Brain비바 모델 (Biba Model) - 데이터 무결성(Integrity) 보호를 위한 보안 모델
핵심 인사이트 (3줄 요약)
- 본질: 비바 모델은 벨-라파둘라 모델과 대칭되는 접근 제어 모델로, **"정보의 무결성(변조/조작 방지)"**을 보호하는 것이 목적이다. 두 가지 기본 규칙인 **No Read Down (NRD)**과 **No Write Up (NWU)**을 제시한다.
- 가치: 이 규칙들에 의해 시스템의 중요한 데이터가 낮은 등급의 신뢰할 수 없는 프로세스에 의해 변조/조작되는 것이 차단되어, 데이터의 신뢰성이 보장된다.
- 한계: 상위 등급 사용자가 하위 등급의 정보를 읽지 못하므로, 정보 흐름이 제한되어 상하 간 협력/소통이 어려워지는 문제가 있다.
1. 개요 및 배경 (Context & Necessity)
1.1 벨-라파둘라 모델과의關係
| 모델 | 목적 | 핵심 규칙 |
|---|---|---|
| 벨-라파둘라 | 기밀성(Confidentiality) 보호 | No Read Up, No Write Down |
| 비바 | 무결성(Integrity) 보호 | No Read Down, No Write Up |
두 모델은 " mirror image (거울 상)" 관계에 있다.
1.2 무결성이란?
**무결성(Integrity)**이란 데이터가 **"権限(권한) 없이 변조/조작되지 않은 상태"**를 의미한다:
[ 예시: 은행 잔고 데이터 ]
정밀 데이터: 계좌 잔고 = 1,000,000원
변조 후: 계좌 잔고 = 1원 (악의적 조작)
2. 두 가지 기본 규칙 (Integrity Axioms)
2.1 Simple Integrity Axiom (No Read Down, NRD)
"자신의 무결성 등급보다 낮은 등급의 객체는 읽을 수 없다"
| 프로세스 등급 | 읽기 가능 | 읽기 불가 |
|---|---|---|
| 높은 등급 | 높은 등급, 같은 등급 | 낮은 등급 |
| 중간 등급 | 중간/높은 등급 | 낮은 등급 |
| 낮은 등급 | 모든 등급 | - |
목적: 낮은 등급의"不完整(불완전)" 또는 "悪意(악의적)" 정보를 높은 등급이 읽고 영향을 받는 것을 방지.
2.2 Integral Axiom (No Write Up, NWU)
"자신의 무결성 등급보다 높은 등급의 객체에는 쓸 수 없다"
| 프로세스 등급 | 쓰기 가능 | 쓰기 불가 |
|---|---|---|
| 높은 등급 | 모든 등급 | - |
| 중간 등급 | 중간/낮은 등급 | 높은 등급 |
| 낮은 등급 | 낮은 등급만 | 중간/높은 등급 |
목적: 낮은 등급의 신뢰할 수 없는 프로세스가 높은 등급의 중요 데이터를 변조하는 것을 원천 차단.
3. 무결성 등급 vs 기밀성 등급
3.1 비교
| 속성 | 기밀성 등급 (벨-라파둘라) | 무결성 등급 (비바) |
|---|---|---|
| 높은 등급의 의미 | 가장 민감한 정보 | 가장 신뢰할 수 있는 출처 |
| 정보 흐름 | 위로만 흐름 | 아래로만 흐름 |
| 보호 대상 | 정보 유출 방지 | 정보 변조 방지 |
3.2 함께 사용
현실에서는 기밀성과 무결성을 동시에 보호하기 위해 두 모델을 조합한다:
[ 병행 사용 ]
벨-라파둘라: NRU + NWD (정보 유출 차단)
비바: NRD + NWU (정보 변조 차단)
결과: 기밀성과 무결성이 모두 보호됨
4. 비바 모델의한계와 Clark-Wilson
4.1 비바 모델의한계
비바 모델은 **"동일 등급 내에서의 변조"**는 방지하지 못한다:
[ 문제 상황 ]
부서A 팀장(중간 등급)과 부서B 팀장(중간 등급)이 같은 등급
-> 서로의 문서를 자유롭게 읽고 쓸 수 있음 (NRD/NWU 위반 없음)
-> 동등한 위치에서 共謀(공모)하여 데이터 조작 가능
4.2 Clark-Wilson 모델
실무적 무결성 보장을 위해 Clark-Wilson 모델이 제안되었다:
| 메커니즘 | 설명 |
|---|---|
| Well-formed Transaction | 올바른 형식으로만 데이터 변경 가능 |
| Separation of Duty (SoD) | 권한 분리를 통해 부당한 변경 방지 |
5. 기대효과 및 결론
- 무결성 보호: 데이터 변조/조작을 원천 차단
- 한계점: 동일 등급 내의 공범 가능성, 정보 흐름 제한
- 실무적 확장: Clark-Wilson 모델과의 조합으로 실무 적용
관련 개념 맵 (Knowledge Graph)
| 관련 개념 | 설명 |
|---|---|
| 벨-라파둘라 (580장) | 비바 모델과 거울 상(镜像) 관계 |
| Clark-Wilson | 실무적 무결성 보장 모델 |
| MAC (579장) | 비바 모델이 적용되는 상위 체계 |
| NIST FIPS 199 | 정보 보안의 3대 목표 (기밀성, 무결성, 가용성) |
👶 어린이를 위한 3줄 비유 설명
-
비바 모델은 놀이공원의 **"위생 등급 제도"**와 같다. 위생 등급이 높은 식당(높은 무결성)은 위생 등급이 낮은 식당(낮은 무결성)의 재료를 사용할 수 없고, 반대로 위생 등급이 낮은 식당은 높은 등급의 재료를 사용할 수 없다.
-
**NRD (No Read Down)**는 **"청결 식당은 불결 식당의 음식을 읽지(檢収(검수)) 않는다"**는 규칙과 같다. 청결 식당이 불결 식단의 재료를 사용하면 자기 위생 등급이 떨어질 수 있다.
-
**NWU (No Write Up)**는 **"불결 식당은 청결 식단에 재료를 쓸 수 없다"**는 규칙과 같다. 불결 식당이 청결 식단의 재료에 손을 대면, 청결 식단 전체의 위생 등급이 오염될 수 있다.
-
한계는 같은 위생 등급 식당끼리는 재료를 자유롭게 주고받을 수 있어서, 둘이 共謀(공모)하면 위생 등급 전체를 깨뜨릴 수 있다는 점이다.