(Role Based Access Control 포함) 액세스 제어란 무엇인가요?
액세스 제어는 컴퓨팅 환경에서 리소스를 보거나 사용할 수 있는 대상을 규제하는 데 사용되는 기본적인 보안 개념입니다. 권한이 있는 개인이나 시스템만 데이터 또는 시스템에 접근할 수 있도록 하여 민감한 정보 를 안전하게 보호하고 조직 내 중요한 리소스의 기밀성, 무결성, 가용성 을 유지 관리합니다.
본질적으로 액세스 제어에는 사용자의 식별, 인증 , 권한 부여 가 포함되어 있어, 액세스 권한이 조직의 정책 및 사용자 역할에 부합하도록 보장합니다. 가장 단순한 형태의 액세스 제어는 비밀번호와 사용자 권한의 조합으로 간주될 수 있으나, 최신 액세스 제어 시스템은 생체 인식 검증 , 다단계 인증, 동적 정책 기반 프레임워크와 같은 고급 기술을 통합합니다. 이러한 시스템은 대기업부터 중소기업까지 다양한 환경에서의 보안 관리에 필수적이며, 규제 준수 기준을 준수하는 동시에 데이터 유출 및 무단 액세스 시도를 방지하는 데 매우 중요합니다.
(Role Based Access Control 포함) 액세스 제어 시스템이란 무엇인가요?
액세스 제어는 보안 시스템의 한 유형으로, 물리적 공간에는 열쇠나 키카드, 디지털 자산에는 로그인 자격 증명과 같은 권한이나 액세스 도구를 제공받은 사용자만 공간이나 시스템에 접근할 수 있도록 제한합니다. 이 아티클에서는 기업의 제한된 영역(예: 시스템, 애플리케이션)에 대한 액세스를 제공하는 사용자 액세스 제어에 중점을 둡니다.
사용자 액세스 제어는 보안 정책을 시행하기 위해 신원 확인 및 권한 관리 원칙을 기반으로 작동합니다. 개인이나 시스템이 리소스에 대한 액세스를 요청하면 사용자 액세스 제어는 요청자의 신원을 확인하고 이를 인증합니다.
이러한 디지털 액세스 제어 시스템에서는 개인 정보에 액세스하려면 먼저 사용자의 식별 및 인증이 필요합니다. 즉, 액세스 제어 시스템의 기본 요소에는 누군가가 시스템에 ‘접속’할 때마다 적용되는 기준과 기록이 포함됩니다. 조직 유형에 따라, 기업은 시스템에 대한 소유권 수준과 어떤 직원이 무엇에 액세스할 수 있을지, 그리고 그 기준을 어떻게 정할지 등 몇 가지 주요 사항을 폭넓게 고려해야 합니다. 다양한 장점을 지닌 여러 모델이 있습니다.
액세스 제어 시스템의 세 가지 주요 유형은 무엇인가요?
액세스 제어 시스템에는 여러 유형이 있지만, 주된 세 가지는 다음과 같습니다.
- 강제 액세스 제어 시스템(MAC)
- 임의 액세스 제어 시스템(DAC)
- 역할 기반 액세스 제어 시스템(RBAC)
강제 액세스 제어(MAC)
강제 액세스 제어 시스템은 가장 엄격한 보안 보호를 제공하며, 액세스 부여 권한은 전적으로 시스템 관리자에게 달려 있습니다. 즉, 사용자가 직접 특정 영역에 대한 액세스를 허용하거나 거부하는 권한을 변경할 수 없기 때문에, 민감한 정보에 대한 강력한 보안이 구현됩니다. 이 시스템에서는 리소스 소유자조차도 시스템에 등재된 모든 항목에 대한 액세스 권한을 부여하는 것이 제한됩니다.
직원이 시스템에 접속하면 디지털 보안 프로필과 같은 고유한 가변 ‘태그’ 조합으로 태그가 지정되며, 이것이 액세스 권한 수준을 나타냅니다. 따라서 사용자의 태그에 따라 리소스에 포함된 정보의 민감도를 기준으로 액세스 권한이 제한됩니다. 이 보안 시스템은 매우 기민하게 작동하며, 실제로 기밀성을 중시하는 특성 덕분에 정부 기관에서도 널리 사용됩니다.
임의 액세스 제어(DAC)
반면에 임의 액세스 제어 시스템에서는 조금 더 많은 제어권이 보안 책임자에게 부여됩니다. 시스템 관리자가 특정 권한이 있는 파일 계층 구조를 생성했더라도, 누가 어떤 리소스에 접근할 수 있는지 결정하는 것은 이 보안 책임자입니다. 적절한 자격 증명만 있으면 액세스 권한을 얻을 수 있습니다.
물론 유일한 단점은 최종 사용자에게 보안 수준을 제어할 수 있는 권한을 부여하면, 그만큼 감독이 필요하다는 점입니다. 시스템이 보다 적극적인 권한 관리를 요구하기 때문에, 일부 작업이 자칫 누락되기 쉽습니다. MAC 방식은 경직되어 있지만 감독 부담이 적은 반면, DAC 시스템은 유연하지만 그만큼 많은 노력이 필요합니다.
역할 기반 액세스 제어(RBAC)
역할 기반 액세스 제어는 사용자의 업무 책임에 따라 권한을 부여합니다. 가장 일반적으로 사용되는 액세스 제어 방식으로, 회사 내 역할을 기준으로 액세스 권한을 결정함으로써 하위 직급 직원이 고위 정보에 접근하지 못하도록 합니다.
이 방식의 액세스 권한은 리소스, 요구 사항, 환경, 직무, 위치 등 비즈니스와 연관된 다양한 변수를 중심으로 설계됩니다. 많은 임원들이 이 방식을 선호하는 이유는 액세스가 필요한 리소스의 종류에 따라 직원을 손쉽게 그룹화할 수 있기 때문입니다.
예를 들어, 인사 부서 직원은 개인 마케팅 자료에 액세스할 필요가 없으며, 마케팅 부서 직원은 직원 급여에 액세스할 필요가 없습니다. RBAC는 가시성을 개선하는 동시에 보안 침해와 데이터 유출로부터 보호하는 유연한 모델을 제공합니다.
네 가지 주요 액세스 (Role Based Access Control 포함) 제어 모델은 무엇인가요?
주요 액세스 제어 모델에는 네 가지가 있으며, 이들을 두 가지 일반적인 유형으로 나눌 수 있습니다. 더 세부적이고 실용적인 액세스 제어 모델은 더욱 맞춤화된 접근 방식을 제공합니다. 기업이 ‘실용적’인 액세스 제어를 얼마나 원하는지에 따라 다양한 방식을 고려할 수 있습니다. 가장 일반적인 두 가지 유형의 액세스 제어는 규칙 기반 액세스 제어와 속성 기반 액세스 제어 입니다.
‘더 스마트하고’ 직관적인 액세스 제어 시스템은 기술을 완전히 초월합니다. 이러한 시스템은 더욱 심층적이고 직관적인 수준에서 작동합니다. 이러한 유형의 액세스 제어의 예로는 아이덴티티 기반 액세스 제어와 이력 기반 액세스 제어가 있습니다.
규칙 기반 액세스 제어
이름을 통해 짐작할 수 있듯이, 이 시스템은 구조화된 규칙과 정책에 따라 권한을 부여합니다. 주로 컨텍스트를 기반으로 하며, 사용자가 리소스에 액세스하려고 하면 운영 체제는 해당 리소스에 대한 ‘액세스 제어 목록’에 명시된 규칙을 확인합니다. 규칙, 정책, 컨텍스트를 생성하면 배포에 약간의 노력이 더 필요합니다. 또한 이 시스템은 앞서 다룬 역할 기반 접근 방식과 함께 사용되는 경우가 많습니다.
속성 기반 액세스 제어
한 단계 더 깊이 들어가 보면, 이 시스템 유형은 특정 사용자에게 부여된 속성을 기반으로, 보다 다양하고 동적인 리스크 인텔리전스에 기반한 제어 기능을 제공합니다. 이러한 속성은 사용자 프로필을 구성하는 요소로 볼 수 있으며, 이들이 결합되어 사용자의 액세스 권한을 정의하게 됩니다.
정책이 설정되면 이러한 속성을 사용하여 사용자가 권한을 가져야 할지를 판단할 수 있습니다. 이러한 속성은 Salesforce와 같은 별도의 데이터베이스에서 가져올 수도 있습니다.
아이덴티티 기반 액세스 제어
가장 간단하면서도 가장 복잡한 아이덴티티 기반 제어는 사용자의 시각적 또는 생체 인식 아이덴티티를 바탕으로 리소스 액세스를 허용할지를 결정합니다. 사용자의 아이덴티티가 액세스 제어 목록에 있는 이름과 일치하는지 여부에 따라 접근이 거부되거나 허용됩니다.
이 접근 방식의 주요 이점 중 하나는 직원을 수동으로 그룹화하는 대신, 시스템 내 개인에게 보다 세분화된 액세스 권한을 제공한다는 것입니다. 이는 매우 세부적이고 기술 중심적인 접근 방식으로, 사업주에게 풍부한 제어 권한을 부여합니다.
이력 기반 액세스 제어
또 다른 ‘스마트한’ 솔루션은 이력 기반 액세스 제어 시스템입니다. 이 시스템은 과거 보안 활동을 바탕으로 사용자가 요청한 리소스에 대한 액세스 권한을 부여할지 여부를 결정합니다.
그런 다음 시스템은 해당 사용자의 활동 이력(요청 간격, 요청된 콘텐츠, 최근 열린 출입문 등)을 스크래핑합니다. 예를 들어, 사용자가 오랫동안 보안 회계 자료만 다뤄온 경우라면, 내년 마케팅 로드맵 액세스 요청이 시스템에서 플래그로 지정될 수 있습니다.
(Role Based Access Control 포함) 액세스 제어 시스템의 주요 구성 요소
액세스 제어 시스템은 식별, 인증, 권한 부여 등 세 가지 핵심 구성 요소를 기반으로 합니다. 각 단계가 성공적으로 실행되어야 사용자에게 리소스 액세스 권한이 부여됩니다.
관리자는 사용자가 시스템이나 애플리케이션에 등록될 때 고유한 아이덴티티를 각기 부여합니다. 여기에서 다루는 사용자 액세스 제어의 경우, 이러한 아이덴티티는 사용자 식별뿐만 아니라 사용자 활동 추적에도 사용됩니다.
인증 vs. 권한 부여
사용자가 시스템이나 애플리케이션에 액세스하려면 먼저 인증을 받아야 합니다. 인증은 사용자가 제시한 신원이 합법적임을 증명하는 보안 프로세스입니다. 주요 인증 요소의 유형은 다음과 같습니다.
- 본인이 알고 있는 것—가장 일반적인 예로는 사용자 이름/비밀번호 자격 증명이 있습니다.
- 본인이 소유한 것—여기에는 주로 인증 코드가 전송되는 모바일 기기가 해당합니다. 일회용 비밀번호를 생성하는 하드웨어 토큰이나 앱도 포함될 수 있습니다.
- 본인의 신체 특성—지문, 홍채 인식, 얼굴 인식과 같은 생체 인식이 여기에 해당합니다.
사용자가 검증되면 권한 부여에 따라 리소스에 대한 액세스 권한이 부여됩니다. 권한 부여는 인증된 사용자가 시스템이나 애플리케이션에 대한 액세스 권한을 부여받은 후 어떤 작업을 수행할 수 있는지를 결정합니다.
예를 들어, 광범위한 권한을 가진 사용자는 리소스에 대해 전체 액세스 권한을 부여받아, 기존 파일 등 다양한 리소스를 생성할 뿐만 아니라 편집, 공유, 삭제까지도 수행할 수 있습니다. 위 섹션에서 설명한 바와 같이, 관리자는 다양한 방법(예: 역할 기반 액세스 제어, 속성 기반 액세스 제어)으로 이러한 설정을 구성합니다.
(Role Based Access Control 포함) 액세스 제어 시스템 구현의 모범 사례
최소 권한 원칙(PoLP) 적용
모든 액세스는 최소 권한 에 따라 부여되어야 합니다. 이는 사용자가 업무를 수행하는 데 필요한 최소한의 액세스 특수 권한만 부여해야 함을 의미합니다. 또한 액세스가 더 이상 필요하지 않을 경우, 특수 권한을 즉시 회수해야 합니다.
사용자 프로비저닝 자동화
사용자 프로비저닝 및 디프로비저닝 을 자동화하면, 사용자의 퇴사 시점과 액세스 특수 권한이 취소되는 시점 사이의 지연과 같은 수동 프로세스에서 발생할 수 있는 위험을 제거하여 액세스 제어를 강화할 수 있습니다. 또한 이는 액세스 정책을 일관되게 적용하는 데 도움이 됩니다.
정기적인 액세스 감사 수행
액세스 제어 시스템 감사를 정기적으로 수행할 수 있도록 프로세스를 마련해야 합니다. 이는 과도한 권한을 가진 사용자나 비활성 사용자 계정을 식별함으로써 최소 권한 원칙을 적용하는 데 도움이 됩니다.
기존 애플리케이션과의 통합 보장
다른 보안 시스템을 포함해 조직 전반에서 사용되는 애플리케이션 및 시스템과의 통합을 지원하는 액세스 제어 시스템을 선택합니다. 이는 관리 효율성을 높이는 동시에, 사용자의 생산성을 저해하거나 더 나아가 복잡한 액세스 제어 시스템을 우회하도록 만드는 번거로운 프로세스를 방지할 수 있습니다.
제로 트러스트 네트워크 아키텍처(ZTNA) 구현
제로 트러스트 아키텍처 를 활용해 기기, 네트워크, 애플리케이션, 서비스, 워크로드, 데이터를 관리합니다. 그런 다음 다음과 같은 제로 트러스트의 핵심 원칙을 적용합니다.
- 초기 액세스 권한이 부여된 후에도 사용자의 아이덴티티와 특수 권한을 계속해서 검증하고 모니터링합니다.
- 최소 권한 원칙에 따라 액세스 정책을 설정하고, 사용자 요구 사항의 변화에 따라 특수 권한을 정기적으로 평가하고 업데이트합니다.
- 마이크로세그멘테이션 을 사용해 네트워크를 세분화하고, 작은 영역과 리소스에 대한 액세스를 제한하여 공격 표면 을 줄입니다.
- 다단계 인증을 요구하여 사용자 액세스 제어를 강화합니다.
- 모든 엔드포인트 기기의 유효성을 검증하고, 휴먼 사용자는 물론 물리적 시스템에도 액세스 제어를 확장합니다.
공유 계정 사용 금지
사용자가 액세스 시스템이나 애플리케이션의 계정을 공유하는 것을 허용하는 것은 강력히 권장되지 않습니다. 허용 시 보안 위험을 초래할 수 있으며, 공유 계정과 관련된 보안 인시던트가 발생하면 계정 활동을 추적하고 사용자에게 책임을 묻거나 근본 원인을 추적하기 어려울 수 있습니다.
업무 분리 사용
업무 분리 (SoD)는 작업과 책임을 여러 사용자에게 분배하여 한 사람이 리소스를 오용할 만큼의 특수 권한을 갖지 않도록 하는 것을 의미합니다. 이에 대한 전형적인 예로 수표를 작성하는 사람이 그 수표에 서명하는 것을 허용하지 않는 경우를 들 수 있습니다. 업무 분리는 광범위한 사용자 기반에 적용되지만, 관리자 같이 특수 권한이 있는 사용자는 예외로 취급됩니다.
강력한 비밀번호 요구
사용자는 강력한 비밀번호를 사용해야 합니다. 사이버 보안 및 인프라 보안국(CISA)의 강력한 비밀번호 보안 지침은 다음과 같습니다.
- 최소 16자 이상의 긴 비밀번호를 설정합니다
- cXmnZK65rf*&DaaD와 같이 대소문자, 숫자, 기호를 혼합하여 무작위로 설정하거나, LibraryBeachBananaFlower와 같이 관련 없는 단어들을 조합하여 무작위 문자열을 만듭니다
- 고유한 비밀번호를 만듭니다
- 각 계정마다 다른 비밀번호를 사용합니다
다단계 인증(MFA) 사용
사용자 자격 증명, 생체 인식 요소 또는 토큰이나 인증 코드 생성 앱에서 생성된 일회용 비밀번호 등 두 가지 이상의 검증 요소를 제공하도록 요구하여 액세스 권한을 부여합니다.
액세스 특수 권한 로그 유지 관리
액세스 특수 권한 로그를 사용하여 어떤 사용자가 어떤 리소스에 액세스할 수 있는지 추적하고 사용자 액세스 권한의 변경 사항을 추적합니다.
액세스 제어 프로토콜에 관한 직원 교육
사이버 보안 교육 및 인식 제고 프로그램에 액세스 제어를 추가하여 사용자가 어떤 시스템이 설치되어 있는지, 왜 사용되는지, 그리고 사용 정책 미준수 시 발생할 수 있는 위험을 이해하도록 합니다.
액세스 제어 및 규제 준수
액세스 제어 시스템의 사용은 여러 규제 법령에서 의무화되어 있습니다. 그 예는 다음과 같습니다.
- 연방 정보 보안 관리법(FISMA)은 연방 기관이 정부 정보와 정보 시스템을 보호하기 위해 액세스 제어를 구현하도록 규정합니다.
- 일반 데이터 보호 규정(GDPR)은 EU 시민의 개인 데이터를 처리하는 조직이 승인된 직원만 민감한 정보에 접근할 수 있도록 액세스 제어를 사용해야 한다고 규정합니다.
- 그램 리치 블라일리법(GLBA)은 금융 기관이 고객의 개인 금융 정보를 보호하기 위해 액세스 제어를 구현하도록 규정합니다.
- 미국 건강 보험 양도 및 책임에 관한 법률(HIPAA)은 의료 기관이 보호대상 개인건강정보(PHI)를 보호하기 위해 액세스 제어를 구현하도록 규정합니다.
- 지불 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드 정보를 처리하는 조직이 카드 소지자 데이터를 보호하기 위해 강력한 액세스 제어 조치를 구현하도록 규정합니다.
- 사베인스-옥슬리법(SOX)은 재무 데이터에 대한 무단 액세스를 방지하여 재무 보고의 정확성과 무결성을 지키기 위해 액세스 제어를 요구합니다.
미래: AI 기반 아이덴티티 관리
액세스 제어가 미래로 나아가면서 많은 사람들은 시스템 관리의 책임이 사람에서 기술로 옮겨갈 것이라고 예측합니다. 인공 지능(AI)은 사용자의 액세스 권한을 실시간으로 평가할 수 있을 뿐만 아니라 직원의 전체 수명 주기도 예측할 수 있습니다. 이러한 솔루션은 ‘현재 시점’으로부터 우리를 보호하는 동시에 위험과 컴플라이언스 문제가 심각해지기 전에 파악할 수 있게 해 줍니다. AI는 가시성을 개괄적인 수준으로 간소화하기 때문에 기업은 더 이상 복잡한 정책과 액세스 제어 목록을 면밀히 모니터링할 필요가 없습니다.
마무리
액세스 제어가 실제 건물의 물리적인 문서를 보호하는 방식에서 클라우드 기반 시스템으로 발전했지만, 기업의 리소스를 보호한다는 개념은 결코 사그라들지 않습니다. 우리가 사용하는 기술이 더욱 스마트해질수록 더 많은 선택지가 제공될 것입니다. 조직 규모, 리소스 요구 사항, 직원 위치와 같은 중요한 변수를 이해하는 것은 의사 결정에 도움이 될 것입니다.