A Model of Role Hierarchies providing Restricted Permission Inheritance

권한상속 제한 기능을 제공하는 역할계층 모델

Abstract

Role-based Access Control(RBAC) model has advantage of easy management of access control with constraints such as permission inheritance and separation of duty in role hierarchy. However, previous RBAC studies could not properly reflect the real-world organization structure with its role hierarchy. User who is a member of senior role can perform all permissions because senior role inherits all permissions of junior roles in the role hierarchy. Therefore there is a possibility for senior role members to abuse permissions due to violation of the least privilege principle. In this paper, we present a new model of role hierarchy, which restricts the unconditional permission inheritance. In the proposed model, a role is divided into sub roles(unconditional inheritance. restricted inheritance, private role), keeping organization structure in corporate environment. With restricted inheritance, the proposed model prevents permission abuse by specifying the degree of inheritance in role hierarchy.

역할기반 접근통제 모델(RBAC)은 역할 계층구조에서 권한의 상속과 임무분리와 같은 제약조건을 다룸으로써 접근권한의 관리를 수월하게 하는 장점이 있다. 하지만 기존의 RBAC 연구에서는 현실세계의 기업 환경에서 일어나는 역할계층을 제대로 반영한다고 볼 수 없다. 역할 계층에서, 하위의 접근 권한이 모두 상위 역할로 상속된다는 것은 최소권한(least privilege) 원칙이 위배로 인한 권한 남용의 문제를 일으킬 수 있다. 본 논문에서는 기업 환경에서 조직체계를 유지하면서 역할을 여러 개의 부역한(sub role)로 세분화하여 전체 상속, 부분 상속, 상속되지 않는 역할로 나누어 부역할 간 계층관계를 새롭게 정의함으로써 무조건적인 권한의 상속을 제한하는 모델을 제시한다. 특히, 권한 상속제한에 있어서는 역할 계층 내에서 상속되는 상위역할을 명시함으로써 불필요한 권한 상속으로 인한 권한남용을 방지한다.

Ⅰ. 서론

최근 들어 기업 및 정부 조직의 보안체제 구축 요구가 급증하여 이에 대한 연구가 활발히 진행되고 있다. 대부분의 기업과정부기관들이 관련 업무를 정보처리 시스템에 의존함에 따라 인가된 주체나 사용자에게 자원들(resources)들이 불법 노출되면 조직운영이 어렵게 될 수 있다. 따라서 권한이 있는 사용자들에게만 특정 데이터 또는 자원들이 제공 되는 것을 보장하기 위해 서로 다른 종류의 접근통제 (access control)를 구현하기 위해 노력하였다. 접근통제는 일반적으로 어떤 사용자(users) 또는 사용자 집단(groups of users)이 자원에 대해서 조회, 변경 등의 연산(operations)을 수행할 수 있는가 없는가에 대하여 제한할 수 있는 수단이다.^[1]

지금까지 연구된 접근통제 모델로는 임의적 접근통제 (Discretionary Access Control: DAC)와 강제적 접근통제(Mandatory Access Control: MAC)가 있다. 이러한 접근통제 방법은 기업 환경에 적용하는데 한계가 있기 때문에 여러 대안이 연구되고 있는데 역할기반접근통제(Role-Based Access Control: RBAC)는 기업의 조직구조를 바탕으로 구성되었으므로 전통적인 접근통지 방식인 MAC과 DAC의 대안으로 평가되고 있다. 闵

RBACe 역할을 기반으로 접근통제 서비스를 제공하고자 제시된 모델로서 그 중심내용은 권한이 역할에 부여되고, 사용자는 조직 내에서 책임과 자격에 맞는 역할에 할당된다는 것이다. 따라서 역할에 할당된 사용자만이 그 역할에 배정된 접근권한을 사용할 수 있다. 특히, 기업의 관리 및 업무 구조 체계를 RBAC모델의 역할(role)로 사상한 역할 계층(Role Hierarchy)구조 개념의 도입으로, 관리가 용이하기 때문에 DAC이나 MAC에 비해 복잡한 기업 환경을 자연스럽게 모델링 하는 장점이 있다.

그러나 기업 환경에서 접근통제는 단순히 역할을 사甘한 역할 계층구조의 도입으로 모든 문제가 해결되는 것은 아니다. 그 이유를 살펴보면 다음과 같다. .조직구조와 역할 계층의 불일치 : 현실 세계에서는 상위역할에 속한 과장 역할이 하위 계층인 대리 역할과 아무런 관계가 존재하지 않을 수도 있디. 이때는 과장에 속하는 역할을 업무의 특성상 상속범위에 따라 나눌 수 있어야 한다.

. 권한의 남용 우려 : 역할계층은 하위 역할의 모든 권한을 상위역할이 모두 상속받는다는 개념을 의미한다® 현실세계에서는 이를 적절히 통제하는 방안들이 있지만, 현실을 컴퓨터에 투영한 컴퓨터세계에서는 단순히 역할 계층 개념으로 해결하려 한다면 상위역할에 배정된 사용자가 그 하위의 모든 역할의 권한을 다 소유하여 권한 ■-^(permission abuse)이 발생할 수 있다. 때문에 효율적인 인가 권한관리가 필요하다.

이와 같은 이유로 인해 기업 환경에 적합한 접근통제모델을 설계하는 일은 어렵고 기업의 특성을 충분히 반영한 모델이 부재한 실정이다. 지금까지 RBAC 모델에서는 역할 계층위에서 상위 역할에 배정된 사용자는 하위 역할의 모든 접근 권한을 상속받게 되는데, 이는 불필요한 권한의 실행을 허가 받게 되어 최소권한 원칙을 위배하게 된다. 실생활에서 하위 역할에 배정된 권한을 최 상위 역할에 배정된 사용자가 실행하지 않은 경우가 종종 일어나게 된다. 예를 들어, 부장(manager)는 사원(clerk)의 상위 역할이지만 부장(manager)은 사원(clerk)이 수행하는 ''register pur-cha阱”업무를 자동적으로 상속받지는 않는다同 이는 부장이 사원의 상위 역할이지만, 실제 생활에서 하위역할인 사원의 모든 업무를 다 상속받아 수행하지는 않는다는 것을 의미한다. 이런 문제점의 해결책으로 고유 역할(private role)을 통한 권한 상속제한이 있었다. 하지만 이것은 단지 권한의 상속을 방지하는 기능만을 제공할 뿐, 상속의 정도 제한이 요구되는 현실 세계에 적용하는 데는 한계가 있다.

본 논문에서는 이러한 문제점들에 대한 해결책으로 하나의 역할을 권한 상속 정도에 따라 여러 개의 부역할(Sub role)로 세분화 하였다. 하나의 역할을 조직공통 (Corfwate Common), 부서 공통(Department Commone. 상속제하(Restricted Inheritance). 고유역할(Private Role)로 나눔으로써, 조직구조와 역할 계층을 일치시키고 권한 남용의 우려를 해결할 수 있는 장점을 가진다. 또한 권한 상속을 제한하여 최소권한의 원칙을 지킬 수 있는 부가적인 이점도 얻는다.^ 본 논문의 2장에서는 RBAC에서 역할 계층과 관련된 연구를 살펴본다. 3장에서는 제안한 모델에 대해 설명하고, 4장에서는 제안한 모델의 정형화된 표현과 기존 모델과 비교 한다. 마지막으로 5장에서는 결론 및 향후 연구과제에 대해 설명한다.

Ⅱ. 관련 연구

RBAC의 중심적인 개념은 사용자가 기업이나 조직의 정보 자원을 임의로 접근할 수 없도록 하는 것이다. 대신에 접근 권한이 역할(role)에 부여되고 사용자는 적절한 역할에 소속됨으로써 역할의 수행에 필요한 최소 자원만을 접근할 수 있도록 한다. 이와같이, RBAC에서 역할은 가장 중요한 구성요소이며, 이러한 아이디어는 권한 관리를 매우 단순화 시켜주고 기업의 특정한 보안정책을 구현하는데 있어서 유연성을 제공하는 장점이 있다. 사용자는 그들의 업무적 권한과 책임에 따라 특정 역할의 구성원이 되며 접근 구조의 변경이 없이도 역할의 변경을 쉽게 할 수 있다.

Sandhu는 RBAC₉₆에서 권한을 효율적으로 관리하기 위해 역할 계층을 제안했다回 RBAC의 모든 권한은 역할에 의해 의존되기 때문에 RBAC내에서 역할들 간의 관계를 나타내는 역할 계층의 개념은 매우 중요하며, 복잡하고 거대한 기업 환경을 모델링하기 위해 RBAC에서의 역할 계충의 도입은 필수 불가결한 사항이다. RBAC₉₆에서 역할 계층은 관련성이 있는 역할들 간의 부분순서 (partial order)관계로서 정의되며 특히, 역할 계층은 기업의 권한과 책임의 체계와 매우 유사하여 기업의 권한체계를 모델링 하는데 적합하다. 이런 특징으로 RBACe 기업 환경에 매우 적합한 접근 통제 방법으로 인식되고 있다. 또한 현실세계에서 상위 역할이 하위의 역할보다 더 많은 권한과 책임을 가지는 것을 의미하는 조직구조가 시스템 내의 구현에서는 하위 역할이 갖는 모든 접근권한을 상위역할이 무조건적으로 모두 포함하는 역할계층의 상속(inheritance)으로 표현된다.网

Moffete 현실적인 기업 환경에서 여러가지 다양한 역할 계층이 존재함을 제시하였다户 그는 상위역할은 그들의 하위 역할의 모든 접근권한을 상속하지만, 조직에서의 계층구조를 고려할 때, 어떤 환경에서 접근권한의 무조건적인 상속은 바람직하지 않음을 설명하고, 역할계층과 상속과 관련하여 다양한 역할 계층이 기업 환경에 존재함을 보였다.

Moffet이 제시한 대표적인 역할 계층은 다음과 같다. .

일반화 계층(Generalization Hierarchy)

집단화 계층(Aggregation Hierarchy) ,

관리 계층(Supervision Hierarchy)

Nyanchama는 역할 계층을 위해 역할 그래프(role graph)을 도입하였다.回 역할은 조직의 특성과 그 역할을 수행하는 사용자의 책임과 자격에 따라 생성되며, 하위 역할의 접근권한은 상위역할에 상속되어진다. 역할간의 접근권한의 상속되는 방향을 (-+)으로 표현할 때, 역할계층에서 부분순서 관계에 있는 역할은 접근권한 상속에 따라 [그림 1]과 같이 단순 접근권한(SI: Simple Inheritance), 공통 상위 접근권한(CS: Common Senior Inheritance)과 공통 하위 접근권한(CJ: Common Junior Inheritance)의 세 가지 유형으로 구분할 수 있다. Nyanchama가 제안한 세 가지 유형 모두 상위역할이 하위역할의 접근권한을 모두 상속받게 되는데, 이것은 상속의 원리를 준수하나 상위역할에 권한이 집중되어 권한 남용의 문제점이 발생한다. 이처럼 기존의 RBAC 연구는 권한을 효율적으로 관리하기 위해 접근 권한의 무조건적인 상속과 기업환경에 적합한 다양한 역할 계층의 도입, 상속 관계를 기초로 한 간단한 그래프 표현 등을 제시하고 있다. 하지만 이들 연구는 다음과 같은 한계를 나타내고 있다. 첫째, 현실 세계에서는 하위역할의 모든 권한이 상위 역할로 무조건적으로 상속이 이루어지지 않는 역할이 존재한다. 둘째, Moffet처럼 기업 환경에 적합한 여러 역할 계층의 도입은 하나가 아닌 여러개의 역할 계층을 관리해야하기 때문에 관리의 어려움이 발생한다. 셋째 그래프 표현이 효율적이긴 하지만 현실세계에서 요구되는 권한상속 정도(degree of inheritance)를 표현하지 못하는 한계를 지니고 있다. 또한, 기존연구에서 무조건적인 권한상속을 방지하기 위한 대안으로 고유역할(private role)을 도입했으나, 的 이는 권한 상속을 방지 기능만을 제공할 뿐, 권한 상속 제한에 대한 해결책은 되지 못해 고유역할 또한 그 한계를 나타낸다. 그러므로 이런 한계점을 극복하기 위해서는 권한상속 제한 기능을 제공하고, 다양한 역할 계층이 아닌 조직 체계와 유사한 단순한 역할계층을 도입하여 간단한 관리 기능을 제공하여야 한다. 또한 상속관계를 기본 배경으로 권한상속 제한기능을 간단한 그래프로 표현하고 정형화하는 연구가 요구된다.

〔그림 1) 역할의 구성

Ⅲ. 권한상속제한 기능을 제공하는 역할계층 모델

RBACe 일반적으로 조직구조와 권한 상속 특성이 하나의 역할계층에 표현됨에 따라 기업 환경의 조직구조를 자연스럽게 모델링 하는 장점이 있다. 그러나 역할계층의 상위 역할에 배정된 사용자는 하위역할에 배정된 전체권한을 상속받게 되어 불필요한 권한을 갖게 됨으로써 권한의 남용과 그로 인해 최소권한원칙에 위배됨을 알 수 있다. 이러한 문제점을 해결하기 위해 본 논문에서는 역할을 여러 개의 부역할로 세분화하여 상위역할에 무조건적인 상속을 제한하는 기능을 제공하는 모델을 제안한다.

3.1 역할 (role)

역할의 정의는 역할에 부여된 책임과 권한을 기술하는 조직 내의 업무 기능。ob fimction)으로 정의할 수 있다.倒 또한, 역할이 컴퓨터 시스템 안에 표현될 때는 업무기능을 수행하기 위해 필요한 여러 자원들에 대한 접근 권한들의 집합으로 표현된다.'이 본 논문에서는 상위역할로의 무조건적인 상속을 제한하기 위해 기업의한 역할을 각 업무별 상속정도의 특성에 따라 4개의 속성으로 표현된 부역할(sub role)로 분할한다. [그림 2]는 기존의 역할과 본 논문에서 제안한 업무별 상속정도에 따라 분할한 부역할을 나타내고 있다.

(그림 2) 기존의 역할과 제안된 모델에서의 역할

[그림 2]의 (a)에서 역할 rle 기업 내에서의 하나의 역할을 표현한 것이고 (b)는 역할에 배정된 권한들의 특징에 따라 조직 공통, 부서공통, 상속제한, 고유역할로 나눈 것이다. [표 1]은 하나의 역할을 여러개의 부역할로 분류하는 기준을 설명한 것이다.

[표 1] 기업환경에 따른 부역할 분류 기준

3.2 권한상속 제한 역할계층의 구조

RBAC₉₆에서 역할 계층은 관련성이 있는 역할들간의 부분순서 (partial order: 2)로 정의한다. [그림 3] 은 기존 모델의 역할 계층구조와 제안된 모델의 역할 계층구조를 비교하여 나타내고 있다.

〔그림 3〕기존의 역할계층과 제안된 모델의 역할계층 구조

[그림 3]에서 rner2i, 는 각각 조직공통과 부서공통의 역할계층으로서 하위역할에 배정된 모든 권한이 모든 상위역할에 상속된다. ri3->r23은 상속제한 역할계층으로서 제한적인 권한상속이 일어나는 계층이다. 마지막으로 m와 m는 고유 역할(private role)로서 상위역할에 대한 상속관계가 없는 역할이다. 그리고 사용자는 고유 역할에 배정한다. 기존의 RBAC에서는 보안관리자가 모든 역할에 사용자를 배정하는 것이 가능하지만, 제안된 모델에서는 하나의 역할을 여러 개의 부역할로 분할하였기 때문에 기존의 역할과 동일한 권한을 행사할 수 있도록 하기위해 모든 부역할의 권한을 상속받는 고유역할에 사용자를 배정한다. 이렇게 함으로써 제안된 모델을 기 구축된 RBAC모델에 적용할 때, 사용자 배정 부분과 동일한 효과를 줄 수 있을 뿐 아니라 상속제한 계층을 둠으로써 사용자가 하위의 모든 권한을 가짐으로써 발생할 수 있는 최소권한의 위배를 해결할 수 있는 장점을 가진다. 역할 rl을 rn, ri2, n3 고의 부역할로 세분화할 때, 부역할 사이에서 rM > m > r12 > rn의 단일 역할 내 계층구조(Intra-Role Role Hierarchy)가 존재한다. 사용자는 고유 역할에 배정되므로 그 하위의 역할인 조직공통, 부서공통, 상속제한 그리고 고유 역할에 배정된 모든 권한의 실행이 가능하다. 상속제한 역할 계층에서는 조직구조를 고려하여 역할들 간의 관계를 설정할 수 있기 때문에 조직구조와 역할 계층을 일치시킬 수 있으며, 상속제한 계층구조에서 상속을 제한 할 수 있기 때문에 권한 남용의 문제점을 해결할 수 있는 장점이 있다.

[그림 4]에서는 상속제한 역할 계층구조를 나타낸 것으로 가로와 세로로 업무(Job)별, 직위(Position)별계층구조를 가진다. 여기서 업무별 계층구조에서 조직공통계층은 조직구성원 모두가 이용 가능한 역할들이 여기에 해당되며, 직위별 계층구조에서 사원역할계층은 사원이 갖게 되는 전체 역할을 나타낸다. 또한 [그림 위에서 하나의 역할을 선택하면, 그 역할은 동시에 업무별, 직위별 계층구조에 속한다. 직위별 계층구조는 직위에 따라 나뉘어, 무조건적인 상속이 이루어지는 특징이 있고, 실선 (T) 으로 이루어진 관계이다. 또한 업무별 계층구조에서 고유역할은 상속이 안 되고, 조직공통과 부서공통계층 내에 있는 역할들은 배정된 권한 뿐 아니라 상속받은 권한 전체가 모두 상위 역할에 상속된다. 특호], 본 논문의 중심인 상속제한계층에 있는 역할은 점선(->)으로 표시되고, 역할에 배정된 접근권한의 상속이 이루어진다.

(그림 4) 상속제한 역할 계층 구조의 예

3.3 부역할(subrole)간 계층구조

조직공통, 부서공통 역할 간 계층에서는 하위 역할의 모든 권한이 자신의 모든 상위 역할에 상속되므로 기존의 역할 계층과 같다. 하지만 상속제한 계층구조는 제한적으로 권한 상속이 일어나는 역할을 나타낸 것으로 기존의 모든 것이 상속되는 역할 계층과 구분이 된다. 조직공통 및 부서공통 역할계층과 상속제한 역할계층간 상속특성에 대해서 [그림 5]를 바탕으로 설명한다. [그림 5]에서 상속관계를 표현할 때, 조직공통 역할과 부서공통 역할은 실선화살표(—)를 사용하며, 상속제한 역할은 점선 화살표(->)로 표기하며, 각각의 분할된 부 역할에 각각

〔그림 5) 부역할간 역할 계층 구조

[그림 5]에서 부서 공통 및 조직공통 역할계층 내 역할들의 관계는 실선 화살표 표시되어, 하위역할의 모든 유효 권한이 상위역할에 상속된다. 예를 들어 직위별 역할계층 ridTik인 관계에 의해, 역할 睨는 자신에게 배정받은 권한 仇} 이외에 역할 喚의 유효권한인 {a, d, g}를 갖게 되며, 또한 업무별 역할계층 rp — ip인 관계에 의해 자신에게 배정받은 권한 {h} 이외에 역할 *의 유효 권한인 {a, b, d, e}를 상속받게 된다. 결국 脫의 유효권한은 {a, b, d, e, g, h} 가 된다.

또한 제안된 모델에서 동일한 직위별, 업무별 계층에 있지 않는 두 부역할에 대해서도 상속관계는 형성된다. [그림 5]에서 예를 들어 可2 — 华이라는 관계가 있다고 할 때, 부역할 单, 圮은 서로 다른 직위별, 업무별 계층에 속하는 부역할이지만 이들 부역할 사이에도 상속 관계가 존재한다. r* pTe 부서공통역할계층에서 孕 —8관계가 형성되며, 과장직위 역할계층에서 般7凶의 관계가 있으므로 单 — 凶 관계에서도 상속관계가 형성함을 알 수 있다. 이렇게 서로 다른 두 업무별, 직위별에 있는 임의의 두 역할간에도 제안된 계층구조를 이용하여 업무별과 직위별 사이에서 나타난 상속관계를 알 수 있다.

3.4 상속제한 역할계층의 특징

상속제한 역할계층은 하위의 역할이 가지는 유효권한을 상위로 상속하는 것이 아니라, 명시적 권한만 상속함으로써 상속을 제한 할 수 있는 계층이다. 따라서 상속제한 역할계층에서는 역할에 배정된 명시적 권한만 상속관계에 영향을 미치며, 묵시적 권한은 상속관계에서 배제된다. 상속제한 역할계층에서는 상속을 원하는 상위의 역할을 구체적으로 명세하여 상속을 제한한다. [그림 6]에 제시된 (a)~(f)는 상속제한 역할계층에 대한 대표적인 예제를 나타낸 것이며, [표 2]는 [그림 6]과 같은 상속제한 역할계층이 주어졌을 때, 상속관계를 나타낸 것이다.

(그림 6] 상속제한 역할계층의 다양한 예

〔표 2) 상속제한 역할계층에서의 상속관계

Ⅳ. 제안된 모델의 정형화

본 절에서는 제안한 모델을 정형화하여 기술한다.

4.1 정의

4.1.1 역할의 정의

#

4.1.2 역할계층의 정의

#

4.1.3 함수 및 기타 정의

#

4.2 성질

#

4.3 임부 분리

임무분리 특성은 대부분의 상업 환경에서 요구되는 주요 보안성질이며, 상호배타성(mutual exclusive-ness)은 임무분리 특성을 구현하기 위한 방법들 중의 하나이다.的刈 임무분리의 종류凹로는 정적 임무분리(Static SoD), 동적 임무분리 (Dynamic SoD), 연산 임무분리 (Operational SoD), 객체 임무분리 (Object SoD) 등 다양하게 존재하지만 본 논문에서의 임무분리는 정적 임무분리를 나타낸다.

역할기반 접근통제 모델의 기본은 역할이며 역할 단위로 상호배타성을 부여함으로써 임무분리 특성을 구현할 수 있다. 하지만, 정보객체에 대한 실질적인 접근은 권한에 의해 이루어지므로 역할단위의 상호배타성은 권한단위의 상호배타성과 관련되게 된다. 또한, 상호배타적 역할은 정보의 무결성 보장을 위한 제약조건이며, 두 역할이 상호배타적 역할임을 결정하는 기준은 두 역할에 배정된 권한의 의미적 기능에 따르며 일반적인 규칙은 존재하지 않는다.冋

임무분리는 역할기반 접근통제 모델 관리과정의 사용자 배정 단계에서 상호 배타적 역할에 동일 사용자를 배정시키지 않음으로써 정보 시스템의 보안을 유지하는 보안특성이다. 이 특성은 역할에 대한 사용자의 권한부여 시점(authorization time)에서 역할단위의 상호배타성을 적용한다. 만일 역할 Tij, 1 葡가 상호배타적 역할인 관계이면, 사용자는 두 역할을 동시에 배정 받지 않아야 한다는 조건을 말한다.

제안된 모델에서 부역할 간에 임무분리를 만족하는 기본 규칙을 기술하면 다음과 같다.

4.3.1 제안된 부역할의 상호배타 관계

제안된 모델에서 부역할 간의 상호배타관계를 나타내면 다음과 같다.

#

4.3.2 임무분리 표현

제안된 모델에서 임무분리 제약조건을 만족하는 기준은 다음과 같다.

#

4.4 기존모델과의 비교

접근통제 모델에 대한 평가는 그 특성상 성능평가나 정량적인 평가가 어렵다. 따라서 본 논문에서는 제안한 모델이 RBAC의 근본 취지와 현실세계를 얼마나 잘 반영하고 있는가에 대해서 [4]와 [5]의 논문을 이용하여, [표 3]에서 비교 평가한다. [4]의 privaterole이나 [5]의 Class P는 상속의 방지(block)에 매우 효율적이지만, 선택적인 상속이 이루어지는 경우에는 접근통제 적용에 어려움이 있다. 제안된 모델은 기업환경의 조직구조와 상속 특성을 기준으로 역할을 구분한 것으로 기업 내의 역할에서 발생할 수 있는 다양한 상속제한 기능을 제공하기위해 제안되었다.

〔표 3) 기업환경에 따른 부역할 분류 기준

Ⅴ. 결론 및 향후 연구과제

역할기반 접근통제는 기업의 조직구조에 적합하고 정보자원을 효율적으로 관리할 수 있다. 하지만 기존연구에서는 상위역할이 하위역할이 가지는 모든 권한을 그대로 행할 수 있어 발생하게 되는 권한남용문제를 내포하고 있다. 본 논문에서는 RBAC 모델의 속성을 유지하면서 역할을 업무별 상속정도에 따라 여러 개의 부역할로 세분화하는 모델을 제안하였다. 제안된 모델은 다음과 같은 장점이 있다. 첫째로 권한상속의 관점에서 역할의 종류를 분류하여 조직공통, 부서공통, 상속제한, 고유역할 부역할로 분할하였기 때문에 하위역할이 상위역할로 무조건적으로 상속되는 것을 제한하는 상속제한 기능을 제공한다. 둘째로, 권한 상속을 유효 권한과 명시적 권한의 상속을 구분하여 나타냈으며, 이는 부수적으로 상속제 한역할 구조를 이용하여 무조건적인 상속을 방지함으로써 권한 남용문제를 해결하고 최소권한의 원칙을 유지하는 장점이 있다. 셋째로, 역할계층의 관리에 있어 기업 내에 존재하는 여러 역할 계층으로 분리하여 관리하는 기존의 방안보다, 조직 체계와 유사한 역할계층 안에 업무별, 직위별 역할계층을 표현하여 조직체계와 유사한 모델링이 가능하게 했다.

향후 연구 분야는 논문에서 언급하지 않았지만 역할의 수가 증가 하면서 발생하는 문제점을 해결하기 위해 부 역할을 잘 정의하여 실제 조직을 그대로 반영할 수 있는 시스템을 구현할 필요가 있다. 또한 권한의 하위에서 상위로 상속되는 모델뿐만 아니라 권한이 상위 역할에서 하위로 위임되는 권한 위임모델에 대한 연구가 필요하다.

* 본 연구는 한국전자통신연구원 연구과제(0701-203-0021) 지원으로 수행하였습니다.