1️⃣ DAC (Discretionary Access Control)
소유자가 권한을 “임의(discretion)”로 줄 수 있는 모델
- 대표 모델
- ACL(Access Control List) : 각 파일/객체마다 읽기/쓰기/실행 권한을 사용자·그룹별로 나열
- Capability 모델 : 주체가 어떤 권한 “토큰(capability)”을 보유하면 접근 허용
- 구현 예시
- Linux/Unix chmod, chown, umask
- Windows NTFS 권한 (ACE/ACL)
2️⃣ MAC (Mandatory Access Control)
시스템이 강제하는 보안 정책 — 보통 “라벨/등급” 개념이 들어감
- 대표 모델
- 벨-라파둘라(Bell–LaPadula) : 기밀성 중심, No read up / No write down
- 비바(Biba) : 무결성 중심, No read down / No write up
- Clark–Wilson : 무결성 + 업무 분리
- Chinese Wall : 이해 상충 방지(금융/컨설팅)
- 구현 예시
- SELinux(라벨 기반)
- AppArmor(프로파일 기반)
- Windows MIC(Integrity Level)
3️⃣ RBAC (Role-Based Access Control)
사용자 → 역할 → 권한, 의 3단 구조
- 대표 모델 (NIST 표준에서 정의)
- RBAC0 : 핵심 모델(사용자-역할-권한 매핑)
- RBAC1 : 계층형(Hierarchical) RBAC (역할 상속)
- RBAC2 : 제약(Separation of Duties) 추가
- RBAC3 : 계층 + 제약 통합
- 구현 예시
- 데이터베이스: Oracle, MySQL, PostgreSQL의 ROLE
- 클라우드: AWS IAM Role, Azure RBAC
- Windows AD 그룹, ERP 권한 매트릭스
📌 요약 표
접근제어 방식내부 모델구현/제품 예시
| DAC | ACL, Capability | Linux chmod, Windows NTFS |
| MAC | Bell–LaPadula, Biba, Clark-Wilson, Chinese Wall | SELinux, AppArmor, Windows MIC |
| RBAC | NIST RBAC0~RBAC3 | DB ROLE, AWS IAM, AD 그룹 |
정리:
MAC/DAC/RBAC은 “접근제어의 큰 패러다임”이고,
그 안에 세부 모델과 구현체(제품/OS 기능) 가 존재합니다.
예를 들어 MAC 안에서 Bell-LaPadula 같은 수학적 모델이 정책을 설명하고,
SELinux가 그것을 실제 운영체제에 구현한 사례예요.
'보안' 카테고리의 다른 글
| 보안 인프라의 전체 스펙트럼 (1) | 2025.09.16 |
|---|---|
| Active Directory(AD)와 Domain Controller(DC) (0) | 2025.09.03 |
| EDR(Endpoint Detection and Response)란? (1) | 2025.08.29 |
| 백신(Anti-Virus, AV) 이란? (0) | 2025.08.29 |