(보안) 역할 기반 접근 통제(RBAC)와 속성 기반 접근 통제(ABAC)

역할 기반 접근 통제(RBAC)와 속성 기반 접근 통제(ABAC)

 

1. 정의

RBAC과 ABAC은 조직 내 자원 접근을 관리하기 위한 대표적 접근통제 모델로, 역할 중심 통제(RBAC)와 정책·속성 중심 통제(ABAC)라는 방식 차이를 가진다.
기존 DAC(임의적 접근 통제) 및 MAC(강제적 접근 통제) 모델의 한계를 보완하며 등장했으며,
최근 클라우드, 제로 트러스트(Zero Trust) 등 접근 환경의 다양화에 따라 RBAC는 기본적인 관리 효율성을, ABAC는 컨텍스트 기반의 정밀 보안을 제공하며 중요성이 부각되고 있다.

(1) RBAC(Role-Based Access Control)

• 사용자에게 부여된 역할(Role) 을 기반으로 접근 권한을 부여하는 방식.
• 권한 -> 역할 -> 사용자 구조로, 조직의 직무(Job Function)에 따라 권한이 일괄 부여됨.

(2) ABAC(Attribute-Based Access Control)

• 사용자·자원·환경의 속성(Attribute)과 정책(Policy) 에 따라 접근을 결정하는 방식.
• “조건 기반(If-condition)” 정책으로 세밀한 통제가 가능.

2. 특징 및 장단점

구분	RBAC (역할 기반 접근 통제)	ABAC (속성 기반 접근 통제)
접근 제어 정책	역할(Role) 기반	속성(Attribute) 기반 (사용자, 자원, 환경 등)
세분성 (Granularity)	역할 단위의 거친 세분화 (Coarse-grained)	속성 조건 기반의 매우 세분화 (Fine-grained)
유연성	제한적 (역할 정의에 의존)	매우 유연함 (다양한 컨텍스트 반영)
복잡성	간단하고 직관적	정책 설계 및 계산이 복잡함
성능 영향	최소 (정적 검증)	조건 계산으로 인한 상당한 오버헤드 발생 가능
최적 사용	조직 구조가 명확하고 권한 구조가 정적인 경우	접근이 동적이고 컨텍스트 인식적이어야 하는 경우
장점	관리 단순 대규모 조직에서 역할 단위로 권한 부여 용이	시간·장소·기기·보안등급 등 다양한 속성 기반의 정교한 접근 통제 가능
단점	역할 증가 시 Role Explosion 발생 세밀한 조건 기반 통제 한계	정책 관리 복잡, 초기 설계 비용 증가

 

 

3. 활용 분야

• RBAC: 조직 내 인사체계 기반 시스템(ERP, HR, 회계 등), 고정적 역할·업무가 많은 환경.
• ABAC: 클라우드·API 기반 서비스, 재택·모바일 환경, 제로트러스트 보안 모델, 외부 협업 환경 등 동적·상황 기반 접근 관리가 필요한 곳.

4. 결론

RBAC은 단순성과 관리 효율성이 강점이고, ABAC은 속성·정책 기반의 유연성과 세밀한 제어가 강점이다. 실제 환경에서는 RBAC을 기본으로 두고, 고위험·동적 환경에 ABAC을 결합한 혼합형 접근 통제(RBAC+ABAC) 로 진화하고 있다.