확률 모델을 활용한 역할 마이닝: 새로운 추론 접근법

초록

본 논문은 기존의 역할 마이닝이 조합적 탐색에 의존하는 한계를 지적하고, 접근 제어 행렬을 생성하는 근본적인 확률적 과정을 모델링한다. 제안된 생성 모델은 사용자‑권한 할당을 RBAC 구성을 통해 설명하고, 오류 할당을 별도 확률 변수로 다루어 역할 추출의 일반화 능력을 향상시킨다. 실험 결과, 제안 모델은 실제 기업 데이터에서 새로운 사용자에 대한 권한 예측에서 기존 방법보다 우수한 성능을 보였다.

상세 분석

이 논문은 역할 마이닝을 “손실 압축”이 아닌 “추론” 문제로 재정의함으로써 연구 패러다임 자체를 전환한다. 전통적인 방법은 후보 역할 집합을 크게 만든 뒤, 그 중 최소한의 역할을 선택해 원본 접근 제어 행렬과의 차이를 최소화하는 탐욕적 알고리즘에 의존한다. 이러한 접근은 역할 수를 최소화하는 데는 효율적일 수 있으나, 실제 운영 환경에서 새로운 사용자나 권한이 추가될 때 일반화 성능이 급격히 떨어지는 단점을 가진다.

저자들은 이를 해결하기 위해 두 가지 확률적 생성 모델을 제시한다. 첫 번째 모델은 각 사용자와 역할, 역할과 권한 사이에 이항 확률 변수를 두어, 사용자가 특정 역할을 가질 확률과 역할이 특정 권한을 포함할 확률을 각각 학습한다. 두 변수의 곱으로 사용자‑권한 할당 확률을 계산함으로써, 기존 RBAC 구조를 자연스럽게 재현한다. 두 번째 모델은 첫 모델에 “노이즈” 요소를 추가한다. 실제 행렬에는 관리 실수, 임시 권한 부여 등으로 인한 비정형 할당이 존재할 수 있는데, 이를 별도의 베르누이 변수로 모델링해 오류 할당을 설명한다. 이렇게 하면 모델이 과도하게 데이터를 과적합하는 것을 방지하고, 본질적인 역할‑권한 관계만을 추출할 수 있다.

또한 논문은 역할 계층 구조와 역할 수에 대한 제약을 확률적 프레임워크 안에 통합한다. 계층적 제약은 역할 간 포함 관계를 그래프 형태로 표현하고, 해당 그래프의 구조적 확률을 사전분포로 설정함으로써 학습 과정에서 계층성을 유지한다. 역할 수 제약은 베이지안 비모수 방법(예: 디리클레 프로세스)으로 구현해, 데이터에 따라 자동으로 적절한 역할 개수를 추정한다.

학습은 변분 베이즈 혹은 EM 알고리즘을 활용해 수행되며, 각 단계에서 기대값을 계산해 파라미터를 업데이트한다. 실험에서는 실제 기업의 접근 제어 행렬을 사용해, 제안 모델이 기존의 Greedy, Hybrid, 그리고 ILP 기반 방법보다 새로운 사용자에 대한 권한 예측 정확도와 F1 점수에서 현저히 높은 결과를 보였다. 특히, 노이즈 모델을 포함한 버전은 데이터에 존재하는 비정형 할당을 효과적으로 무시하면서도 핵심 역할 구조를 정확히 복원했다.

이러한 결과는 역할 마이닝을 확률적 추론 문제로 바라볼 때, 데이터의 불완전성 및 잡음에 강인한 모델을 설계할 수 있음을 입증한다. 또한, 베이지안 프레임워크를 통해 사전 지식(예: 역할 계층, 역할 수 제한)을 자연스럽게 통합함으로써, 실제 조직의 정책과 일치하는 RBAC 구성을 자동으로 도출할 수 있다.