액세스 제어란? | 권한 부여와 인증

액세스 제어는 제한된 위치 또는 제한된 정보에 대한 액세스 권한이 부여된 사람을 결정하기 위해 설계된 일련의 규칙입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 액세스 제어의 정의
  • 물리적 액세스 제어와 정보 액세스 제어의 구분
  • VPN과 Zero Trust 보안 솔루션의 차이점 설명

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

액세스 제어란 무엇인가요?

액세스 제어

액세스 제어는 정보, 도구, 물리적 위치에 대한 액세스를 제한하기 위한 일련의 정책을 지칭하는 데 사용되는 보안 용어입니다.

물리적 액세스 제어란?

이 글에서는 정보 액세스 제어에 중점을 두고 있지만, 물리적 액세스 제어는 전반적인 개념을 이해하는 데 유용한 비교입니다.

물리적 액세스 제어는 누구에게 물리적 위치에 대한 액세스 권한이 부여되는지를 제어하기 위한 일련의 정책입니다. 물리적 액세스 제어의 실제 예는 다음과 같습니다.

  • 술집 경비원
  • 지하철 개찰구
  • 공항 세관 직원
  • 기업 사무실의 키카드 또는 배지 스캐너

이 모든 예에서 사람이나 장치는 제한된 물리적 위치에 액세스할 수 있는 사람을 결정하기 위한 일련의 정책을 따릅니다. 예를 들어, 호텔 키 카드 스캐너는 호텔 키가 있는 승인된 손님에게만 액세스 권한을 부여합니다.

정보 액세스 제어란?

정보 액세스 제어는 데이터 및 해당 데이터를 조작하는 데 사용되는 소프트웨어에 대한 액세스를 제한합니다. 예에는 다음이 포함됩니다.

  • 비밀번를 사용하여 노트북에 로그인
  • 지문 스캔으로 스마트폰 잠금 해제
  • VPN을 사용하여 고용주의 내부 네트워크에 원격으로 액세스

이러한 모든 경우에 소프트웨어는 디지털 정보에 액세스해야 하는 사용자를 인증하고 권한을 부여하는 데 사용됩니다.인증 및 권한 부여는 정보 액세스 제어의 필수 구성 요소입니다.

인증과 권한 부여의 차이점은?

인증은 자신이 누구인지 확인하는 보안 방식이고 권한 부여는 각 사용자에게 부여된 액세스 수준을 결정하는 프로세스입니다.

예를 들어, 호텔에 체크인하는 여행자를 생각해 보세요. 프론트 데스크에서 등록할 때 예약자 이름이 본인임을 확인하기 위해 여권을 제시해야 합니다. 이는 인증의 예입니다.

호텔 직원이 게스트를 인증하면 게스트는 제한된 권한이 있는 키 카드를 받습니다. 이는 권한 부여의 예입니다. 손님의 키 카드로는 방, 손님용 엘리베이터, 수영장에 액세스할 수 있지만, 다른 손님의 방이나 서비스 엘리베이터는 이용할 수 없습니다. 반면에 호텔 직원은 손님보다 호텔의 더 많은 영역에 액세스할 수 있습니다.

컴퓨터 및 네트워킹 시스템에도 유사한 인증 및 권한 부여 제어 기능이 있습니다. 사용자가 이메일이나 온라인 뱅킹 계정에 로그인할 때는 자신만 알고 있어야 하는 로그인 및 비밀번호 조합을 사용합니다. 소프트웨어는 이 정보를 사용하여 사용자를 인증합니다. 일부 애플리케이션에는 다른 애플리케이션보다 훨씬 더 엄격한 인증 요구 사항이 있습니다. 일부는 비밀번호로 충분하지만, 나머지는 2단계 인증, 지문이나 얼굴 ID 스캔 등의 생체 인증이 필요할 수 있습니다.

인증된 사용자는 액세스 권한이 있는 정보만 볼 수 있습니다. 온라인 뱅킹 계좌의 경우 이용자는 자신의 개인 뱅킹 계좌와 관련된 정보만 볼 수 있습니다. 한편, 은행의 펀드 매니저는 동일한 애플리케이션에 로그인하여 은행의 전체 금융 지주사에 대한 데이터를 볼 수 있습니다. 은행은 아주 중요한 개인 정보를 취급하기 때문에 아무도 데이터에 무제한으로 액세스할 수 없습니다. 은행장이나 보안 책임자조차도 개별 고객의 전체 데이터에 액세스하려면 보안 프로토콜을 통과해야 할 수 있습니다.

액세스 제어의 기본 유형은?

인증 프로세스가 완료된 후 다음과 같은 여러 방법 중 하나로 사용자 권한이 결정될 수 있습니다.

필수 액세스 제어(MAC): 필수 액세스 제어로는 개별 사용자와 액세스가 허용된 리소스, 시스템, 데이터에 대한 엄격한 보안 정책이 설정됩니다.이러한 정책은 관리자가 제어합니다. 개별 사용자에게는 기존 정책과 모순되는 방식으로 권한을 설정, 변경, 취소할 수 있는 권한은 부여되지 않습니다.

이 시스템에서는 주체(사용자)와 객체(데이터, 시스템, 기타 리소스)는 서로 상호 작용하기 위해 유사한 보안 속성을 할당받아야 합니다. 이전 예시로 돌아가서 은행장이 고객 데이터 파일에 액세스하려면 올바른 보안 허가가 필요할 뿐만 아니라 시스템 관리자가 사장이 이러한 파일을 보고 변경할 수 있도록 지정해야 합니다. 이 프로세스는 중복되는 것처럼 보일 수 있지만, 이 프로세스 덕분에 사용자가 특정 데이터 또는 리소스에 대한 액세스 권한을 얻는 것만으로는 무단 작업을 수행할 수 없게 됩니다.

역할 기반 액세스 제어(RBAC): 역할 기반 액세스 제어는 그룹(은행 직원과 같이 정의된 사용자 집합) 및 역할(은행 창구 직원이나 지점 관리자가 수행할 수 있는 작업과 같이 정의된 작업 집합)을 기반으로 권한을 설정합니다.개인은 자신의 역할에 할당된 모든 작업을 수행할 수 있으며 필요에 따라 여러 역할이 할당될 수 있습니다.MAC과 마찬가지로 사용자는 자신의 역할에 할당된 액세스 제어 수준을 변경할 수 없습니다.

예를 들어, 은행 창구 역할이 주어진 은행 직원은 계좌 거래를 처리하고 새 고객 계좌를 개설할 권한을 부여받을 수 있습니다. 반면 지점 관리자는 계정 거래를 처리하고, 고객 계정을 개설하며, 은행 창구 역할을 신입 직원에게 할당하는 등의 권한이 부여되는 여러 역할을 맡을 수 있습니다.

임의의 액세스 제어(DAC): 사용자에게 개체에 대한 액세스 권한이 부여되면(일반적으로 시스템 관리자에 의해 또는 기존 액세스 제어 목록을 통해) 필요에 따라 다른 사용자에게 액세스 권한을 부여할 수 있습니다.그러나 사용자가 시스템 관리자의 엄격한 감독 없이 보안 설정을 결정하고 권한을 공유할 수 있으므로 보안 취약점이 생길 수 있습니다.

조직에 가장 적합한 사용자 권한 부여 방법을 평가할 때는 보안 요구 사항을 고려해야 합니다. 일반적으로 높은 수준의 데이터 기밀성을 필요로 하는 조직(예: 정부 기관, 은행 등)에서는 MAC과 같은 보다 엄격한 형식의 액세스 제어를 선택하는 반면, 더 많은 유연성과 사용자 또는 역할 기반 권한을 선호하는 조직에서는 RBAC 및 DAC 시스템을 선호하는 경향이 있습니다.

액세스 제어를 구현하는 방법에는 어떤 것이 있을까요?

정보 액세스 제어에 널리 사용되는 도구는 가상 사설망(VPN)입니다.VPN은 원격 사용자가 사설 네트워크에 연결되는 것처럼 인터넷에 액세스할 수 있도록 하는 서비스입니다.기업 네트워크에서는 종종 VPN을 사용하여 지리적 거리에 걸쳐 내부 네트워크에 대한 액세스 제어를 관리합니다.

예를 들어, 어떤 회사에서 샌프란시스코에 사무실이 있고 뉴욕에 또 다른 사무실이 있으며 전 세계에 원격 근무 직원이 있는 경우, VPN을 사용하면 모든 직원이 물리적 위치와 관계없이 내부 네트워크에 안전하게 로그인할 수 있습니다. 직원이 공개 WiFi 네트워크에 연결된 경우 VPN에 연결하면 경로상 공격으로부터 직원을 보호하는 데 도움이 됩니다.

VPN에는 몇 가지 단점도 있습니다.예를 들어 VPN은 성능에 부정적인 영향을 미칩니다.VPN에 연결되면 사용자가 보내거나 받는 모든 데이터 패킷은 대상에 도달하기 전에 추가 거리를 이동해야 합니다. 각 요청과 응답이 대상에 도달하기 전에 VPN 서버에 도달해야 하기 때문입니다.이 프로세스에서는 대기 시간이 늘어나는 경우가 많습니다.

VPN을 사용하면 일반적으로 네트워크 보안에 대해 양자택일(all or nothing) 접근 방식이 제공됩니다.VPN은 인증을 제공하는 데는 훌륭하지만, 세분화된 권한 부여 제어를 제공하는 데는 좋지 않습니다.조직에서 직원마다 다른 수준의 액세스 권한을 부여하려면 여러 VPN을 사용해야 합니다.따라서 복잡성이 커지고 여전히 Zero Trust 보안의 요구 사항을 충족하지 못합니다.

제로 트러스트 보안이란 무엇입니까?

Zero Trust 보안은 네트워크 경계 내부에 있든 외부에 있든 상관없이 사설 네트워크의 리소스에 액세스하려는 모든 사람과 장치에 대해 엄격한 ID 확인을 요구하는 IT 보안 모델입니다.Zero Trust 네트워크는 또한 세분화를 활용합니다.세분화는 네트워크의 개별 부분에 대한 별도의 액세스를 유지하기 위해 보안 경계를 작은 영역으로 나누는 방식입니다.

오늘날 많은 조직에서 VPN을 Cloudflare Zero Trust와 같은 Zero Trust 보안 솔루션으로 교체하고 있습니다. Zero Trust 보안 솔루션은 VPN 사용의 주요 단점을 방지하면서 사무실 근무 직원과 원격 근무 직원 모두에 대한 액세스 제어를 관리하는 데 사용할 수 있습니다.