핵심 인사이트 (3줄 요약)
- 본질: 비바 모델은 벨-라파둘라 모델과 대칭되는 접근 제어 모델로, **"정보의 무결성(변조/조작 방지)"**을 보호하는 것이 목적이다. 두 가지 기본 규칙인 **No Read Down (NRD)**과 **No Write Up (NWU)**을 제시한다.
- 가치: 이 규칙들에 의해 시스템의 중요한 데이터가 낮은 등급의 신뢰할 수 없는 프로세스에 의해 변조/조작되는 것이 차단되어, 데이터의 신뢰성이 보장된다.
- 한계: 상위 등급 사용자가 하위 등급의 정보를 읽지 못하므로, 정보 흐름이 제한되어 상하 간 협력/소통이 어려워지는 문제가 있다.
Ⅰ. 개요 및 필요성
1.1 벨-라파둘라 모델과의關係
| 모델 | 목적 | 핵심 규칙 |
|---|---|---|
| 벨-라파둘라 | 기밀성(Confidentiality) 보호 | No Read Up, No Write Down |
| 비바 | 무결성(Integrity) 보호 | No Read Down, No Write Up |
두 모델은 " mirror image (거울 상)" 관계에 있다.
1.2 무결성이란?
**무결성(Integrity)**이란 데이터가 **"権限(권한) 없이 변조/조작되지 않은 상태"**를 의미한다:
[ 예시: 은행 잔고 데이터 ]
정밀 데이터: 계좌 잔고 = 1,000,000원
변조 후: 계좌 잔고 = 1원 (악의적 조작)
- 📢 섹션 요약 비유: 복잡한 창고에서 필요한 물건을 찾기 위해 먼저 구역과 표지판을 세우는 것과 같다.
Ⅱ. 아키텍처 및 핵심 원리
2.1 Simple Integrity Axiom (No Read Down, NRD)
"자신의 무결성 등급보다 낮은 등급의 객체는 읽을 수 없다"
| 프로세스 등급 | 읽기 가능 | 읽기 불가 |
|---|---|---|
| 높은 등급 | 높은 등급, 같은 등급 | 낮은 등급 |
| 중간 등급 | 중간/높은 등급 | 낮은 등급 |
| 낮은 등급 | 모든 등급 | - |
목적: 낮은 등급의"不完整(불완전)" 또는 "悪意(악의적)" 정보를 높은 등급이 읽고 영향을 받는 것을 방지.
2.2 Integral Axiom (No Write Up, NWU)
"자신의 무결성 등급보다 높은 등급의 객체에는 쓸 수 없다"
| 프로세스 등급 | 쓰기 가능 | 쓰기 불가 |
|---|---|---|
| 높은 등급 | 모든 등급 | - |
| 중간 등급 | 중간/낮은 등급 | 높은 등급 |
| 낮은 등급 | 낮은 등급만 | 중간/높은 등급 |
목적: 낮은 등급의 신뢰할 수 없는 프로세스가 높은 등급의 중요 데이터를 변조하는 것을 원천 차단.
- 📢 섹션 요약 비유: 공장 컨베이어벨트가 어떤 순서로 부품을 받아 가공하고 내보내는지 설계도를 펼쳐 보는 것과 같다.
Ⅲ. 비교 및 연결
3.1 비교
| 속성 | 기밀성 등급 (벨-라파둘라) | 무결성 등급 (비바) |
|---|---|---|
| 높은 등급의 의미 | 가장 민감한 정보 | 가장 신뢰할 수 있는 출처 |
| 정보 흐름 | 위로만 흐름 | 아래로만 흐름 |
| 보호 대상 | 정보 유출 방지 | 정보 변조 방지 |
3.2 함께 사용
현실에서는 기밀성과 무결성을 동시에 보호하기 위해 두 모델을 조합한다:
[ 병행 사용 ]
벨-라파둘라: NRU + NWD (정보 유출 차단)
비바: NRD + NWU (정보 변조 차단)
결과: 기밀성과 무결성이 모두 보호됨
- 📢 섹션 요약 비유: 비슷해 보이는 공구를 나란히 놓고 언제 망치를 쓰고 언제 드라이버를 써야 하는지 구분하는 것과 같다.
Ⅳ. 실무 적용 및 기술사 판단
4.1 비바 모델의한계
비바 모델은 **"동일 등급 내에서의 변조"**는 방지하지 못한다:
[ 문제 상황 ]
부서A 팀장(중간 등급)과 부서B 팀장(중간 등급)이 같은 등급
-> 서로의 문서를 자유롭게 읽고 쓸 수 있음 (NRD/NWU 위반 없음)
-> 동등한 위치에서 共謀(공모)하여 데이터 조작 가능
4.2 Clark-Wilson 모델
실무적 무결성 보장을 위해 Clark-Wilson 모델이 제안되었다:
| 메커니즘 | 설명 |
|---|---|
| Well-formed Transaction | 올바른 형식으로만 데이터 변경 가능 |
| Separation of Duty (SoD) | 권한 분리를 통해 부당한 변경 방지 |
- 📢 섹션 요약 비유: 운전자가 도로 상황에 따라 기어와 브레이크를 다르게 선택하는 것처럼 조건별 판단이 중요하다.
Ⅴ. 기대효과 및 결론
-
무결성 보호: 데이터 변조/조작을 원천 차단
-
한계점: 동일 등급 내의 공범 가능성, 정보 흐름 제한
-
실무적 확장: Clark-Wilson 모델과의 조합으로 실무 적용
-
📢 섹션 요약 비유: 도구의 장점만 외우는 것이 아니라 어디까지 믿고 어디서 보완해야 하는지 기억하는 정리 노트와 같다.
📌 관련 개념 맵
| 개념 | 연결 포인트 |
|---|---|
| 강제적 접근 제어 (MAC, Mandatory Access Control) | 현재 개념으로 들어오기 전에 함께 이해하면 경계가 선명해지는 기반 개념이다. |
| 벨-라파둘라 모델 (Bell-LaPadula) | 현재 개념이 등장하게 만든 직접적인 선행 흐름이다. |
| 리눅스 보안 모듈 (LSM, Linux Security Modules) | 현재 개념이 구현·세분화될 때 바로 연결되는 후속 개념이다. |
| SELinux | 확장 학습이나 심화 비교로 이어지는 다음 단계의 키워드다. |
📈 관련 키워드 및 발전 흐름도
[벨-라파둘라 모델 (Bell-LaPadula)]
│
▼
[비바 모델 (Biba Model)]
│
├──▶ [리눅스 보안 모듈 (LSM, Linux Security Modules)]
└──▶ [SELinux]
이 흐름도는 선행 개념에서 현재 개념으로 넘어온 뒤, 구현 세분화와 후속 확장으로 이어지는 학습 순서를 압축해 보여준다.
👶 어린이를 위한 3줄 비유 설명
-
비바 모델은 놀이공원의 **"위생 등급 제도"**와 같다. 위생 등급이 높은 식당(높은 무결성)은 위생 등급이 낮은 식당(낮은 무결성)의 재료를 사용할 수 없고, 반대로 위생 등급이 낮은 식당은 높은 등급의 재료를 사용할 수 없다.
-
**NRD (No Read Down)**는 **"청결 식당은 불결 식당의 음식을 읽지(檢収(검수)) 않는다"**는 규칙과 같다. 청결 식당이 불결 식단의 재료를 사용하면 자기 위생 등급이 떨어질 수 있다.
-
**NWU (No Write Up)**는 **"불결 식당은 청결 식단에 재료를 쓸 수 없다"**는 규칙과 같다. 불결 식당이 청결 식단의 재료에 손을 대면, 청결 식단 전체의 위생 등급이 오염될 수 있다.
-
한계는 같은 위생 등급 식당끼리는 재료를 자유롭게 주고받을 수 있어서, 둘이 共謀(공모)하면 위생 등급 전체를 깨뜨릴 수 있다는 점이다.