Lattice Model

개요

Lattice 모델은 컴퓨터 보안에서 주체(사용자)와 객체(데이터) 간의 정보 흐름을 수학적으로 구조화하여 표현하는 보안 모델입니다. 특히 다중 보안 등급(Multi-Level Security, MLS) 환경에서 정보의 비인가 유출이나 변조를 방지하기 위해 활용되며, 군사 및 정부 시스템에서 많이 채택됩니다. 이 모델은 정보의 기밀성과 무결성을 동시에 통제하는 데 강점을 갖고 있습니다.

---

1. 개념 및 정의

Lattice 모델은 **격자(Lattice)**라는 수학적 구조를 기반으로, 주체와 객체에 할당된 보안 등급 및 범주를 이용해 허용된 정보 흐름을 정의합니다. 주체는 자신의 보안 등급과 범주에 따라 상위 또는 하위 객체에 접근이 제한되며, 이는 정보 유출 또는 불필요한 정보 노출을 방지하는 데 사용됩니다.

---

2. 특징

특징	설명	비고
수학 기반 보안 모델	격자 이론에 기초하여 접근 제어 정의	명확하고 형식적인 정책 수립 가능
등급 및 범주 동시 사용	보안 등급 + 정보 범주로 접근 통제	예: (Secret, NATO) 등 복합 구성
상하위 흐름 제어	허용된 정보 흐름만 가능	정보 유출 방지에 최적화

Lattice 모델은 Bell-LaPadula, Biba 모델의 이론적 기반이 되며 다양한 보안 정책의 구현을 가능하게 합니다.

---

3. 구성 요소

구성 요소	설명	예시
주체(Subject)	정보를 사용하는 사용자 또는 프로세스	사용자 A, 시스템 서비스 등
객체(Object)	정보 또는 자원	문서, 파일, DB 레코드 등
보안 레이블(Security Label)	등급(Level)과 범주(Category)의 조합	(Secret, Nuclear), (Confidential, HR) 등
정보 흐름 규칙	허용된 방향의 정보 흐름만 가능	아래 참조

접근 제어는 보안 레이블 간의 ‘허용 가능한 흐름(≼)’ 관계에 의해 결정됩니다.

---

4. 기술 요소 (접근 규칙)

규칙	설명	보장하는 속성
읽기 권한: No Read Up	주체는 자신보다 높은 등급의 객체를 읽을 수 없음	기밀성 보호 (Bell-LaPadula)
쓰기 권한: No Write Down	주체는 자신보다 낮은 등급의 객체에 쓸 수 없음	기밀성 유지, 정보 유출 방지
정보 흐름 제한	허용된 격자 경로로만 정보 흐름 가능	무결성과 기밀성 동시 보장

이러한 규칙은 정보 유출뿐만 아니라 정보의 무결성 훼손도 방지하는 역할을 합니다.

---

5. 장점 및 이점

장점	설명	기대 효과
수학적 보안 모델	형식 기반으로 검증 가능	정책 신뢰성 및 일관성 확보
다단계 접근 제어 가능	복잡한 보안 요구사항 수용 가능	정부·국방 환경에 적합
다양한 보안 모델과 통합 가능	BLP, Biba 등과 연계 가능	포괄적 보안 설계 가능

Lattice 모델은 보안 등급 구조가 정형화된 조직에서 특히 높은 효과를 발휘합니다.

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
군사 기밀 시스템	정보 등급별 열람/수정 통제	사용자 인증 및 등급 할당 체계 필수
정부 문서 관리 시스템	부서 간 정보 흐름 통제	등급-범주 기준 관리 체계 필요
보안 운영 체계(SOC)	상하위 권한 사용자 간 정보 격리	로그 기반 흐름 분석 필요

적절한 레이블링 정책과 자동화된 등급 부여 시스템이 병행되어야 효과가 극대화됩니다.

---

7. 결론

Lattice 모델은 정보의 기밀성과 무결성을 격자 구조로 정형화하여, 정보 흐름을 통제하는 강력한 보안 모델입니다. 수학적으로 증명 가능한 구조로 인해 고신뢰 보안 체계에서 많이 채택되며, Bell-LaPadula나 Biba 모델의 기반이 되는 이론적 틀을 제공합니다. 향후에는 AI 기반 자동 레이블링, 정책 시각화 도구 등과 결합하여 더 정교한 보안 환경으로 발전할 것입니다.