<석학과의 만남>34회-미국 조지메슨대학교 라비 산드유 박사

『RBAC는 ARBAC97(Administrative RBAC 97) 이론을 기반으로 다양한 플랫폼에서 실현 가능성을 검증한 형태까지 진전됐으며 국가 차원에서 정책기반 보안관리를 위한 정책설정이 중요한 이슈로 부각되고 있습니다. 실제 NIST에서도 RBAC 관련해 표준화를 추진하고 있으며 내년쯤 구체화될 것으로 보고 있습니다.』

사이버공간의 문지기로 각광받고 있는 RBAC의 이론적 창시자인 라비 산드유 박사는 미국 조지메슨대학의 정교수로 LIST 연구실을 운영하면서 정보보호관련 연구를 수행하고 있다. 특히 접근제어와 인증모델에 대해 연구하고 있으며 실험과 이론을 병행 추진하고 있다. 산드유 박사는 지난 83년 루트거 대학에서 컴퓨터사이언스 박사 학위를 받았으며 NSA와 NRL(Naval Research Laboratory) 등과 RBAC 관련 연구를 수행하고 있다.

지난 70년 초반부터 연구되기 시작한 RBAC는 최근에 와서야 그 필요성이 인식되고 있다. 특히 정보기반 사회로 변혁기를 맞으면서 멀티유저와 멀티애플리케이션 온라인 시스템 환경에서 기관내 시스템 사용자의 역할과 권한에 따라 주요 데이터에 대한 접근을 자동으로 제어하는 툴이 필요하게 됐다.

현재까지 조사분석한 바에 의하면 접근제어를 기관 내부의 단순한 자료보안 가이드라인 정도로 여기고 있으며 기관 내부 접근제어 정책에 부합될 수 있는 제품이 아직 없는 것으로 인식되고 있다.

그러나 국방부나 NIST 등에서 직원들의 신분이나 역할에 따라 국방과 국가기밀 데이터 접근에 대한 적절한 제어가 필요함을 절실히 요구하게 됐다.

산드유 박사는 『현재 미국내 정보보호 분야에서 주요 이슈가 되고 있는 분야는 연구개발 지원이 많이 되고 있는 IDS며 그외 바이오메트릭스와 프록시 FW(Firewall·방화벽) 등이 있다』며 『DARPA(The Defense Advanced Research Projects Agency)에서는 침입탐지네트워크에 대한 고액의 연구개발 자금을 지원하고 있으나 폴스 알람 문제점과 이종 네트워크에서 IDS적용 난점들이 지적되고 있다』면서 그러나 무엇보다 전자정부의 성공적 구축을 위해서는 시스템 개발과 더불어 정책설정 또한 강조돼야 한다고 말했다.

<양봉영기자 byyang@etnews.co.kr>