13강 Section 08 접근통제 개요
★접근통제 개요
1. 접근통제(접근제어, Access Control)
- 비인가된 사용자의 정보자원 사용 방지
- 인가 된 사용자가 비인가된 방식으로 정보 자산 접근 행위 방지
- 인가 된 사용자가 인가 된 방식으로 정보 자산을 실수 혹은 의도적으로 잘못 접근하여 정보 자산 훼손하는 행위 방지
주요 용어
- 주체(Subject) : 객체에 접근을 요청하는 능동적인 개체
- 객체(Object) : 접근 대상이 될 수동적인 개체
- 접근(Access) : 주체와 객체 사이의 정보 흐름
2. 접근통제 절차 X5
- 접근통제 절차는 식별(공개정보) → 인증(사설정보) → 인가(권한부여)
- 식별 : 식별자는 각 개인의 신원을 나타내기 때문에 사용자의 "책임추적성" 분석에 중요한 자료가 됨(계정)
- 인증 : 주체의 신원을 검증하기 위한 사용 증명(verify, prove) (패스워드,PIN,Token..)
- 인가 : 인증 된 주체에게 접근을 허용 및 특정업무를 수행할 권리를 부여하는 과정(ACL)
알 필요성/최소권한
3. 접근통제 요구사항 X3
- 입력의 신뢰성 : 접근제어는 시스템이 요구하는 수준의 보안 서비스를 제공하는데 충분한 사용자 인증 기능이 전단에 존재함을 전제로 한다.
- 최소 권한 부여 : : 사용자가 의도적으로 또는 실수로 자원에 대해 입힐 수 이쓴 손상을 최소화하기 위해 중요한 요구사항이다.
- 직무 분리 : 한 사람에 의해 처리될 수 없게 하는 보안 정책(보안/감사, 개발/운영, 암호키 관리/암호키 변경)
2명 이상이 공모할 수 있지만 직무 순환을 통해 깰 수 있음
★ 인증
1. 메시지 인증
- 기본 개념 : 메시지의 이상 유무를 확인할 수 있는 기능으로 전송 중 발생할 수 있는 메시지 내용 변경, 메시지 순서 변경, 메시지 삭제 여부를 확인하는 기능
- 메시지 인증방식은 메시지 암호화 방식(관용암호방식(대칭키)/공개키 암호방식), MAC방식, Hash 함수 방식 존재
2. 사용자 인증
- Client A가 Server B와 협조해 자신이 A임을 증명할 수 있으나 제 3자 C는 A처럼 가장할 수 없는 경우를 사용자 인증이라고함
Tip 개인식별
- Client A가 Server B와 협조해 자신이 A임을 증명할 수 있으나 제 3자 C가 A로 가장하거나 사용자 B가 다른 제 3자 D에게 사용자 A로 가장 할 수 없는 경우
2. 사용자 인증의 유형
| 유형 | 설명 | 예 |
| Type 1(지식) | 주체가 알고있는 것(Know) | PW, PIN |
| Type 2(소유) | 주체가 가지고 있는 것(Have) | Token, Card |
| Type 3(존재) | 본인을 나타내는 것(Are) | 지문, 홍체 |
| Type 3(행위) | 본인이 하는 것(Do) | 서명 |
| Two Factor | 2가지 Type (단 Type이 달라야함) | PIN + Token |
| Two Channel | 2가지 Type (단 Type 동일) | PW + PIN |
| Multi Factor | 가장 강한 인증으로 3가지 이상 인증 | Token + PIN + 지문 |