비효율적인 권한 업데이트 시스템과 이별하다
액세스 시도가 발생하기 전에 권한을 정적으로 정의해야 하는 기존 제어와 달리, ABAC 방법론은 런타임에 표시되는 속성을 사용하여 동적으로 권한을 부여할 수 있습니다. 그러나 구현의 복잡성이라는 치명적인 한계를 포함하고 있죠.
이 글에서는 ABAC 시스템을 효율적으로 구축할 수 있는 방법을 소개합니다.
데이터 보안 영역의 기술이 빠르게 발전하고 있지만, 여전히 많은 조직이 운영을 방해하고 데이터 무결성을 손상시킬 수 있는 문제에 직면하고 있습니다.
특히 다중 속성 기반 데이터 액세스 제어(Attribute-Based Access Control) 시스템을 구현하는 것이 복잡하다는 것이 주요 장벽으로 시사되고 있죠.
속성 기반 액세스 제어(ABAC)란, 부서·위치 등의 특성을 기반으로 정책을 설정하고 시행하는 권한 부여 방법론을 의미합니다. 이를 통해 상황 변수를 제어하면 정책 입안자가 세분화된 액세스를 구현하는 데 도움을 줄 수 있다는 장점이 있죠.
그러나 전통적으로 액세스 정책 기준에 따라 데이터를 생성하고 유지하는 것은 번거로울 뿐만 아니라, 지속적으로 비실용적인 경우가 많은데요. 시스템의 복잡성은 비즈니스 전체의 비효율성을 가져올 뿐만 아니라, 잠재적인 보안 취약의 문제로 이어지고 있습니다.
이 글에서는 속성 기반 액세스 제어 시스템 운영이 실패하는 이유와, 이를 극복하기 위한 해결 방안을 설명하겠습니다.
데이터 보안 영역에서의 ABAC
중요성
속성 기반 액세스 제어(ABAC)는 사용자, 리소스, 컨텍스트와 같은 속성을 기반으로 매우 세밀하고 미묘한 접근 제어를 가능하게 하는 시스템입니다. 이러한 특수성을 통해 조직은 거버넌스 요구사항에 정확하게 일치하는 보안 정책을 시행할 수 있다는 장점이 있습니다.
또한 ABAC는 조직의 규모에 관계 없이 다양한 데이터 액세스 요구 사항을 수용하도록 확장할 수 있습니다.
최소 권한 원칙에 따라 특정 업무에 필요한 데이터에만 액세스 권한을 부여하기 때문인데요. ABAC는 데이터 최소화 및 개인정보 보호를 지원합니다. 이는 일반 데이터 보호 규정(General Data Protection Regulation)과 같은 데이터 거버넌스 프레임워크의 핵심 구성요소로 불리죠.
쉽게 설명하자면, ABAC 패러다임은 다양한 속성을 평가할 수 있는 복잡한 규칙 집합을 표현할 수 있습니다. 예를 들어 문서가 사용자와 동일한 부서에 있다면 자동으로 사용자도 문서를 볼 수 있도록 권한을 부여할 수 있습니다. 혹은 오전 9시 이전에는 문서 접근 권한을 제거할 수도 있죠.
한계
이렇듯 ABAC 시스템은 유연성과 적응성이 뛰어나기 때문에 다양한 기업에서 구축을 위해 데이터 보안 솔루션을 마이그레이션해왔습니다.
ABAC 시스템은 간단한 프로세스로 확장할 수 있으며, 보안 프로그램에 통합 가능하다는 장점이 있지만 매우 복잡하다는 단점이 있습니다. 실제로, 다양한 정보 시스템의 특정 속성을 포함하는 액세스 제어 정책을 구현하는 과정에서 어려움이 지적되었죠.
또한 동적, 상황 인식 및 위험지능형 액세스 제어 기능이 포함되어야 하는 특성상, 기존 시스템 아키텍처가 ABAC에 최적화되지 않은 경우 구현의 난이도가 훨씬 더 높아집니다.
속성에 따라 실시간으로 액세스 결정이 내려져야 하는 동적 특성으로 인해, 속성 데이터가 방대한 기업의 경우에는 시스템 응답에 지연 시간이 발생한다는 문제도 있었죠.
즉, ABAC 시스템은 속성과 정책이 정확하고 조직의 요구 사항을 반영할 수 있도록 지속적인 유지 관리가 필요하다는 한계가 있습니다.
데이터 보안 운영 시 유의해야 할 점
데이터 액세스 제어 정책은 조직의 특정 데이터에 접근할 수 있는 사람을 규제하는 프로토콜과 조치를 의미합니다. 이는 조직 내에서 자신의 역할에 따라 특정 데이터에 접근 및 수정할 수 있는 권한을 가진 개인을 명확히 하는 세부 계획을 의미하는데요.
다양한 이해 관계자는 자신의 역할, 책임, 현재 작업에 따라 다양한 데이터 세트의 권한이 필요합니다. 이러한 요구 사항을 충족하기 위해 데이터 접근 권한을 동적으로 조정하려면, 시간이 지남에 따라 변경되는 복잡한 권한 매트릭스가 필요하기 마련입니다.
기업에서 프로젝트가 시작되고 역할이 변경되며, 외부 협업이 형성되는 것은 흔한 일이죠. 이에 따라 비즈니스가 발전함에 따라 데이터 액세스 요구사항도 발전하고 있습니다.
각 변경 사항에는 접근 정책의 재평가 및 조정이 필요할 수 있으므로, 정적 또는 수동 접근 방식은 비현실적이고 오류가 발생하기 쉽습니다.
실제로 일부 기업의 데이터 운영 팀에서는 권한 부여 및 수정과 같은 단순 작업이 업무 시간의 높은 비중을 차지하고 있습니다. 이로 인해 더 생산적인 일이 후순위로 밀리고, 비효율적인 작업에 시간과 리소스를 낭비하게 되죠.
또한 70% 이상의 직원이 액세스해서는 안 되는 데이터의 접근 권한을 가지고 있다는 통계도 있습니다.
조직이 성장함에 따라 데이터의 양과 이 데이터에 액세스하는 사용자 수가 기하급수적으로 증가하는 것은 당연한 일입니다. 이 과정을 수동으로 생성하고 관리하는 것은 확장의 가능성을 차단할 뿐만 아니라, 성능 병목 현상이 발생할 수도 있습니다.
따라서 조직은 새로운 시스템과 기술을 적극적으로 받아들여, 데이터 액세스 정책이 모든 플랫폼에 일관되게 적용되도록 하기 위해 통합 및 맞춤화를 서둘러야 할 필요가 있습니다.
디노도 솔루션으로 데이터 보안 시스템 간소화 및 확장하기
데이터 보안 시스템 간소화
디노도 솔루션은 글로벌 보안 정책과 다양한 요구 사항을 충족하도록 최적화된 맞춤형 보안 정책을 적극적으로 활용하고 있습니다.
당사 시스템은 사용자 역할이나 데이터 민감도 및 컨텍스트를 기반으로 정책 적용을 자동화하는 워크플로를 구축했습니다. 따라서, 복잡한 기술이 필요했던 ABAC 시스템을 간소화한 형식으로 구현합니다.
디노도 솔루션은 고급 데이터 마스킹과 ABAC 기능을 단일 제어/관리 지점을 통해 모든 데이터 자산에 적용할 수 있습니다. 이를 통해 보안, 거버넌스, 컴플라이언스 규정을 준수하면서 데이터 셀프 서비스를 가능하게 했죠.
관리자는 각 데이터 세트에 대한 액세스를 수동으로 구성하는 대신, 당사의 솔루션을 사용하여 사전 정의된 기준에 따라 가장 적절한 보안 조치를 동적으로 적용할 수 있게 됩니다.
즉, 보안 분류나 용어, 태그 등의 요소를 사용하여 마스킹·암호화·데이터 제한 등의 데이터 접근 권한을 관리할 수 있습니다. 각 보안 정책에 대해 물리적으로 데이터를 생성하는 노동 집약적인 프로세스에서 벗어날 수 있게 되죠.
디노도 솔루션은 기업의 전반적인 데이터 관리를 가능하게 하는 올인원 솔루션입니다.
모든 데이터를 중앙에서 관리하는 구성을 가지고 있기 때문에, 각 개별 소스의 기능에 관계없이 조직 전체에 보안 및 거버넌스를 적용할 수 있다는 장점이 있죠.
이는 비즈니스 확장으로 인해 데이터의 총량이 늘어난다고 해도 관리 리소스가 증가하지 않으며, 조직은 언제나 신뢰할 수 있는 데이터를 받아볼 수 있다는 것을 의미합니다.
솔루션의 확장 가능성
아무리 고도화된 보안 솔루션이라고 해도 지속적으로 데이터를 복제하고, 누적 저장하게 된다면 볼륨이 커질 수밖에 없습니다.
조직 전체에 자동으로 적용되는 보안 정책을 쉽게 업데이트할 수 있다는 것은 ‘지속 가능한’ 보안 솔루션을 사용할 수 있게 된다는 것을 의미합니다.
궁극적으로 디노도는 글로벌 및 맞춤형 보안 정책에 정의된 액세스 규칙에 따라 데이터를 자동으로 분류하고 보호하는 것을 목표로 합니다. 이는 데이터 관리 프로세스를 간소화하여 복잡성을 덜어내는 역할을 하죠.
디노도 솔루션은 모든 엔터프라이즈 자산에 대한 완벽한 데이터 가상화를 제공합니다. 데이터를 복제할 필요 없이 모든 데이터 세트에 접근할 수 있는 단일 창구를 제공합니다.
이는 추후 발생할 수 있는 클라우드 전환이나 아키텍처 현대화 등의 마이그레이션에도 유연하게 대응할 수 있다는 것을 시사합니다.
이외에도 디노도 플랫폼은 REST, SOAP, OData, OpenAPI 등 데이터 서비스에 대한 지원과 XML, JSON, HTML, RSS 등의 형식으로 데이터를 노출시키는 기능을 포함하고 있습니다.
OAuth, JSON Web Tokens, SAML, Kerberos, HTTPS, HTTP Basic Digest Authentication, WS-Security와 같은 최신 보안 프로토콜에 대한 지원도 제공하고 있죠.
이 모든 작업은 디노도 플랫폼의 쿼리 최적화 엔진을 활용하기 때문에, 코딩 작업 없이도 더 나은 성능을 구현할 수 있다는 장점이 있습니다.
<Reference.>
- KR101365832B1 - 데이터 액세스 계층 클래스 생성기 - Google Patents
- ABAC: The Definitive Guide to Attribute-Based Access Control | NextLabs
- https://www.denodo.com/kr/data-virtualization/overview