Bell-LaPadula Model

개요

Bell-LaPadula 모델은 컴퓨터 시스템 내에서 정보의 기밀성(Confidentiality) 보장을 목적으로 설계된 **형식적 보안 모델(Formal Security Model)**로, 군사 및 정부 기관 등 보안 등급이 중요한 환경에서 널리 사용되어 왔습니다. 사용자와 데이터 간의 접근을 수학적으로 통제함으로써 민감한 정보의 유출을 방지하는 데 특화된 보안 모델입니다.

---

1. 개념 및 정의

Bell-LaPadula(BLP) 모델은 1970년대 미국 MITRE 연구소에서 개발되었으며, 보안 주체(사용자)와 객체(데이터)에 **보안 등급(Security Level)**을 부여하고, 이를 기반으로 접근 제어를 수행합니다. 핵심은 데이터의 기밀성 보호로, 무단 열람(Read)을 방지하는 데 중점을 둡니다.

---

2. 특징

특징	설명	비고
기밀성 중심	정보의 열람(Read) 통제를 핵심으로 함	무결성은 다루지 않음
수학적 모델링	형식 언어로 접근 제어 정의	이론적 근거 제공
계층적 보안 등급	Top Secret, Secret, Confidential 등	군사 기관에 최적화

BLP는 정보 흐름 제어를 통해 하위 등급 사용자의 고급 정보 접근을 원천 차단합니다.

---

3. 구성 요소

구성 요소	설명	예시
보안 주체(Subject)	시스템 자원에 접근하는 사용자 또는 프로세스	사용자 계정, 프로세스 등
보안 객체(Object)	정보 자산, 데이터, 파일 등	문서, 데이터베이스 등
보안 등급(Security Label)	주체와 객체에 부여된 등급 정보	TS > S > C > U
보안 정책(Rules)	접근 통제를 위한 수학적 규칙	아래 참조

주체와 객체의 등급 관계에 따라 허용 가능한 접근 권한이 달라집니다.

---

4. 기술 요소 (보안 규칙)

보안 규칙	설명	정책 목적
Simple Security Property ("No Read Up")	주체는 자신의 등급 이하의 객체만 읽을 수 있음	상위 정보 열람 방지
*-Property (Star Property, "No Write Down")	주체는 자신의 등급 이상의 객체에만 기록 가능	하위 정보로의 누출 방지
Discretionary Security Property	주체 간의 권한 설정에 따른 접근 제어	DAC 모델 일부 적용

이러한 규칙을 통해 기밀성 위반 가능성을 최소화하는 체계적 보안 구조를 구성합니다.

---

5. 장점 및 이점

장점	설명	기대 효과
철저한 기밀성 보장	정보의 무단 열람, 유출 차단	군사·정부기관 보안에 적합
체계적인 접근 통제	등급 기반의 명확한 규칙	정책 기반 보안 운영 가능
수학적 검증 가능	모델 기반으로 보안 정책 검증 가능	형식적 방법론 활용 가능

기밀성이 핵심인 시스템에서는 가장 신뢰할 수 있는 접근 통제 모델로 평가됩니다.

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
군사 보안 시스템	기밀 문서 열람 제어	다중 등급 환경 구성 필요
정부기관 정보시스템	외부 노출 방지 목적	무결성과 가용성은 별도 보완 필요
인증 시스템 설계	보안성 검증이 요구되는 인증 설계	정책 적용 범위 명확화 필요

BLP는 기밀성만을 다루므로, 무결성(Integity)이나 가용성(Availability)은 Biba 모델 등과 함께 고려해야 합니다.

---

7. 결론

Bell-LaPadula 모델은 기밀성 유지가 가장 중요한 환경에서 탁월한 효과를 발휘하는 형식적 보안 모델입니다. 정보의 열람과 기록을 등급 기반으로 제어함으로써 민감한 정보의 누출을 원천적으로 차단할 수 있으며, 특히 군사 및 정부기관에서의 정보보호 정책 수립에 널리 채택되고 있습니다. 향후에도 기밀성 중심 보안이 필요한 산업군에서 핵심 보안 모델로 활용될 것입니다.