접근통제 보안모델 한방에 구분하기
한 줄 요약
-
기밀성 중심: Bell–LaPadula(격자 기반 MAC, 상향열람 금지/하향기록 금지)
-
무결성 중심: Biba(하향열람 금지/상향기록 금지), Clark–Wilson(거래 절차·분리된 역할)
-
상황·이해상충: Brewer–Nash(Chinese Wall, 동적 정책)
-
구조·이론: Lattice(격자/정보흐름), Access Matrix(행렬→ACL/Capability), Graham–Denning(8 원시 연산), HRU(안전성 문제), Take–Grant(그래프 분석), Noninterference(고→저 비간섭)
-
역할 기반 실무: RBAC(역할·권한·분리)
비교 표 (블로그용 핵심 요약)
| 모델 | 핵심 보안성 | 목적/아이디어 | 대표 규칙(기억 포인트) | 장점 | 한계/주의 | 시험 키워드 |
|---|---|---|---|---|---|---|
| Bell–LaPadula (BLP) | 기밀성 | 군사등급 기반 격자(MAC) | No Read Up(상향열람 금지), No Write Down(하향기록 금지), Strong-* | 기밀 누설 방지에 강함 | 무결성·가용성 고려 약함 | 단순보안, ★-속성, 지배/지배당함(dominates), 라벨 |
| Biba | 무결성 | 데이터 오염 방지(무결성 수준) | No Read Down(하향열람 금지), No Write Up(상향기록 금지), Invocation 금지(상향호출 금지) | 무결성 유지에 강함 | 기밀성 미고려 | 단순무결성, *-무결성, 오염(contamination) |
| Clark–Wilson | 무결성 | 정형 거래 + 분리된 역할(SoD) | IVP/TP, CDI/UDI, 인증·집행 규칙(C/E 규칙) | 상업/금융 환경 실무적 | 모델 구조가 비교적 복잡 | TP·IVP, CDI·UDI, SoD, well-formed transaction |
| Brewer–Nash (Chinese Wall) | 기밀성(상황적) | 이해상충 회피, 동적 정책 | 동일 충돌집합 내 경쟁사 교차접근 금지 | 현실적 이해상충 제어 | 초기 접근 이력에 의존(동적 복잡성) | Conflict class, 작업집합(working set), 동적 MAC |
| Lattice 모델 | 기밀성/흐름 | 격자 부분순서·정보흐름 | 상·하위 레이블간 허용 흐름만 | BLP/Biba의 이론 토대 | 현실 매핑 난이도 | partial order, flows, dominance |
| Access Matrix | 일반 | 주체×객체 권한 행렬 | 셀에 권한 기록(→ACL/Capability) | 개념적 명확, 구현 토대 | 대형 시스템 확장성 이슈 | ACL, Capability, 행·열 해석 |
| Graham–Denning | 일반 | 권한 변화의 8 원시연산 | (주체/객체) 생성·삭제, 권한 부여/삭제/전달 등 | 권한 관리 절차 모델링 | 실제 정책 표현 제한 | 8 primitives, 보안 커널 |
| HRU (Harrison–Ruzzo–Ullman) | 일반 | Access Matrix 확장 + 안전성 | Safety 문제 결정 불가(undecidable) | 이론적 한계 제시 | 실무 적용 직접성 낮음 | Safety problem, 권한 전이 |
| Take–Grant | 일반 | 그래프 기반 권한 전이 | take/grant 규칙으로 안전성 분석 | 분석 절차 비교적 단순 | 표현력 제한 | 그래프, 경로, 전이 |
| Noninterference | 기밀성(흐름) | 고수준→저수준 비간섭 | Low는 High의 행위로 인한 관찰 변화 없음 | 정보흐름 보장 명확 | 실제 시스템 증명 난이 | 비간섭, 정보흐름, 추론 방지 |
| RBAC | 최소권한/책임 | 역할→권한→사용자 매핑 | 역할 계층, 정·동적 SoD | 관리 용이·감사 용이 | 역할 폭증 관리 | Role, Permission, Hierarchy, SoD |
| MAC/DAC(정책) | 정책(분류) | MAC: 라벨 기반 강제 / DAC: 소유자 재량 | MAC은 중앙 정책, DAC는 소유자 제어 | 직관적 분류 | 모델이라기보다 정책 유형 | 강제/재량, 라벨, 소유자 권한 |
암기 팁:
기밀성(BLP): 읽상금·기하금 = “읽(기)Up 금지, 기(록)Down 금지”
무결성(Biba): 읽하금·기상금 = “읽(기)Down 금지, 기(록)Up 금지”
Clark–Wilson: TP·IVP + SoD + CDI/UDI → ‘거래무결성’
Chinese Wall: 처음 본 회사가 판을 가른다(동적 충돌집합)
모델 간 관계 한눈에
-
BLP/Biba ↔ Lattice: 레이블·지배관계로 표현되는 정보흐름 제약(기밀성 vs 무결성 초점만 다름)
-
Access Matrix → ACL/Capability: 실제 OS/시스템 권한 구조로 구현되는 기반 개념
-
Graham–Denning/HRU/Take–Grant: “권한이 어떻게 생성·전달·삭제되는가”를 수학적으로 다룸
-
RBAC/Clark–Wilson: 실무 조직·업무 절차 반영(분리·승인·감사)
예상 기출 포인트(빠른 체크)
-
BLP와 Biba의 상·하향 금지 방향 바꾸어 낸 함정 문제
-
Clark–Wilson의 객체/절차 명칭 매칭(CDI/UDI, TP/IVP, C/E 규칙)
-
Brewer–Nash의 동적 접근 결정(접근 이력에 따른 충돌집합 봉쇄)
-
HRU의 Safety 문제 결정 불가능성
-
RBAC의 정적/동적 분리(SSD/DSD) 및 역할 계층
블로그 본문에 바로 쓰는 서론/결론 샘플
서론 예시
정보보안에서 “접근통제”는 누가 무엇에 어떻게 접근할 수 있는지를 정하는 기술·정책의 핵심입니다. 본 글은 기밀성·무결성·업무절차 관점에서 자주 등장하는 보안모델을 비교해, 시험과 실무 모두에 바로 쓰일 수 있도록 요약했습니다.
결론 예시
시험에서는 규칙의 “방향”과 용어 매칭을, 실무에서는 조직·역할·흐름을 주로 묻습니다. BLP/Biba의 상·하향 규칙, Clark–Wilson의 TP/IVP·CDI/UDI, Chinese Wall의 동적 이해상충 제어만 확실히 잡아도 체감 난도가 크게 낮아집니다.
