DAC(Discretionary Access Control)는 데이터 또는 리소스의 소유자가 결정한 액세스 정책을 제공하는 일종의 액세스 제어 시스템입니다. 소유자는 다른 사용자나 프로세스에 대한 액세스를 허용하거나 거부할 재량권을 갖습니다.
임의 액세스 제어의 창시와 진화
임의 액세스 제어의 개념은 공유 컴퓨팅 시스템의 초창기, 특히 1960년대에 개발된 Multics(Multiplexed Information and Computing Service) 시스템으로 거슬러 올라갑니다. Multics 시스템에는 기본적인 형태의 DAC가 포함되어 있었는데, 이는 나중에 현대 출입 통제 시스템의 영감이 되었습니다. DAC는 1980년대 미국 국방부가 DAC를 포함한 여러 수준의 보안 통제를 정의한 "오렌지 북"을 발표하면서 공식화된 개념이 되었습니다.
임의 접근 제어에 대한 이해 확대
임의 액세스 제어는 임의 권한 원칙을 기반으로 합니다. 이는 데이터나 리소스를 소유한 개인이나 법인이 해당 데이터나 리소스에 액세스할 수 있는 사람을 결정할 권한이 있음을 의미합니다. 이 제어는 읽기 및 쓰기 권한 모두로 확장될 수 있습니다. DAC에서는 사용자 또는 사용자 그룹이 특정 리소스에 대해 갖는 액세스 종류를 지정하는 ACL(액세스 제어 목록)이 유지 관리됩니다.
임의적 접근통제의 내부 구조와 기능
DAC 모델은 주로 ACL(액세스 제어 목록)과 기능 테이블이라는 두 가지 주요 구성 요소에 의존합니다. ACL은 각 리소스 또는 개체와 연결되어 있으며 부여된 권한과 함께 주체(사용자 또는 프로세스) 목록을 포함합니다. 반면, 능력 테이블은 특정 주체가 접근할 수 있는 객체 목록을 유지합니다.
액세스 요청이 이루어지면 DAC 시스템은 ACL 또는 기능 테이블을 확인하여 요청자가 리소스에 액세스할 수 있는지 확인합니다. ACL 또는 기능 테이블이 액세스 권한을 부여하면 요청이 승인됩니다. 그렇지 않으면 거부됩니다.
임의 접근 제어의 주요 특징
- 소유자 결정 액세스: 데이터 또는 리소스의 소유자가 이에 액세스할 수 있는 사람을 결정합니다.
- 액세스 제어 목록: ACL은 각 사용자 또는 사용자 그룹이 갖는 액세스 종류를 결정합니다.
- 능력 테이블: 이 표에는 사용자 또는 사용자 그룹이 액세스할 수 있는 리소스가 나열되어 있습니다.
- 유연성: 소유자는 필요에 따라 권한을 쉽게 변경할 수 있습니다.
- 전이적 액세스 제어: 사용자가 리소스에 대한 액세스 권한을 갖고 있는 경우 잠재적으로 다른 사용자에게 액세스 권한을 부여할 수 있습니다.
임의 접근 제어 유형
DAC는 다양한 방식으로 구현될 수 있지만 가장 일반적인 두 가지 접근 방식은 ACL과 기능 목록입니다.
| 접근하다 | 설명 |
|---|---|
| ACL(액세스 제어 목록) | ACL은 객체(예: 파일)에 연결되어 있으며 객체에 액세스할 수 있는 사용자와 객체에 대해 수행할 수 있는 작업을 지정합니다. |
| 기능 목록 | 기능 목록은 사용자와 연결되어 있으며 사용자가 액세스할 수 있는 개체와 해당 개체에 대해 수행할 수 있는 작업을 지정합니다. |
임의 접근 제어의 적용, 과제 및 솔루션
DAC는 Windows 및 UNIX와 같은 대부분의 운영 체제 및 파일 시스템에서 널리 사용되므로 사용자는 선택한 개인 또는 그룹과 파일 및 리소스를 공유할 수 있습니다.
DAC의 주요 과제 중 하나는 프로그램이 의도치 않게 액세스 권한을 유출할 수 있는 "대리인 혼란 문제"입니다. 예를 들어, 사용자는 더 많은 액세스 권한을 가진 프로그램을 속여 사용자를 대신하여 작업을 수행할 수 있습니다. 이 문제는 신중한 프로그래밍과 시스템 권한의 적절한 사용으로 완화될 수 있습니다.
또 다른 문제는 리소스에 대한 액세스 권한이 있는 사용자가 잠재적으로 다른 사람에게 해당 액세스 권한을 부여할 수 있기 때문에 액세스 권한이 통제되지 않고 신속하게 전파될 가능성이 있다는 것입니다. 이는 적절한 교육과 훈련은 물론 이러한 전파를 제한하는 시스템 수준 제어를 통해 해결될 수 있습니다.
임의적 접근 통제와 유사 용어 비교
| 용어 | 설명 |
|---|---|
| 임의 액세스 제어(DAC) | 소유자는 자신의 데이터와 리소스를 완전히 통제할 수 있습니다. |
| 강제 액세스 제어(MAC) | 중앙 집중식 정책은 분류 수준에 따라 액세스를 제한합니다. |
| 역할 기반 액세스 제어(RBAC) | 액세스는 조직 내 사용자의 역할에 따라 결정됩니다. |
DAC의 미래는 클라우드 기반 플랫폼과 사물 인터넷(IoT) 장치의 인기가 높아짐에 따라 진화할 가능성이 높습니다. 권한에 대한 보다 세부적인 제어를 제공하는 세분화된 액세스 제어가 더욱 보편화될 것으로 예상됩니다. 또한 기계 학습 및 AI 기술이 발전함에 따라 변화하는 액세스 요구 사항을 학습하고 이에 적응할 수 있는 DAC 시스템을 볼 수 있습니다.
프록시 서버 및 임의 액세스 제어
프록시 서버는 DAC 원칙을 사용하여 웹 리소스에 대한 액세스를 제어할 수 있습니다. 예를 들어, 회사는 특정 웹사이트나 웹 기반 서비스에 대한 액세스를 허용하기 전에 사용자의 신원과 역할을 확인하는 프록시 서버를 설정할 수 있습니다. 이를 통해 승인된 직원만 특정 온라인 리소스에 액세스할 수 있도록 하여 추가적인 보안 계층을 제공합니다.
관련된 링크들
- 컴퓨터 보안: 예술과 과학 작성자: Matt Bishop: 액세스 제어를 포함한 컴퓨터 보안에 대한 포괄적인 리소스입니다.
- 임의 액세스 제어 이해 및 사용: DAC를 자세히 살펴보는 CSO의 기사입니다.
- NIST 특별 간행물 800-12: 미국 국립표준기술연구소(National Institute of Standards and Technology)의 DAC에 대한 논의를 포함한 컴퓨터 보안 가이드입니다.
- 액세스 제어 모델: O'Reilly Media의 다양한 접근 통제 모델에 대한 자세한 가이드입니다.
- DAC, MAC 및 RBAC: DAC, MAC 및 RBAC 모델을 비교하는 과학 기사입니다.
