ㅁ 보안 전략

ㅇ 정의:
데이터 접근 권한을 사용자, 그룹, 역할 단위로 관리하여 민감 정보의 무단 접근을 방지하는 절차와 정책.

ㅇ 특징:
최소 권한 원칙(Principle of Least Privilege), 역할 기반 접근 제어(RBAC), 정기적 권한 검토, 로그 기록 및 모니터링 포함.

ㅇ 적합한 경우:
금융, 의료, 공공기관 등 민감 데이터 처리 환경에서 데이터 접근을 체계적으로 통제해야 하는 경우.

ㅇ 시험 함정:
‘모든 사용자에게 동일 권한 부여’는 권한관리의 기본 원칙에 위배됨. ‘권한은 한 번 부여되면 변경하지 않는다’는 잘못된 설명.

ㅇ 시험 대비 “패턴 보기” 예시:
– O: “최소 권한 원칙은 권한관리의 핵심 개념이다.”
– X: “권한관리는 모든 사용자에게 동일 권한을 부여하는 것을 말한다.”

================================

1. 권한관리

ㅇ 정의:
데이터, 시스템, 애플리케이션 접근 권한을 부여, 변경, 회수하는 절차를 통해 보안을 유지하는 관리 기법.

ㅇ 특징:
사용자 인증 후 권한 부여, 역할 기반 접근 제어(RBAC), 속성 기반 접근 제어(ABAC), 권한 변경 및 회수 절차, 감사 로그 기록.

ㅇ 적합한 경우:
다수 사용자가 다양한 수준의 데이터에 접근하는 환경, 내부자 위협 방지 필요성이 높은 조직.

ㅇ 시험 함정:
권한관리 = 인증(Authentication)이라고 혼동하는 경우. 인증은 신원 확인, 권한관리는 접근 범위 제어임.

ㅇ 시험 대비 “패턴 보기” 예시:
– O: “권한관리는 인증 이후 접근 범위를 제어하는 절차이다.”
– X: “권한관리는 사용자의 신원을 확인하는 절차이다.”

ㅁ 추가 학습 내용

권한 관리 시험 대비 핵심 정리

1. 접근 제어 방식
– RBAC(역할 기반 접근 제어): 사용자의 역할(Role)에 따라 접근 권한을 부여하는 방식. 관리가 용이하고 대규모 조직에 적합.
– ABAC(속성 기반 접근 제어): 사용자, 자원, 환경의 속성(Attribute)에 기반하여 접근을 제어. 유연성이 높고 세밀한 정책 설정 가능.
– DAC(임의 접근 제어): 자원 소유자가 접근 권한을 결정. 유연하지만 보안 취약점이 발생할 수 있음.
– MAC(강제 접근 제어): 중앙 정책에 따라 접근 권한이 강제로 부여되며 사용자가 변경 불가. 높은 보안 수준을 요구하는 환경에 사용.

2. 보안 원칙과 개념
– 최소 권한 원칙(Least Privilege): 업무 수행에 필요한 최소한의 권한만 부여.
– 권한 상속: 상위 권한이 하위 권한에 영향을 미치는 개념.
– 권한 에스컬레이션(Privilege Escalation): 취약점을 이용해 권한을 상승시키는 공격. 방지 방법으로는 보안 패치 적용, 권한 최소화, 접근 제어 강화 등이 있음.

3. 권한 관리 실무 요소
– 정기적인 권한 검토 프로세스: 주기적으로 권한을 점검하고 불필요한 권한 제거.
– 권한 변경 시 승인 절차: 변경 요청에 대해 적절한 승인 단계를 거쳐야 함.

4. 클라우드 환경 보안
– IAM(Identity and Access Management): 사용자 및 권한을 중앙에서 관리하는 서비스. 사용자 인증, 권한 부여, 정책 관리 기능 제공.
– MFA(다중 인증): 비밀번호 외에 추가 인증 수단을 요구하여 보안을 강화. 예: OTP, 생체 인식, 보안 토큰 등.