보안을 배우다#12
지난주에 대규모 개인정보 유출 사건이 있었습니다.
저도 유출 사건과 관련된 사이트에 계정이 있었으나
아직까지는 확인된 피해는 없네요.
전에 포스팅 드렸듯이 가장 기본적인
비밀번호 변경은 모두 했습니다.
그리고 사용하지 않는 사이트는 모두 탈퇴조치했구요.
개인정보와 같이 중요한 자산은 이에 대한 접근을 잘 관리해야 합니다.
관리가 허술하면 이번과 같은 사태가 발생하게 되는겁니다.
그럼 오늘은 접근이란 놈에 대해 한번 끄적거려 보겠습니다.
영어로는 Access라고 하지요.
그런데 "Access" 랑 "접근"은 의미가 조금 다릅니다.
전에도 말씀드렸지만 보안같은 경우 영어를 한글로 번역하게 되면
의미가 매끄럽지 못한 경우가 발생을 합니다.
그래서 반드시 원래 단어를 알고있는 것이 중요합니다.
Access란 Subject가 Domain(Objects)에 무언가 할 수 있는 능력입니다.
...
방금 욕하고 나가시려고 하신분들 조금만 참으시면 뭔 소린지 알 수 있습니다.
절대 어렵지 않습니다.
Subject란 행동을 하는 놈입니다.
제가 인터넷 뱅킹을 한다고 하면 저 자신이 Subject가 되는죠.
PC의 어떤 프로세스가 파일을 수정하고 있다면 그 프로세스가 Subject가 됩니다.
그리고 Object란 행동을 당하는 놈입니다.
제가 인터넷 뱅킹을 할때 제 계좌 정보를 담고 있는 DB가 Object가 됩니다.
PC의 어떤 프로세스가 파일을 수정하고 있다면 수정당하는 파일이 Object가 됩니다.
그리고 Object들이 모여있는걸 Domain이라고 정의한다고 합니다.
이해가 되시죠. 되실겁니다. 안되면 어떡하지...
즉 Access란 단순한 접근이 아니라 접근하여 무언가 할 수 있는 능력을 말하는 겁니다.
하지만 한글에서의 접근은 느낌상 가까이 다가서는 정도입니다.
뭘 어떻게 하는 것보다는 단순히 다가가는 느낌이죠.
그래서 Access = 접근 + 행동 으로 보시는게 맞을듯 합니다.
Access에 대해 감시, 통제하는 걸 Access Control 이라고 합니다.
즉 개인정보가 있다면
이에 Access 하는것은 권한을 가진 사람만이 할 수 있도록 통제를 하고
권한을 가진 사람이라도 어떤 행동을 하는지 감시를 해야하고
이를 Access Control 이라고 부릅니다.
권한가진 사람만이 Access하는 것은 이해하기 쉽습니다.
그런데 권한 가진 사람이 Access하는 것을 왜 감시를 할까요?
여기가 중요합니다.
권한가진 사람이 중요정보를 원래 용도이외에 악용하지 않는지
혹시 해킹을 통해 권한을 획득한 해커가 Access하지는 않는지
감시를 해야합니다.
이게 생각보다 쉽지가 않습니다.
감시라는게 단순히 로그만 기록해 놓는다고 되는게 아니고
이 로그를 보안담당자가 주기적으로 분석해야하고
보안담당자는 분석을 통해 이상이 있는지 가려낼 능력이 되어야합니다.
암튼 이런 Access Control에 대한 이론적인 배경에 대해 하나씩 포스팅해보겠습니다.
재미없는글 끝까지 읽어주셔 감사합니다.
※ 혹시 제가 알고있는 부분에 잘못된 내용이 있다면 지적 달게 받겠습니다.
0 개의 댓글:
댓글 쓰기