서버 인증 및 서버 접근 통제

서버 인증

사용자 인증 기법

지식 기반 인증(Knowledge-based Authentication)

• 사용자가 기억하고 있는 지식을 기초로 접근 제어를 수행하는 사용자 인증 기법
• 아이디, 패스워드, PIN(Personal Identification Number) 번호 등

소유 기반 인증(Authentication by what the entity has)

• 사용자가 소유하고 있는 인증 토큰을 기반으로 하는 사용자 인증 기법
• 지식 기반 인증 기법보다 보안성이 높음
• 건물 출입 시 사용되는 스마트 카드, 인터넷 뱅킹 시 사용되는 OTP(One Time Password) 단말, 공인인증서 등

생체 기반 인증

• 사람의 정적인 신체적 특성 또는 동적인 행위적 특성을 이용하는 사용자 인증 기법
• 지문 인식, 홍채 인식, 정맥 인식, 음성 인식 등이 해당됨
• 일관성, 영속성, 정량성, 보편성 등

 

서버 접근 통제

접근 통제(Access Control)의 개념

• 시스템의 자원 이용에 대한 불법적인 접근을 방지하는 과정
• 크래커(Cracker)의 침입으로부터 보호함
• 종류 : 강제적 접근 통제, 임의적 접근 통제, 역할 기반 접근 통제

접근 통제 요소

• 식별 : 인증 서비스에 스스로를 확인시키기 위하여 정보를 공급하는 주체의 활동
• 인증 : 주체의 신원을 검증하기 위한 사용자 증명의 두 번째 부분
• 인가 : 인증을 통해 식별된 주체의 실제 접근 가능 여부와 주체가 수행 가능한 일을 결정하는 과정

대표적 접근 통제 모델

• 벨라파듈라 모델(BLP : Bell-LaPadula Confidentiality Model) : 군대의 보안 레벨처럼 정보의 기밀성에 따라 상하 관계가 구분된 정보를 보호하기 위해 사용하며, 자신의 권한보다 낮은 보안 레벨 권한을 가진 경우에는 높은 보안 레벨의 문서를 읽을 수 없고 자신의 권한보다 낮은 수준의 문서만을 읽을 수 있음
• SSO(Single Sign-On) : 스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 얻는 시스템
• Biba Integrity Model : 무결성을 위한 최초의 상업적 모델(BLP를 보완, MAC). 무결성 목표 중 비인가자에 의한 데이터 변형 방지만 취급함(변조 방지를 목적으로 함).
• CWM(Clark-Wilson Integrity Model) : 무결성 중심의 상업적 모델로 사용자가 직접 객체에 접근할 수 없고 프로그램을 통해서만 객체에 접근할 수 있게 하는 보안 모델. 무결성의 3가지 목표를 모델을 통해서 각각 제시함

 

강제적 접근 통제(MAC, Mandatory Access Control)

• 중앙에서 정보를 수집하고 분류하여 보안 레벨을 결정하고 정책적으로 접근 제어를 수행하는 방식으로 다단계 보안 모델이라고도 함
• 어떤 주체가 특정 개체에 접근하려 할 떄 양쪽의 보안 레이블(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 하는 접근 제어 방법
• 대표적 접근 통제 모델로 BLP(Bell-Lapadula), Biba, Clark-Wilson, 만리장성 모델 등이 있음

 

임의적 접근 통제(DAC, Discretionary Access Control)

• 정보의 소유자가 보안 레벨을 결정하고 이에 대한 정보의 접근 제어를 설정하는 방식
• 주체 또는 소속 그룹의 아이디(ID)에 근거하여 객체에 대한 접근 제한을 설정함
• 객체별로 세분화된 접근 제어가 가능하며 유연한 접근 제어 서비스를 제공할 수 있음
• 다양한 환경에서 폭넓게 사용되고 있음
• 대표적 모델로는 접근 제어 행렬, 자격 목록, 접근 제어 목록 등이 있음

 

역할 기반 접근 통제(RBAC, Role Based Access Control)

• 사람이 아닌 직책에 대해 권한을 부여함으로써 효율적인 권한 관리가 가능함
• 접근 권한은 직무에 허용된 연산을 기준으로 허용함으로 조직의 기능 변화에 따른 관리적 업무의 효율성을 높일 수 있음

 

MAC vs DAC vs RBAC

정책	MAC	DAC	RBAC
권한 부여	시스템	데이터 소유자	중앙 관리자
접근 결정	보안 등급(Label)	신분(Identity)	역할(Role)
정책 변경	고정적(변경 어려움)	변경 용이	변경 용이
장점	안정적 중앙 집중적	구현 용이 유연함	관리 용이

 

보안 아키텍처

보안 아키텍처(Security Architecture)의 개념

• 보안 설계 감독을 위한 원칙과 보안 시스템의 모든 양상에 대한 세부 사항을 의미함
• 보안 요구사항을 충족시키는 시스템 구성 방법에 대한 세부 사항
• 정보 자산의 기밀성, 무결성 및 가용성을 높이기 위한 보안 영역의 구성 요소와 관계에 대한 세부 사항

 

보안 프레임워크

보안 프레임워크(Security Framework)의 개념

• 정보의 기밀성, 무결성 및 가용성을 높이기 위한 정보 보안 시스템의 기본이 되는 뼈대
• 보안 프레임워크는 기술적 보안, 관리적 보안, 물리적 보안 프레임워크로 나눠짐