할 수 있는 강력한 접근 제어 모델이다. 특히 대규모 조직이나 복잡한 IT 환경에서 정책 일관성과 보안성을 유지하기 위한 효과적인 접근 방식으로 널리 채택되고 있다. 그러나 초기 설정의 복잡성을 줄이고 역할 과다를 방지하기 위한 체계적인 설계가 필요하다.

항목	설명
기본 개념	사용자가 아닌 역할(Role)에 권한(Permission)을 할당하고, 사용자는 역할을 통해 권한을 간접적으로 부여받는 접근 제어 모델
관리 주체 및 사용 예	보안 관리자 및 시스템 정책 AWS, Azure등에서 리소스 접근 관리 등
장점	사용자 수 증가, 조직의 변화나 확장 등 에도 역할을 통해 간단히 권한 관리 가능 중앙에서 역할-권한 관계를 정의하여 보안 정책 유지
단점	초기에 역할 및 권한 설계가 복잡하고 시간 소요 세부적인 업무를 반영하다 보면 역할 수가 과도하게 증가 특정 사용자에 대한 예외적 권한 부여가 어려움

 

RBAC는 관리 효율성을 높였지만, 동적으로 변화하는 환경에 대한 즉각적인 적응이 어려웠다. 이에 따라 미국 연방정부는 FISMA를 2014년에 개정하며 동적 리스크 관리와 지속적 모니터링을 강조하는 방향으로 전략을 전환하였다. 또한 NIST 사이버보안 프레임워크(NIST CSF)가 도입되어 사이버 위협 인텔리전스와 침해 대응 역량을 강화 했다.

 

위험 관리 프레임워크(RMF)는 리스크 중심의 동적 보안 관리 체계로 2010년대 미국 연방정부의 보안 전략 핵심이 되었으며, 실시간 위험 평가를 가능하게 하는 구조를 제공하였다. 이와 함께 속성 기반 접근 제어(ABAC, Attribute-Based Access Control)가 등장하여 사용자, 자원, 환경의 속성을 기반으로 동적 권한을 부여할 수 있게 되었다.