활동 기반 분리 의무 모델

초록

본 논문은 대규모 RBAC 환경에서 업무 활동을 중심으로 SoD(Separation of Duty) 제약을 정의하고 관리 비용을 크게 낮추는 새로운 형식적 프레임워크를 제시한다. 활동‑기반 접근은 역할·권한보다 훨씬 적은 수의 엔터티로 충돌을 파악하게 하며, 객체 기반 SoD를 위한 ‘SoD 도메인’ 개념도 함께 도입한다. 실제 기업에 적용한 실험 결과, 관리 비용이 현저히 감소함을 입증한다.

상세 분석

이 논문은 기존 RBAC 기반 SoD 모델이 역할·권한 수준에서 충돌을 정의함에 따라 발생하는 스케일링 문제와 의미적 모호성을 비판한다. 역할은 IT 관점에서 권한을 묶는 기술적 단위이며, 비즈니스 의미와는 반드시 일치하지 않는다. 따라서 수천 개의 역할과 수십만 개의 권한을 직접 관리하는 방식은 대기업에서 실용적이지 않다. 저자들은 이러한 한계를 극복하기 위해 ‘활동(Activity)’이라는 비즈니스 중심의 추상화를 도입한다. 활동은 비즈니스 프로세스를 세분화한 작업 단위이며, 각각은 하나 이상의 권한 그룹(그룹핑)으로 구현된다. 활동‑계층 구조는 트리 형태로 정의되고, 각 활동은 상위 활동을 일반화(is‑a) 관계로 연결한다. 이 구조는 역할보다 훨씬 적은 수(수백 개 수준)의 엔터티로 전체 시스템을 모델링할 수 있게 해준다.

핵심 기술적 기여는 다음과 같다. 첫째, 활동‑권한 매핑을 ‘GRPS ⊆ 2 PERMS’ 라는 권한 그룹 집합으로 표현하고, ‘ACTVT‑G ⊆ ACTVT × 2 GRPS’ 로 활동에 할당한다. 이를 통해 사용자가 특정 활동을 수행하려면 해당 그룹의 모든 권한을 보유해야 함을 명시적으로 검증할 수 있다. 둘째, 충돌 정의를 권한 그룹이 아닌 활동 수준에서 수행한다. 비즈니스 담당자는 활동 간 충돌 관계를 식별하기만 하면 되며, IT 담당자는 권한 그룹을 활동에 연결하는 작업만 수행하면 된다. 이렇게 하면 충돌 식별에 필요한 비즈니스 지식과 기술적 지식이 명확히 분리된다. 셋째, ‘SoD 도메인’ 개념을 도입해 객체 기반 충돌을 모델링한다. 도메인은 특정 데이터 집합을 의미하며, 동일 도메인 내에서만 활동 간 충돌이 적용된다. 이는 예를 들어 같은 회계 데이터에 대해 서로 다른 업무(입금 처리 vs. 출금 승인)가 동시에 수행되지 않도록 하는 객체‑레벨 SoD를 가능하게 한다.

형식적 정의에서는 기존 RBAC 기본 집합(PERMS, USERS, ROLES 등) 위에 ACTVT, GRPS, ACTVT‑G, 그리고 SoD 도메인(DOM) 을 추가한다. 충돌 규칙은 ‘conflict(a1, a2, d)’ 형태로 표현되며, 여기서 a1, a2는 활동, d는 선택적 도메인이다. 충돌 검증은 사용자가 할당받은 권한 집합이 두 활동에 속한 권한 그룹을 동시에 포함하는지를 검사함으로써 이루어진다. 이 검증 로직은 기존 RBAC 세션·역할 활성화 메커니즘과도 자연스럽게 통합될 수 있다.

실증 연구에서는 이탈리아의 대형 기업에 실제 적용하여, 기존 역할‑기반 SoD 관리에 비해 정책 정의 시간, 충돌 검증 시간, 그리고 유지보수 비용이 각각 60 % 이상 감소했음을 보고한다. 또한, 활동‑기반 모델이 도입된 후에도 보안 정책 위반 사례가 현저히 감소했으며, 비즈니스 부서가 직접 SoD 정책을 정의·수정할 수 있게 되어 IT 부서의 부담이 크게 경감되었다.

요약하면, 이 논문은 비즈니스 관점에서 SoD를 재구성함으로써 대규모 조직의 접근 제어 관리 복잡성을 근본적으로 낮추고, 객체 기반 충돌까지 포괄하는 확장성을 제공한다는 점에서 학술적·실무적 의의를 모두 가진다.