금융 어플리케이션을 위한 효율적인 역할추출과 안전한 역할기반 접근통제 적용 방안

  • Published : 2008.10.30

Abstract

IT기술의 변화에 따라 금융기관의 정보보호 또한 안정성을 보장하면서도 새로운 비즈니스모델에 적합한 보안대책이 요구되고 있다. 금융 어플리케이션의 보안은 정보의 기밀성, 무결성, 가용성을 만족하는 안전하고 신뢰할 수 있는 시스템과 네트워크, 그리고 보안사고에 큰 비중을 차지하고 있는 내부 사용자에 대한 적절한 권한 부여와 접근통제가 요구되어진다. 정당한 사용자가 접근하여 발생하는 보안 문제, 즉 내부자에 의한 악의적인 행위나 오용, 실수 등에 의한 기업의 피해는 외부자에 의한 의도적인 공격보다 피해 규모가 크다. 따라서 정당한 사용자로 인증을 받았다고 할지라도 업무처리에 있어서 필요한 최소한의 권한만을 부여하는 것이 필요한 것이다. 이를 위해 금융기관에 적합한 접근통제가 필요하다. 역할기반 접근통제는 적용범위가 제한적인 강제적 접근통제와 분산된 보안관리로 중앙에서 통제가 어려운 자율적 접근통제의 단점을 보완하고, 실제 업무처리에 적합한 특성을 갖는다. 하지만 기존 역할기반 접근통제를 금융기관의 다양한 금융 어플리케이션에 적용하면 다음과 같은 문제가 발생할 수 있다. 첫째, 금융 어플리케이션에서 사용되는 역할 추출 및 관리가 어렵다. 둘째, 다양한 비즈니스모델이 원하는 직무분리가 복잡하고 어렵다. 셋째, 악의적인 내부 사용자가 역할을 변조하여 과도한 권한을 가질 수 있다. 따라서 본 논문에서는 기존의 역할기반 접근통제에 인사정보 연동을 통한 효율적인 역할 추출 및 분류방안과 역할관리, 직무분리의 세분화 그리고 역할의 안전한 관리를 위해 X.509기반의 권한관리 기반구조(PMI)를 이용한 권한관리 기술을 금융 어플리케이션 환경에 효율적으로 적용하는 방안을 제시한다.

Keywords

References

  1. ANSI/INCITS 359-2004, 'Information Technology-Role Based Access Control, International Committee for Information Technology Standards', 2004
  2. Bill Brenner, 'Societe Generale: A cautionary tale of insider threats', SearchSecurity.com, 2008
  3. D. F. Ferraiolo, J. A. Cugini. D. R. Kuhn, 'Rolebased access control : Features and Motivations', 11th Annual Computer Security Applications Conference, 1995
  4. Ferraiolo, Kuhn, Chandramouli, Role-Based Access Control Second Edition, pp. 326-359, pp. 171-183, pp. 213-237, ARTECH HOUSE, 2007
  5. Gail-joon Ahn, R. S. Sandhu, 'The RSL99 Language for Role-Base Separartion of Duties constraints', In Proceedings of 4thACM Workshop on Role-Based Access Control, pp. 43-54, 1999
  6. ITU-T Rec. X.509 ISO/IEC 9594-8, 'The Directory:Public-key and Attribute Certificate Frameworks', 2001
  7. ITU-T Rec. X.812 ISO/IEC 10181-3:1996, 'Security frameworks in open systems: Access control Framework' 1996
  8. R. S. Sandhu, E. J. Coyne, H. L. Feinstein, C. E. Youman,. 'Role-Based Access Control Models', IEEE Computer. Vol. 29. No. 2. pp. 38-47, 1996
  9. Seong-Min Jeong, Seung-Wan Han, Hyeong-Seok Lim, 'A Role Based Access Control Method Considering Task in the Mobile Agent-based Workflow System', ITC-CSCC(1), pp. 549-552, 2000
  10. Venkata Bhamidipati, Ravi Sandhu, 'Push Architectures for User Role Assignment', Proceedings of the 23nd National Information System, 2004
  11. Warwick Pord, 'Computer Communications Security', pp. 149-158, Prentice Hall, 1994