서버보안과 접근통제 모델

1. 접근통제 개요

접근통제(Access Control)는 침입을 차단하고 침입에 성공한 뒤 해커가 수행하려 하는 공격행위를 차단하기 위한 보안시스템의 중요한 기능적 요구사항 중의 하나로 외부 사용자가 내부 네트워크 및 서버로 접근 또는 내부 사용자가 서버의 주요 자원에 대해 보안 정책에 위배되는 행위를 하려할 때, 정상적인 접근인지의 여부와 정상적인 접근일 경우 어떠한 접근 권한을 갖는지를 검사하여 접근 및 실행 허용여부를 결정한다. 따라서 네트워크 및 서버 내의 특정 자원에 대해서 접근 자격이 있는지를 검사한 후 접근 여부를 결정함으로써 불법 침입자에 의한 불법적인 자원 접근 및 파괴를 방지할 수 있다.

접근통제(Access Control)는 접근통제 규칙(Access Control Rule)에 의해서 이루어지며, 또한 접근 통제 규칙은 보안시스템의 보안정책(Security Policy)에 의해 결정이 된다. 보안정책의 수립이 올바로 이루어져야만, 궁극적으로 보호하고자 하는 자원에 대한 접근통제가 바르게 이루어 질 수 있다. 보안정책이 수립이 되면 정책에 따라 접근통제 규칙이 설정 되어야 하는데, 다음과 같은 원칙을 고려하여 접근통제 규칙을 설정 하여야 한다.

두 가지 원칙은 접근통제 규칙을 설정하기 위한 접근방법으로 사용이 된다. 만약, 후자의 원칙에 따라 접근통제 규칙이 정해지면 새로운 서비스 및 자원이 추가될 경우 접근통제 규칙이 적용되지 않는 보안상 허점을 가질 수 있다. 시스템의 보안 특성상 엄격한 접근통제를 필요로 하는 경우 접근통제 규칙에 해당하지 않는 접근에 대해서 접근을 거부하는 "명확하게 허용하지 않는 것은 금지한다"라는 원칙에 따라 접근통제 규칙이 설정 되어야 한다. 이때, 접근통제 규칙의 접근권한은 접근을 허용 또는 허용하지 않는 것으로 설정될 수 있다.

네트워크에 대한 접근의 경우 전자의 정책으로 충분히 적용이 가능하지만 실제 주요 자원이 존재하는 서버 내에서의 접근 통제의 경우 전자를 적용하기에는 무리가 있다. 모든 파일에 대해 모든 접근을 차단하고 시작한다는 것은 상상하기 어렵기 때문이다. 따라서 서버보안 S/W인 SecureOS와 같은 제품에서는 후자를 적용하고 보호가 필요한 자원에 대해서만 접근통제 규칙을 적용하는 것이 일반적이다.

접근통제를 하기 위해서는 신분확인 프로세스를 통해 객체에 접근하려는 주체의 신분이 먼저 결정이 되어야 한다. 접근통제에서의 접근 여부는 신분확인에 의해 시스템에 접근여부를 허가하는 것과는 구분이 되어야 하는데, 신분 확인에서는 식별 및 인증을 통해 사용자가 정당한 사용자 인지를 확인하여 정당한 사용자가 아닌 경우에 접근을 통제하는 것이고, 접근통제에서는 접근통제 객체에 대해 사용을 요청한 사용자가 요청한 형태의 접근을 허가 받았는지를 확인하여 접근을 통제하는 것으로 구분할 수 있다.

"접근통제는 크게 임의적 접근통제와 강제적 접근통제로 나누어 진다."

2. 접근통제 모델

보안시스템의 궁극적인 목표는 인터넷과 같은 외부망의 불특정 사용자들로 부터 내부망의 호스트들을 보호하고 부득이하게 접근이 허용된 서비스들을 통해 서버 내부에 접근하였을 때 서버 내의 주요 자원들에 대한 불법적인 접근을 차단하는 것이다. 이러한 목표를 달성하기 위해 외부망으로부터의 내부망에 대한 모든 통신 트래픽은 침입차단시스템을 거쳐야 하고 접근통제 규칙에 의해 적절한 접근통제가 이루어져야 한다. 또한 허용된 서비스를 통해 서버 내부에 접근할 수 있더라도 권한이 없는 서버 내의 자원에 대한 접근과 권한 없는 명령의 실행은 모두 통제되어야 한다. 이러한 형태의 기능을 구현하기 위해서는 일반적인 접근통제 모델 중 참조모니터(Reference Monitor)와 같은 구조를 가지게 된다.

보안시스템에서의 접근통제 모델은 그림과 같이 외부망과 내부망을 이어주는 중계자 역할을 하면서 동시에 참조 모니터로서 접근요청을 하는 주체들에 대해 참조 모니터 데이터베이스로부터 접근권한을 확인 받은 후 객체에 접근허용 여부를 결정한다.

침입차단시스템의 접근통제를 할 때 접근권한 데이터베이스를 통해 접근권한을 확인하게 되는데, 이때 보안정책에 합당한 임의적 접근통제 및 강제적 접근통제 규칙이 적용되게 된다.

임의적 접근통제는 객체에 접근을 하고자 하는 주체의 접근권한에 따라 접근통제를 하는 방법이고, 강제적 접근통제는 주체의 보안레이블과 주체가 접근하고자 하는 객체의 보안레이블을 비교하여 보안정책에 합당한 접근통제 규칙에 의해 접근통제를 하는 방법이다. 이때, 강제적 접근통제의 판단기준이 되는 보안레이블은 접근통제의 대상이 되는 주체 및 객체의 중요도를 나타내는 정보이다. 강제적 접근통제에서는 주체 뿐만이 아니라 객체의 중요도를 고려함으로써 높은 수준의 보안을 제공해 줄 수 있다.

올바른 접근통제를 수행하기 위해서는 보안정책에 위배되지 않는 접근통제 규칙을 설계하는 것도 중요하지만, 먼저 주체에 대한 신분확인이 올바르게 수행되어야 한다.

접근통제에서는 보안정책에 위배되지 않는 범위 내에서 개개의 사용자에 대한 식별없이, 네트워크 어드레스 또는 도메인 어드레스가 주체 및 객체의 신분으로도 사용될 수 있으며 서버 내에서의 자원에 대한 접근 통제를 수행할 경우 서버에 접근한 외부의 IP와 로그인에 사용된 계정과 실행되는 프로세스 그리고 자원에 대한 접근방법(읽기, 쓰기, 수정 등)과 접근대상 자원이 주체와 객체가 된다.