다국적 은행을 위한 ARBAC 정책 설계와 SOP 검증

초록

본 논문은 18개 지점을 보유한 대형 은행을 대상으로 ARBAC(Administrative RBAC) 정책을 설계하고, 각 지점의 업무 역할에 대한 분리된 권한(SOP) 제약을 구현한다. 역할 계층, can‑assign·can‑revoke 규칙, 그리고 안전성(safety) 쿼리를 활용해 정책의 정확성을 검증한다.

상세 분석

이 연구는 실제 금융기관에서 요구되는 복잡한 권한 관리 요구를 ARBAC 모델로 구현한 사례를 제시한다. 먼저 18개 지점 각각에 33개의 직무 역할을 정의하고, 이를 네 개의 비즈니스 부문(Financial Analyst, Share Technician, Office Banking, Support E‑Comm)으로 구분한다. 각 부문은 상위 부문 역할(F‑A, ST, OB, SE)과 두 개의 관리 역할(HOD, GM), 다섯 개의 비관리 역할(Asst, Specialist, Senior, Junior, Clerk)로 구성된다. 전체 은행 차원에서는 594개의 역할이 존재한다.

핵심 보안 요구는 “하나의 사용자가 동일 부문 내 비관리 역할 5개 중 최대 3개만 보유하도록 제한”하는 SOP 제약이다. 이를 구현하기 위해 저자는 can‑assign 규칙을 세밀하게 설계한다. 예를 들어 F‑A‑Clerk 역할에 대한 할당은 세 가지 경우(0, 1, 2개의 기존 비관리 역할 보유)로 나누어 각각 1~6개의 규칙으로 표현한다. 각 규칙은 긍정 전제(예: F‑A, 특정 비관리 역할)와 부정 전제(다른 비관리 역할)로 구성되며, 이는 ARBAC의 ‘disjunction’, ‘positive precondition’, ‘mixed role’ 기능을 활용한 것이다.

관리 역할(HOD, GM)의 할당 규칙은 모든 비관리 역할에 대한 부정 전제를 포함해, 비관리 역할을 가진 사용자가 관리 역할을 동시에 가질 수 없도록 한다. 또한 모든 역할에 대해 revocable(취소 가능)로 설정해 594개의 can‑revoke 규칙을 정의하였다.

정책 검증은 safety query 형태로 수행된다. 저자는 “한 지점에서 비관리 역할 4개를 동시에 가질 수 있는가”와 “모든 18개 지점에서 동시에 4개를 가질 수 있는가”라는 두 질문을 각각 h u, r 형태의 쿼리로 변환한다. 이를 위해 AnyFour_i와 Branch_i라는 보조 역할을 도입하고, 해당 역할에 대한 can‑assign 규칙을 추가해 연쇄적인 할당 가능성을 모델링한다. 이러한 설계는 모델 체커를 이용한 사전 검증을 가능하게 하며, SOP 위반 여부를 정형적으로 확인할 수 있다.

전체적으로 이 논문은 ARBAC의 표현력(특히 disjunction과 mixed preconditions)이 현실적인 SOP 제약을 구현하는 데 필수적임을 보여준다. 동시에 이러한 복잡한 규칙이 정책 안전성 분석을 어렵게 만들지만, 정형 검증 기법과 safety query를 통해 실용적인 검증 절차를 제공한다.