접근통제 정의

제１절 접근통제 정의

[그림] 접근통제 개념도

좁은 의미의 접근통제 정의는 접근 승인 만을 의미하지만 일반적으로 접근통제란 식별 및 인증, 인가, 감시를 의미한다. 접근통제에서는 주체가 액세스할 수 있는 권한을 기반으로 객체에 접근했을 때 인증된 주체의 객체에 대한 액세스 요청을 승인 또는 거부를 결정하고, 비 인가된 접근을 감시한다.
접근통제의 목적은 주체의 접근으로부터 객체의 기밀성, 무결성, 가용성을 보장하는 것이며 적절한 접근통제를 위해 최소한의 권한만을 허용하여 권한남용을 방지하고, 업무의 승인∙변경∙확인∙배포 등이 한사람에 의해 처리되지 않도록 직무를 분리해야 한다. (최소 권한/직무 분리)
접근통제에서 시스템에서 작업을 수행할 수 있는 개체를 주체라고 하고 사람, 프로그램, 프로세스 등이 포함되며, 액세스를 제어해야 할 리소스를 나타내는 개체를 객체라고 하고 파일, DB, 컴퓨터 등을 포함한다.
사람은 자신이 제어하는 소프트웨어 엔티티를 통해서만 시스템에 영향을 미칠 수 있기 때문에 주체와 객체는 모두 사람이 아닌 소프트웨어 엔티티로 간주되기도 한다. 일부 시스템에서는 주체를 사용자 ID와 동일시 관리된다. 즉 특정 사용자가 구동한 모든 프로세스는 사용자 ID의 동일한 권한을 가지며 이러한 접근 통제는 최소 권한 원칙을 충족할 만큼 세분화되어 관리되지 않아 시스템 멀웨어 등 공격 발생의 밀접한 관련된 취약점이 될 수 있다.