본문 바로가기
정보보안(산업)기사

[정보보안기사] 3.접근통제 - DAC(Discretionary Access Control, 임의 접근 제어)

by 다니엘(Daniel) 2023. 11. 7.
반응형

 

 

DAC(Discretionary Access Control,임의 접근 제어)은 무엇인가요?


DAC(Discretionary Access Control, 임의 접근 제어)은 컴퓨터 시스템에서 사용자가 자원에 대한 접근 권한을 결정할 수 있는 접근 제어 메커니즘입니다. 이는 사용자가 자신이 소유한 자원에 대한 접근 권한을 설정하고 제어할 수 있는 시스템을 의미합니다.
DAC은 보안 모델 중 하나로, 자원에 대한 접근 권한을 소유자가 임의로 설정할 수 있기 때문에 "임의 접근 제어"라고 불립니다. 이는 소유자가 자원에 대한 접근 권한을 다른 사용자에게 부여하거나 제한하는 데에 자유롭게 권한을 설정할 수 있다는 것을 의미합니다.
DAC에서는 사용자, 파일, 디렉토리 등 모든 자원에 대해 액세스 권한이 정의됩니다. 일반적으로 액세스 권한은 읽기, 쓰기, 실행 등의 형태로 구성되며, 사용자는 자신이 소유한 자원에 대해 액세스 권한을 설정하고 변경할 수 있습니다.
하지만 DAC은 한계가 있습니다. 예를 들어, 소유자가 다른 사용자에게 자원에 대한 액세스 권한을 부여한 경우, 이 사용자는 그 자원에 대한 액세스 권한을 가질 수 있게 됩니다. 이는 소유자가 자원을 공유하고자 할 때는 편리하지만, 보안상의 위험을 야기할 수도 있습니다.
따라서 DAC은 사용자가 자원에 대한 접근 권한을 자유롭게 설정할 수 있는 장점이 있지만, 보안적인 측면에서는 제한이 있을 수 있습니다. 이러한 이유로 DAC은 다른 보안 메커니즘과 함께 사용되어 보안을 강화하는데에 활용됩니다.

 

 

DAC(Discretionary Access Control)은 어떻게 작동하나요?


DAC(Discretionary Access Control)은 다음과 같은 방식으로 작동합니다.

1. 소유자에게 권한 부여: DAC에서는 자원(파일, 디렉토리 등)의 소유자가 자원에 대한 액세스 권한을 설정합니다. 소유자는 자원에 대한 읽기, 쓰기, 실행 등의 권한을 부여할 수 있습니다.
2. 액세스 권한 설정: 소유자는 자원에 대한 액세스 권한을 다른 사용자에게 부여하거나 제한할 수 있습니다. 일반적으로 액세스 권한은 읽기, 쓰기, 실행 등의 형태로 구분됩니다.
3. 액세스 권한 검사: 사용자가 자원에 접근하려 할 때 시스템은 해당 사용자의 액세스 권한을 검사합니다. 이를 통해 사용자가 자원에 접근할 수 있는지 여부를 결정합니다.
4. 액세스 허용 또는 거부: 액세스 권한 검사 후, 시스템은 사용자의 액세스 요청을 허용하거나 거부합니다. 액세스 권한이 있는 경우에는 사용자가 자원에 접근할 수 있고, 액세스 권한이 없는 경우에는 접근이 거부됩니다.

이러한 방식으로 DAC은 소유자가 자원에 대한 액세스 권한을 설정하고, 해당 액세스 권한을 기반으로 사용자의 접근을 허용하거나 거부합니다. 이는 사용자가 자신이 소유한 자원에 대한 접근을 제어할 수 있게 해주는 메커니즘입니다.

 

DAC(Discretionary Access Control)을 사용하는 이유는 무엇인가요?


DAC(Discretionary Access Control)을 사용하는 이유는 다음과 같습니다:

1. 소유자의 권한 부여: DAC은 자원의 소유자에게 자원에 대한 액세스 권한을 부여하는 방식으로 작동합니다. 이는 소유자가 자신이 소유한 자원에 대한 접근을 제어하고, 필요에 따라 다른 사용자와 액세스 권한을 공유할 수 있게 합니다.
2. 유연한 접근 제어: DAC은 사용자가 자원에 대한 액세스 권한을 자유롭게 설정할 수 있는 접근 제어 메커니즘입니다. 이는 소유자가 자원에 대한 접근 권한을 다른 사용자에게 부여하거나 제한할 수 있다는 것을 의미합니다. 이는 조직 내에서 협업이나 정보 공유를 용이하게 만들어줍니다.
3. 사용자의 책임 부여: DAC은 사용자에게 자원에 대한 접근 권한을 결정할 책임을 부여합니다. 각 사용자는 자신이 소유한 자원에 대한 액세스 권한을 설정하고 관리할 수 있습니다. 이는 사용자에게 자원에 대한 책임과 관리 권한을 부여하여 보안을 강화하는 데 도움을 줍니다.
4. 보안 요구 사항 충족: DAC은 자원에 대한 액세스 권한을 세밀하게 제어할 수 있는 메커니즘으로, 보안 요구 사항을 충족시킬 수 있습니다. 소유자는 자원에 대한 액세스 권한을 필요에 따라 조정하여 민감한 정보나 중요한 자원의 보안을 강화할 수 있습니다.
5. 기존 시스템 호환성: DAC는은오래된 시스템에서 널리 사용되는 접근 제어 메커니즘입니다. 많은 운영 체제와 파일 시스템이 DAC을 지원하고 있으며, 기존 시스템과의 호환성을 유지하면서 보안을 강화할 수 있습니다.

이러한 이유로 DAC은 사용자의 접근 제어와 보안 요구 사항을 충족시키는 데에 유용하게 사용됩니다. 그러나 DAC은 다른 접근 제어 메커니즘과 함께 사용되어 전체적인 보안 체계를 구축하는 것이 좋습니다.

 

DAC과 MAC의 차이점은 무엇인가요?


DAC(Discretionary Access Control, 임의 접근 제어)과 MAC(Mandatory Access Control, 강제 접근 제어)의 주요 차이점은 다음과 같습니다.

1. 권한 부여 방식: DAC은 자원의 소유자에 의해 액세스 권한이 결정됩니다. 즉, 소유자가 자원에 대한 액세스 권한을 임의로 설정할 수 있습니다. 반면에 MAC은 중앙 집중식 보안 정책에 따라 액세스 권한이 부여되며, 일반적으로 보안 관리자나 시스템 관리자가 정책을 설정합니다.
2. 접근 권한의 변경 가능성: DAC에서는 소유자나 관리자가 액세스 권한을 변경할 수 있습니다. 소유자는 자신의 자원에 대한 액세스 권한을 부여하거나 제한할 수 있습니다. MAC에서는 액세스 권한은 중앙 관리 정책에 따라 정의되며, 보안 관리자나 시스템 관리자만이 정책을 변경할 수 있습니다.
3. 보안 수준: DAC은 접근 권한을 설정하는 주체에게 권한이 부여되므로, 소유자가 잘못된 액세스 권한을 설정할 수도 있습니다. MAC은 중앙 집중식으로 보안 정책을 관리하기 때문에 일반적으로 더 강력한 보안 수준을 제공할 수 있습니다.
4. 유연성: DAC은 사용자가 자원에 대한 액세스 권한을 자유롭게 설정하고 변경할 수 있는 유연성을 제공합니다. MAC은 중앙에서 정의된 보안 정책에 따라 액세스 권한이 부여되기 때문에 상대적으로 제한적인 유연성을 가집니다.
5. 다중 수준 보안: MAC은 다중 수준 보안을 구현하기에 적합합니다. 다중 수준 보안은 보안 등급이나 민감도에 따라 액세스를 제어하는 것을 의미합니다. 반면에 DAC은 단일 수준 보안에 더 적합하며, 일반적으로 개인 컴퓨터나 소규모 환경에서 사용됩니다.

이러한 차이점으로 인해 DAC와 MAC은 서로 다른 접근 제어 메커니즘을 나타내며, 보안 요구 사항과 환경에 따라 선택되고 구현됩니다. 일반적으로 기업이나 정부 기관과 같은 보안 요구 사항이 높은 환경에서는 MAC이 선호되는 경향이 있습니다.

 

 

DAC(Discretionary Access Control)을 사용하는 대표적인 예시는 무엇인가요?



DAC(Discretionary Access Control, 임의 접근 제어)를 사용하는 대표적인 예시는 다음과 같습니다:

1. 개인 컴퓨터: 개인 컴퓨터에서 파일과 폴더에 대한 액세스 제어를 DAC를 통해 수행할 수 있습니다. 사용자는 자신이 소유한 파일과 폴더에 대한 액세스 권한을 설정하고, 필요에 따라 다른 사용자와 액세스 권한을 공유할 수 있습니다.
2. 파일 공유 서버: 파일 공유 서버에서도 DAC를 사용하여 사용자에게 파일에 대한 액세스 권한을 부여하고 제한할 수 있습니다. 소유자는 공유 폴더나 파일에 대한 액세스 권한을 설정하고, 다른 사용자에게 읽기 또는 쓰기 권한을 부여할 수 있습니다.
3. 웹 서비스: 웹 서비스에서도 DAC를 활용하여 사용자에게 특정 페이지, 기능 또는 리소스에 대한 액세스 권한을 부여할 수 있습니다. 관리자는 사용자의 역할이나 그룹에 따라 액세스 권한을 설정하고, 사용자는 자신이 속한 역할에 따라 웹 서비스의 기능을 이용할 수 있습니다.
4. 데이터베이스: 데이터베이스 시스템에서도 DAC를 사용하여 사용자에게 데이터에 대한 액세스 권한을 부여합니다. 데이터베이스 관리자는 테이블, 열 또는 행에 대한 액세스 권한을 설정하고, 사용자는 자신이 속한 그룹이나 역할에 따라 데이터를 조회, 수정, 삭제할 수 있습니다.
5. 운영 체제: 운영 체제에서도 DAC를 사용하여 사용자에게 시스템 자원에 대한 액세스 권한을 부여합니다. 사용자는 자신이 소유한 파일, 디렉토리 또는 프로세스에 대한 액세스 권한을 설정하고, 필요에 따라 다른 사용자에게 권한을 부여할 수 있습니다.

이러한 예시에서 DAC은 사용자가 자원에 대한 액세스 권한을 설정하고 제어할 수 있도록 도와줍니다. 그러나 이는 단일 수준 보안을 가정하고 있으며, 보안 요구 사항에 따라 추가적인 보안 메커니즘과 함께 사용될 수 있습니다.

 

 

요약정리

 

 

 

반응형