권한 연산을 통한 역할 분리와 동적 재구성

본 논문은 “권한 연산(Privilege Calculus, PC)”이라는 새로운 형식 논리를 제시하여, 업무 분리(Separation of Duty, SD)를 보다 유연하고 추적 가능한 형태로 모델링한다. 기존의 역할 기반 접근 제어(RBAC)와 그 확장 모델(ARBAC, T‑RBAC 등)은 역할‑권한 매핑을 정적 구조로 정의하고, 동적 세션·위임·제한을 별도의 메커니즘으로 처리한다. 저자들은 이러한 한계를 극복하기 위해 SD를 “권한(privilege)”이라는 가장 기본적인 보안 단위로 환원하고, 권한을 수학적 연산으로 조합·분해하는 체계를 구축한다. 첫 번째 섹션에서는 SD의 핵심 개념을 재조명한다. SD는 두 명 이상의 서로 다른 주체가 동일 작업을 수행하지 못하도록 하는 보안 원칙이며, 정적 SD는 사용자‑역할 할당에, 동적 SD는 세션‑역할 활성화에 제약을 둔다. 기존 모델은 역할 계층과 위임을 통해 이를 구현했지만, 복잡한 정책 충돌과 재구성 시점에 일관성을 유지하기 어려웠다. 두 번째 섹션에서는 “규제(regulation)”라는 개념을 도입한다. 시스템은 두 개의 동기화된 보조 행동(guarded action, guarded action)으로 구성된 상호작용을 수행하며, 프레임워크 프로세서는 이러한 상호작용을 감시한다. 규제는 프레임워크와 컴포넌트 간의 상호작용 약속들의 집합으로 정의되며, SD의 결과는 바로 이러한 권한들의 집합으로 해석된다. 세 번째 섹션에서 PC의 핵심 구조를 정의한다. - **고용(employment)**: 함수‑엔터티 쌍 f/e 로, “함수 f가 엔터티 e에 적용된다”는 의미다. 고용은 집합 연산인 병합(∗)과 합성(+)을 통해 결합되며, 교환·결합·분배 법칙을 만족한다. - **조건(condition)**: 사실 집합 T 위에 정의된 부울 함수 r 로, 특정 사실 x가 조건을 만족하면 r(x)=1이 된다. 조건은 부분집합 관계에 대해 단조성을 가지며, 최소 증거(minimum evidence) 개념을 도입해 언제 어떤 사실이 조건을 활성화하는지를 명시한다. - **권한(privilege)**: (F/E, R) 형태의 쌍으로 정의된다. 여기서 F/E는 함수‑엔터티 고용의 집합, R은 조건 집합이다. 권한 공간 P는 이러한 권한들의 집합이며, 권한 병합(u∗v)과 권한 합성(u+v)을 각각 (f₁∗f₂)/(E₁∩E₂), R₁∩R₂와 (f₁/E₁,R₁)∪(f₂/E₂,R₂) 로 정의한다. 네 번째 섹션에서는 **정규형(normal form)**과 **펄스형(pulsed form)**을 소개한다. 정규형은 겹치지 않는 고용 배열 M 위에 정의된 고용들의 합성으로, 모든 권한은 자신과 동등한 정규형으로 변환 가능함을 증명한다. 펄스형은 시간에 따라 변화하는 사실 집합 Q=(t₀,t₁,…)에 대해 각 조건을 평가한 결과이며, 이를 행렬 형태의 트레이스 매트릭스로 시각화한다. 이를 통해 특정 세션·역할·객체 간의 상호작용이 언제 충돌하거나 위반되는지를 실시간으로 감시할 수 있다. 다섯 번째 섹션에서는 권한 간의 **동등성(congruence)**과 **준수(compliance)** 개념을 정의한다. 두 권한 u, v가 동일한 펄스형을 가질 때 u∼v라 하고, u가 v에 대해 준수한다는 u∗v∼v 조건을 제시한다. 이는 고차 권한(예: 세션·역할·객체 복합 권한)이 하위 권한들의 정책을 자동으로 검증하도록 하는 메커니즘이다. 여섯 번째 섹션에서는 기존 RBAC, ARBAC, T‑RBAC와 같은 역할 기반 모델을 PC와 비교한다. 모든 기존 구조는 “사용자‑역할‑권한‑객체” 네 개의 기본 집합과 그 관계를 정의하지만, PC는 이러한 관계를 권한 연산으로 일관되게 표현한다. 이를 증명하기 위해 저자들은 **Privilege Analysis Language(PAL)**라는 도메인 특화 언어를 구현하고, 문서·역할·사용자·디바이스를 모델링한다. 예시에서는 - 사용자 bob이 사무실 PC에서 세션1을 생성하고, 문서 doc1을 읽고 쓸 수 있음. - 동일 사용자가 모바일 phone으로 세션2를 생성하면, write 권한이 사라지는 상황을 정규형·펄스형 연산으로 정확히 표현한다. - 세션·문서·역할 간의 상호작용 가드(read guard, write guard 등)를 고차 권한으로 정의하고, 이들 간의 준수 관계를 통해 동적 SD 정책을 검증한다. 결론에서는 PC가 SD의 재구성 가능성과 정책 추적성을 크게 향상시킨다고 주장한다. 권한의 정규형·펄스형을 이용하면 정책 변경 시점과 그 영향을 명확히 파악할 수 있으며, 기존 RBAC·ACL과도 호환된다. 그러나 논문은 실제 시스템에 대한 성능 평가, 대규모 정책 적용 사례, 자동 변환 도구 등에 대한 실험적 검증이 부족하고, 조건 정의가 실제 로그와 어떻게 매핑되는지 구체적인 방법론이 제시되지 않은 점을 한계로 지적한다. 향후 연구에서는 이러한 구현‑평가 측면을 보완하고, 비즈니스 규칙·프로세스와의 연계 모델을 확장하는 것이 필요하다.