속성 기반 접근 제어(ABAC, Attribute-Based Access Control)

속성 기반 접근 제어는 사용자가 자원에 접근하려는 요청을 다양한 속성(attribute)을 평가하여 동적으로 결정하는 접근 제어 모델이다. ABAC는 사용자(User), 자원(Resource), 행동(Action), 환경(Environment)의 속성을 활용하여, “누가, 무엇에 대해, 어떤 조건에서, 어떤 작업을 수행 할 수 있는가”를 정책으로 정의한다. 이 접근 방식은 기존의 정적이고 고정된 접근 제어 모델 보다 유연성과 확장성이 뛰어나며, 동적인 환경에서도 효과적으로 동작한다.

구성 요소	설명
속성	접근 결정을 내리는 기준으로 사용되며, 사용자, 자원, 행동, 환경과 관련된 정보를 포함
	사용자 속성	사용자 ID, 직무, 부서, 직급, 인증 상태 등 예:직급=관리자, 부서=IT, 국가=대한민국
	자원 속성	파일 유형, 데이터 분류, 소유자, 파일 경로 등 예:데이터 분류=기밀, 소유자=Alice
	행동 속성	수행하려는 작업의 종류 예:행동=읽기, 행동=삭제, 행동=추가
	환경 속성	시간, 위치, 네트워크 상태, 기기 유형 등 동적 변수 예:시간=근무시간, 위치=회사내부, 기기유형=회사노트북
정책	속성을 조합하여 정책을 정의하며, 각 정책은 특정 조건에 따라 허용(Allow) 또는 거부(Deny)를 결정 예: 근무 시간 내에 회사 네트워크에서 관리자는 기밀 문서에 접근 가능 예:외부 IP에서는 관리자도 기밀 문서에 접근 불가능
정책 결정 지점 (PDP)	정책 결정 지점(PDP, Policy Decision Point)은 접근 요청을 수신한 후 요청의 속성을 정책과 비교하여 접근을 허용할지 결정하는 논리적 구성 요소
정책 실행 지점 (PEP)	정책 실행 지점(PEP, Policy Enforcement Point)은 정책 결정 지점(PDP)의 결정에 따라 요청을 실행하거나 차단하는 구성 요소로, 실제 자원 접근 여부를 제어함

 

ABAC는 다양한 속성을 기반으로 접근 권한을 동적으로 결정하는 체계적인 접근 제어 하며, 네 가지 주요 단계를 통해 동작한다. 각 단계는 조직의 보안 요구 사항과 정책 적용에 중요한 역할을 한다.

 

① 속성 정의 및 할당

ABAC 환경에서는 사용자, 자원, 행동, 환경에 대한 속성을 정의하고, 이를 각 속성에 할당한다. 이러한 속성은 접근 요청을 평가하는 기준으로 사용되며, 동적인 보안 정책을 구현하는 데 핵심적인 요소이다. 예를 들어 사용자인 Alice에게는 사용자 속성 부서=인사팀이 할당 되고, 자원인 문서A에는 자원 속성 데이터 분류=기밀이 부여될 수 있다. 이와 같은 속성은 조직 내의 역할, 자원 특성, 작업 요구 사항, 환경적 변수 등을 반영하여 설계된다.

 

② 정책 설계

정책은 특정 조건에 접근 허용 여부를 정의하는 규칙으로, 속성 조합을 기반으로 작성된다. 이러한 정책은 조직의 보안 요구 사항과 규정을 반영하며, 자원의 민감도와 환경적 조건에 따라 정밀하게 설계된다. 예를 들어, 정책은 “데이터 분류가 기밀이고, 사용자 부서가 정보보안팀이며, 요청이 근무 시간 내에 이루어진 경우에만 접근을 허용한다”는 규칙을 정의될 수 있다. 이러한 정책은 자원의 보호와 무단 접근 방지를 동시에 보장한다.

 

③ 속성 평가

사용자가 자원에 접근을 요청하면, PDP가 사용자와 자원의 속성을 정책 조건과 비교하여 평가한다. 이 단계에서는 요청된 행동과 관련된 모든 속성이 정책과 일치하는지 확인하며, 접근 여부를 판단한다. 예를 들어 Bob이라는 사용자가 A문서에 접근을 요청할 경우 PDP는 Bob의 사용자 속성(부서=정보보안팀)과 A문서 속성(데이터 분류=기밀), 그리고 환경 조건(시간=근무시간)을 정책과 비교하며, 정책 조건이 충족 되는 경우에만 접근이 허용된다.

 

④ 접근 결정 및 실행

정책 평가 결과에 따라 PDP는 접근을 허용할지 차단할지를 결정한다. 결정된 결과는 PEP로 전달되며, 자원에 대한 접근 요청이 실행되거나 거부된다. 예를 들어, Bob의 속성과 정책 조건이 일치하면, A문서에 대한 접근이 허용되고 반대로 조건을 충족하지 못하면 접근이 차단된다. 이러한 동작은 조직의 보안 정책을 자동화된 방식으로 일관되게 적용할 수 있도록 지원한다.

 

ABAC는 속성의 유연성과 정책의 세밀함을 기반으로 하여, 다양한 보안 요구 사항을 충족하고 무단 접근을 효과적으로 방지한다. 특히, 실시간으로 정책을 평가하고 실행할 수 있어 동적이고 복잡한 IT 환경에서 높은 수준의 보안 관리와 통제를 가능하게 한다.

항목	설명
기본 개념	사용자, 자원, 환경, 행동의 속성을 기반으로 접근 권한을 동적으로 결정하는 정책 기반 접근 제어 모델
관리 주체 및 사용 예	보안(정책) 관리자 및 시스템 정책 AWS, Azure등에서 사용자 요청의 속성을 기반으로 자원 접근 관리 금융 시스템에 접근 시 위치와 시간에 따른 거래 데이터 보호
장점	다양한 속성을 조합하여 동적이고 상황에 맞는 접근 정책 사용 가능 사용자, 자원 증가에도 효율적 관리, 시간, 위치 등 실시간 조건 반영 가능
단점	속성 및 정책 정의가 복잡하고 초기 설정에 많은 시간 소요 속성 데이터가 부정확하거나 불완전하면 정책 오작동 위험