문서 언어: 한국어 업데이트: 2025-10-26

벨 라파듈라 모델

벨 라파듈라 모델(Bell–LaPadula model)은 컴퓨터 시스템의 정보 보안, 특히 기밀성(confidentiality)을 보장하기 위해 고안된 접근 통제 모델 중 하나이다. 1970년대 초 데이비드 벨(David E. Bell)과 레너드 라파듈라(Leonard J. LaPadula)가 미국 국방성을 위해 개발했으며, 주로 군사 및 정부 시스템에서 기밀 정보의 부적절한 유출을 방지하는 데 중점을 둔다.

개요

벨 라파듈라 모델은 시스템 내의 정보 흐름을 제어하여 인가되지 않은 주체(Subject)가 기밀 정보에 접근하거나, 높은 수준의 정보가 낮은 수준의 객체(Object)로 흘러나가는 것을 방지한다. 이 모델은 "보안 상태(secure state)"라는 개념을 정의하고, 시스템의 모든 상태 전이가 이 보안 상태를 유지하도록 설계된다.

핵심 개념

  1. 주체(Subject)와 객체(Object):

    • 주체: 시스템 내의 활성 개체로, 정보에 접근하거나 수정하는 행위를 수행하는 사용자, 프로세스 등을 의미한다.
    • 객체: 시스템 내의 수동 개체로, 접근 통제의 대상이 되는 파일, 데이터베이스, 메모리 영역 등을 의미한다.

  2. 보안 수준(Security Levels):

    • 각 주체와 객체에는 계층적인 보안 수준(예: '일급(Top Secret)', '비밀(Secret)', '기밀(Confidential)', '평문(Unclassified)')이 부여된다. 주체의 보안 수준은 '인가 수준(clearance level)'으로, 객체의 보안 수준은 '분류 수준(classification level)'으로 표현되기도 한다. 높은 수준은 더 민감한 정보를 나타낸다.

  3. 접근 통제 규칙 (강제적 접근 통제, MAC):

    • 벨 라파듈라 모델은 두 가지 주요 규칙에 기반한 강제적 접근 통제(Mandatory Access Control, MAC) 방식을 사용한다. 이는 시스템 관리자가 미리 정해놓은 정책에 따라 접근이 통제되며, 개별 사용자가 임의로 접근 권한을 변경할 수 없음을 의미한다.

    • 1. 단순 보안 속성(Simple Security Property): "읽기 상향 금지(No Read Up)"

      • 주체는 자신보다 높은 보안 수준을 가진 객체를 읽을 수 없다.
      • 예: '기밀' 수준의 사용자는 '비밀' 수준의 파일을 읽을 수 없다.
      • 목표: 낮은 수준의 주체가 높은 수준의 정보를 획득하는 것을 방지하여 정보 유출을 막는다.

    • 2. *-속성(Star Property): "쓰기 하향 금지(No Write Down)"

      • 주체는 자신보다 낮은 보안 수준을 가진 객체에 쓸 수 없다.
      • 예: '비밀' 수준의 사용자는 '기밀' 수준의 파일에 쓸 수 없다.
      • 목표: 높은 수준의 정보가 낮은 수준의 객체로 흘러 들어가 의도치 않게 정보가 유출되는 것을 방지한다.

작동 원리

이 모델은 시스템이 항상 "보안 상태"를 유지하도록 한다. 어떤 주체가 어떤 객체에 접근하려고 할 때마다 위의 두 가지 규칙을 적용하여 접근 권한을 검사한다. 만약 접근이 규칙을 위반한다면 해당 접근은 거부된다. 이는 시스템의 모든 상태 전이 과정에서 기밀성이 침해되지 않도록 보장한다.

한계 및 비판

  • 무결성 고려 부족: 벨 라파듈라 모델은 오직 정보의 기밀성 보호에만 중점을 둔다. 정보가 인가되지 않은 방식으로 수정되거나 파괴되는 무결성(integrity) 측면은 고려하지 않는다. 정보 무결성 보호는 비바 모델(Biba model)과 같은 다른 보안 모델에서 다루어진다.
  • 유연성 부족: 엄격한 강제적 접근 통제 규칙으로 인해 시스템의 유연성이 떨어질 수 있으며, 모든 종류의 컴퓨팅 환경에 적용하기 어려울 수 있다는 비판이 있다.
  • 신뢰성 전제: 이 모델은 시스템의 모든 구성 요소(운영체제, 애플리케이션 등)가 모델의 규칙을 정확히 따르고 악의적인 의도가 없다는 신뢰성(trustworthiness)을 전제로 한다.

중요성

벨 라파듈라 모델은 컴퓨터 보안 분야에서 기밀성 보호를 위한 가장 기초적이고 중요한 이론적 토대 중 하나로 인정받고 있다. 많은 군사 및 정부 시스템, 그리고 민간 기업의 보안 시스템 설계에 영향을 미쳤으며, 접근 통제 정책의 개념을 정립하는 데 기여했다.

둘러보기

더 찾아볼 만한 주제