북한이 웹프로그램 사용자 접근권한관리를 고도화하는 연구를 하고 있는 것으로 알려졌다. 이는 북한 개발자들이 사용자가 많은 대형 프로그램을 개발하면서 그에 따라 사용자 보안과 통제를 강화하고 있기 때문인 것으로 추정된다.

대북 소식통에 따르면 김일성종합대학학보 정보과학 2018년 제64권 제4호에 'RBAC 모형을 리용한 웨브응용프로그람에서 동적역할을 할당하기 위한 한 가지 방법'라는 논문이 수록됐다.

RBAC는 역할 기반 접근제어 방식(Role Base Access Control)를 뜻한다. 보안기법 중 하나인 접근제어(Access Control)는 시스템, 서비스, 소프트웨어(SW) 등에 접속해 사용하는 사람들이 접근할 수 있는 기능과 정보를 제한하는 것을 뜻 한다. 

접근제어 방식 중 하나인 RBAC는 말 그대로 역할을 기반으로 접근 권한을 부여하고 통제하는 방식이다. 이 방식은 역할(일)을 수행하는 데 필요한 권한 이상을 가지지 않도록 하는 것이 특징이다. 

논문은 RBAC 모형이 접근조종의 중간층으로서 역할층을 이용했다며 역할층을 이용하는 목적은 접근권한을 역할에 할당하고 사용자를 역할에 할당함으로써 사용자들에 대한 접근권한 부여를 간단하게 하자는데 있다고 설명했다.

논문은 RBAC 모형이 이런 장점으로 인해 광범히 이용되고 있지만 초기의 역할할당과 인증에 관해 불변이라고 할 정도로 유연하지 못한 약점을 극복하지 못하고 있다고 주장했다.
 

논문은 사용자들의 직능이 비교적 고정돼 있는 기관, 기업소의 경영업무지원체계(시스템)에서는 초기에 직능에 따라 사용자들에게 역할을 할당하고 사용자 인증 시 그 역할에 할당된 접근권한들을 모두 얻어 사용자에게 부여하기만 하면 됐다고 지적했다.

그러나 1개 기관, 기업소의 범위를 벗어나 국가망이나 인터넷와 같은 광대역망에서 이용되고 각이한 계층의 많은 사용자들을 대상으로 하는 웹응용프로그램에서는 사용자들에 대한 초기의 역할 할당이 힘들고 적지 않은 역할할당이 인증 이후 실시간으로 변하는 사용자의 문맥정보에 기초해 이루어진다는 것이다.

논문은 인증 이후에 사용자에게 할당되는 역할을 동적역할이라고 하며 초기에 관리자에 의해 할당되는 역할은 정적역할이라고 한다고 설명했다.

이에 논문에서는 RBAC 모형을 이용한 웹응용프로그램에서 동적역할을 할당하기 위한 요구를 실현하기 위해 RBAC 모형에 동적역할 모임을 추가하고 인증 이후 사용자문맥에 기초해 동적역할을 할당하기 위한 방법을 제안했다고 밝혔다.

논문의 설명에 따르면 북한의 기관, 기업의 경영지원시스템 등에서는 RBAC를 통해 사용자 접근제어를 진행했다. 그런데 더 큰 규모의 프로그램에서는 RBAC가 한계가 있다는 것이다.

이는 북한에서 대규모 인원이 사용하는 프로그램이 개발, 이용되면서 봉착한 문제로 보인다. 가령 1개 기관에서 이용하는 시스템이 아니라 북한 전국의 기관들이 함께 이용하는 시스템에서 나타나는 문제인 것이다. 

논문은 동적역할 할당 처리함수 알고리즘을 개발했다고 밝혔다. 이 함수는 사용자의 문맥정보들을 입력받아 사용자에게 할당해야 할 동적역할들을 얻어주는 기능을 수행한다는 것이다. 또 할당만 하는 것이 아니라 이미 할당돼 있던 동적역할을 박탈할수도 있다고 덧붙였다.

이를 통해 초기의 역할구조와 인증에 의해서만이 아니라 인증 이후 사용자문맥정보에 기초해 사용자에게 역할을 유연하게 할당할 수 있게 했다는 것이다.

이 논문을 통해 북한이 시스템, SW 사용자 보안과 통제에 상당히 신경을 쓰고 있다는 점을 알 수 있다. 또 북한에서 사용자들이 많은 대형 SW가 개발되면서 IT 보안과 사용자 통제를 위한 접근제어 기술을 더 고도화하고 있는 것이다.  

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.