[정보보안기사] 1.정보보호 - 접근 제어(Access control)

접근 제어(Access control) 이란?

접근 제어는 공간이나 컴퓨터 시스템, 파일 등의 자원에 대한 사용 권한을 통제하여, 부적절한 사용자의 접근을 막으며 보안 수준을 향상시키는 기술입니다. 물리적으로는 출입문의 잠금 장치나 보안 감시 카메라 등으로 접근을 제어할 수 있습니다. 컴퓨터 시스템에서는, 사용자 인증과 권한 설정 등의 방법을 통해 접근을 제한합니다. 사용자 인증은 패스워드, 생체 인증 등에 의해 이루어지며, 권한 설정은 사용자의 직급, 역할, 그룹 등에 따라 부여됩니다. 또한, 접근 제어 방식에는 결정 기반 접근 제어(RBAC), 속성 기반 접근 제어(ABAC), 역할 기반 접근 제어(Role-Based Access Control, RBAC) 등이 있습니다.

 

결정 기반 접근 제어(RBAC): 사용자가 어떤 자원을 접근할 수 있는지 권한을 부여할 때, 그 사용자의 신분과 지위, 역할 등을 고려하여 확정된 규칙과 조건에 따라 결정하는 방식입니다.

속성 기반 접근 제어(ABAC): 접근 권한 부여 판단을 조건에 따라 결정하는 방식입니다. 자원, 사건, 속성, 규칙 등 다양한 조건을 고려하여 결정하므로 상황에 따라 자유로운 판단이 가능해집니다.

역할 기반 접근 제어(RBAC): 역할별로 권한을 할당하여, 사용자의 역할에 따라 자원에 접근 권한을 할당하는 방식입니다. 이 방식은 권한 부여의 유연성과 보안성을 높여줍니다.

 

이러한 접근 제어 방식들은 보안 시스템에서 매우 중요한 역할을 합니다. 하지만, 최신 보안기술발전에 따라 접근제어 기술도 무력화 될 수 있으므로 보완적으로 다른 방식들과 결합되어 보안성을 높일 필요가 있습니다.

 

접근 제어 기술의 원리는 무엇인가요?

접근 제어 기술의 원리에 대해서 설명드리겠습니다. 접근 제어 기술의 가장 기본적인 원리는 "인증(Authentication), 권한 부여(Authorization), 감사(Audit)"의 세 가지 요소가 있습니다.

 

인증: 사용자가 시스템에 접근하기 전에 자신의 신원을 증명하는 과정입니다. 비밀번호나 인증서, 생체 정보 등을 통해 사용자의 신원을 확인합니다.

권한 부여: 인증된 사용자에게 해당 리소스에 접근할 권한을 부여하는 것입니다. 권한 부여는 역할 기반으로 부여되며, 각 역할마다 특정 권한이 정해져 있습니다.

감사: 시스템 접근 기록과 사용자의 접근 실패 기록을 모두 기록하는 것입니다. 이 정보는 나중에 감사(Audit)를 위해 검토되며, 보안 위반에 대한 이력 관리와 추적을 할 수 있습니다.

 

또한 접근 제어 시스템은 아래와 같은 다양한 보안 기술을 사용하고 있습니다.

 

전자서명: 전자 서명 기술을 활용해 사용자의 신원을 확인하는 방법입니다. 개인키와 공개키를 이용해 인증 및 암호화를 진행합니다.

바이오 인증: 생체 정보(지문, 얼굴, 홍채 등)를 활용하여 사용자를 인증하는 방법입니다.

암호화: 데이터를 암호화하여 외부에서 정보를 탈취할 수 없도록 합니다.

역할 기반 접근 제어(RBAC): 역할에 따라 권한이 할당되는 방식으로 접근 권한을 보다 쉽게 관리할 수 있습니다.

2단계 인증: 아이디/비밀번호 외에 사용자가 보유한 물리적인 장치를 통해 추가적으로 인증을 수행합니다.

 

이러한 기술들을 함께 활용하여 다중으로 보안을 강화하는 것이 접근 제어 시스템의 핵심 원리입니다.

 

접근 제어 기술의 종류는?

접근 제어 기술의 종류는 크게 물리적인 제어와 논리적인 제어로 구분할 수 있습니다.

 

1. 물리적인 제어

• 잠금장치, 출입문, 경비원 등 물리적인 수단으로 접근을 제어하는 방법입니다.
• CCTV와 같은 보안 장비를 통해 감시하고 저장된 영상 정보를 분석해 보안성을 강화할 수 있습니다.

 

2. 논리적인 제어

• 아이디/비밀번호, 바이오 인증, 인증서 등 정보 기반의 수단으로 접근을 제어하는 방법입니다.
• 암호화 기술을 이용하여 데이터를 안전하게 전송할 수 있습니다.
• 역할 기반 접근 제어(RBAC), 액세스 기반 권한 부여(ABAC) 등의 방법을 활용하여 권한을 부여할 수 있습니다.

또한 최신 보안 기술인 기계 학습과 같은 기술을 활용하여 접근 기록을 분석하고, 전자 메일과 같은 채널을 통해 보안 메시지를 발송하는 시스템을 구축할 수도 있습니다. 이러한 방법들을 종합적으로 활용하여, 다중 보안 방식(Multi-Factor Authentication)으로 사용자를 인증하고, 권한 의결과 모니터링을 통해 공격에 대한 대처를 빠르게 할 수 있는 전략을 구성하는 것이 중요합니다.

 

접근 제어 시 어떤 보안 기술이 사용되고 있나요?

접근 제어 시 사용되는 다양한 보안 기술이 존재합니다.

 

2단계 인증: 아이디와 비밀번호 외의 인증 단계를 추가하여 보안성을 높이는 방법입니다. SMS 인증, OTP를 활용한 인증, 바이오 인증 등의 방식이 있습니다.

암호화: 데이터 전송 과정에서 암호화 기술을 사용하여 외부 침입으로부터 보호하는 방법입니다. 대표적으로 SSL, TLS, SSH 등이 있습니다.

바이오 인증: 생체 정보를 인식하여 사용자의 신원을 확인하는 방식으로, 지문 인식, 얼굴 인식, 홍채 인식 등이 있습니다.

역할 기반 접근 제어(RBAC): 사용자의 역할에 따라 접근 권한을 제한하는 방식입니다. 역할별로 권한을 부여하여 보안성을 높일 수 있습니다.

액세스 기반 권한 부여(ABAC): 접근 권한을 결정하는 규칙을 기반으로 접근 권한을 부여하는 방식입니다. 객체, 주체, 조건, 규칙 등의 속성을 기반으로 권한을 제한하는 방식입니다.

기계 학습: 사용자의 행동 패턴 등의 데이터를 분석하여 이상 징후를 파악하고 보안 장치를 강화하는 방식입니다.

중앙 집중식(IDaaS, Identity as a Service): 사용자 신원 관리 작업을 클라우드 서버에서 진행하는 방식입니다. 사용자 인증 및 권한 관리를 통제하기 용이하며, 엔드포인트의 보안성을 높일 수 있습니다.

 

위에 언급된 것 외에도 다양한 보안 기술들이 존재하며, 이러한 보안 기술들이 접근 제어 시에 다양하게 활용되고 있습니다.

 

접근 제어 시스템에서 발생하는 보안 위반 사례는 어떤 것이 있나요?

접근 제어 시스템에서 발생하는 보안 위반 사례는 다양하지만 대표적인 사례들은 아래와 같습니다.

 

비밀번호 도용: 사용자의 비밀번호가 탈취되어 다른 사용자가 접속한 사례입니다. 이 경우, 접근 권한을 부여받은 사용자가 일방적으로 유출한 것이 아니더라도 보안 공격에 노출될 수 있습니다.

인증서 위조: 인증서를 빼앗아 위조하거나, 인증기관을 해킹하여 인증서를 발급받은 경우입니다.

악성코드: 비밀번호를 훔치거나, 다른 사용자 계정으로 악의적인 접속을 하는 등 악성코드를 활용하여 공격하는 사례입니다.

개인정보 유출: 사용자의 정보나 시스템의 데이터가 노출될 경우가 있습니다. 이 경우, 이전 사용자의 정보를 재사용하거나, 시스템 보안을 악화시킬 가능성이 있습니다.

미 판올림 문제: 시스템의 취약점을 미리 찾아 해결하지 않았을 경우, 공격자가 이 취약점을 악용하는 등의 보안 위반 사례가 발생할 수 있습니다.

정치적, 경제적 이슈 및 기업간 블랙리스트: 특정 경제적, 정치적 이슈로 인해 당사자들 사이에 분쟁이 발생할 때, 다른 기업에서 해당 사용자를 요청하거나 계약을 중지하는 현상이 있을 수 있습니다. 또한, 이러한 경우 기업들이 유저 혹은 아이피를 블랙리스트에 추가할 수도 있습니다.

 

이러한 사례들은 사용자가 책임을 지지 않고, 개인 정보 및 보안이 노출될 수 있다는 것을 보여줍니다. 따라서, 접근 제어 시스템에 대한 사용자의 경각심이 필요합니다.

 

보안 위반 사례에 대한 예시는?

최근에 발생한 보안 위반 사례 예시는 다음과 같습니다.

 

• 2021년 5월 마이크로소프트 엑스체인서버 취약점: 마이크로소프트 엑스체인서버에 존재하던 0-day 취약점을 활용하여, 해커들이 피해기업에 대한 공격을 수행하는 사례가 발생하였습니다.
• 2021년 6월 미국 정부 기관보안 위반 사례: 미국 국가안보국(NSA)과 기타 정부 부서에서 이루어진 기관보안 위반 사례로, 해커들이 파괴적인 공격에 성공하여 민감한 정보가 공개될 우려가 있습니다.
• 2020년 카페24 개인정보 유출 사건: 국내 호스팅 업체인 카페24에서 개인정보 취급 관련 동의하지 않은 회원들의 개인정보가 유출된 사례입니다.
• 2019년 대한항공 회원 정보 유출 사건: 대한항공에서 10년 이상 주기적인 개인정보 업데이트를 제대로 하지 않아 고객정보가 해킹되는 사례가 발생하였습니다.
• 2017년 와너크루 해킹 사건: 미국의 엔터테인먼트 기업인 와너크루에서는 데이터 입/출력에 대한 보안 제한이 없었던 점을 이용하여, 일부 직원들의 계정으로 해커들이 접속하여 원작 내용을 빼앗는 사례가 발생하였습니다.

이러한 보안 위반 사례는 매우 심각하며, 민감한 정보를 보호하는 방법을 고민하고, 사용자들의 보안 교육과 보안 조치를 강화하는 것이 중요합니다.

 

보안 위반 사례 예방 방법은?

보안 위반 사례 예방 방법은 아래와 같습니다.

 

강력한 비밀번호 정책 관리: 복잡한 비밀번호 요구, 주기적인 비밀번호 변경, 재사용 및 거부되는 비밀번호 등의 정책을 준수하며, 시스템 보안용 비밀번호를 정기적으로 평가하는 것이 중요합니다.

2단계 인증 구현: 추가 인증이 가능하도록 2단계 인증 등 다른 인증 방식을 활용해 개발자들의 성질을 확인할 수 있습니다.

역할 기반 권한 관리 (RBAC): 사용자 및 로그인 권한에 대한 역할을 부여하여 권한 부여를 효율적으로 관리할 수 있습니다.

보안 교육: 회사 내외에서 보안 대책에 대해 직원들에게 교육하고 정보를 제공하는 것이 중요합니다.(보안 교육은 쉽게 까먹기 때문에 주기적인 교육이 필요합니다.)

시스템 업데이트: 시스템을 최신 버전으로 업데이트하고, 보안 패치를 제대로 설치하는 것이 중요합니다.

취약점 테스트: 취약점 테스트를 통해 시스템에 대한 보안을 평가하고, 상시 모니터링을 통해 보안을 강화할 수 있습니다.

접근 제어 로깅: 접근 제어 로깅을 통해 사용자의 접근 이력을 모니터링하고, 실시간으로 보안 관리를 강화할 수 있습니다.

보안 관제: 세부 사항, 대응 시간, 파일 수집 등의 프로세스를 포함한 보안 관제를 구축하여 시스템에 지속적으로 대처할 수 있습니다.

보안 솔루션 적용: 보안 솔루션을 적용하여 수동 보안 검사 대신 실시간으로 보안을 분석하고 대응할 수 있습니다.

 

이러한 방법들을 종합적으로 활용하여, 시스템에 접근할 때 발생할 수 있는 보안 위반 사례를 예방하고, 업계 표준 수준을 따르며, 모든 사용자들이 보안에 대한 책임을 지고 사용할 수 있는 안전하고 확실한 시스템을 구축하는 것이 중요합니다.

 

보안 위반 대응 방안은?

보안 위반 대응 방안은 다음과 같습니다.

 

즉각적인 조치: 보안 위반 사례가 발생하면 즉시 대응해서 문제가 있는 계정을 차단하거나, 직원들에게 메시지를 보내 알림을 제공하는 등의 조치가 필요합니다.

보안 통보: 시스템에 대한 보안 계획을 제공하여 사용자에게 보안 위반 사례에 대해 빠른 경고를 할 수 있습니다.

보안 조사: 보안 조사를 실시하여 확실한 결론을 내리고, 보안 위반 사례가 발생한 방법, 접근 기록, 정보 노출 범위, 의도 등을 분석합니다.

보안 강화: 보안 위반 사례에 대한 보완 조치를 즉시 시행하고, 앞으로 보안 위반 사례가 발생하지 않도록 보안 강화를 실시해야 합니다.

대처 전략 수정: 보안 위반 사례를 시행하기 위한 대처 전략이 실시됩니다. 이를 수정하면 효과적으로 보안 문제를 해결할 수 있습니다.

산업 규제 준수: 산업의 보안 규정을 준수함으로써 보안 위반 사례를 방지할 수 있습니다.

보안 복구: 보안 위반 사례가 발생하면 복구를 할 필요가 있습니다. 중요한 정보 원래대로 복구하는 것은 물론, 원래대로 복구를 하는 것도 중요합니다.

공개적인 트랜스페어런시: 보안 위반 사례가 발생하면 이를 공개적으로 말하는 것도 중요합니다. 이를 통해, 믿을 수 있는 기업으로 인정받고, 더욱 안전하고 투명한 시스템을 구축할 수 있습니다.

디지털 포렌식: 보안 위반 사례가 발생한 경우, 디지털 포렌식 전문가를 이용하여 발생 원인 및 증거를 분석할 수 있으며, 법적인 대응 수단으로 활용할 수 있습니다.

 

이러한 방법들을 종합적으로 활용하여, 보안 위반 사례가 발생했을 때 빠르게 대처할 수 있고, 비용과 시간을 절약할 수 있는 전략을 구성하는 것이 중요합니다.

 

요약정리