RBAC vs ABAC

'인증'과 '인가'의 차이를 완벽히 정복했으니, 이제 인가(Authorization)의 핵심 기술인 RBAC와 ABAC를 정복할 차례입니다!

어려운 용어 같지만, 사실 "누구에게 어떤 기준으로 열쇠를 줄 것인가?"에 대한 두 가지 방법론일 뿐입니다. 이번에도 제로베이스에서 가장 쉽게, 그리고 자세하게 설명해 드릴게요.

---

1. RBAC (Role-Based Access Control)

"네 역할(직위)이 뭐야? 그 역할에 맞는 열쇠 세트를 줄게."

• 정의: 사용자의 '역할(Role)'을 기준으로 권한을 부여하는 방식입니다.
• 작동 방식: 1. 시스템에 '관리자', '에디터', '게시글 작성자'라는 역할을 미리 만듭니다.

2. 각 역할에 필요한 권한(읽기, 쓰기, 삭제 등)을 연결합니다.
3. 사용자에게 '관리자'라는 역할을 부여하면, 그 안에 담긴 모든 권한을 한 번에 갖게 됩니다.

• 특징: 관리가 매우 쉽습니다. 사람이 바뀌어도 역할만 지정해 주면 끝이니까요.
• 실생활 비유: 군대의 계급과 같습니다. '소대장'이라는 직책을 맡으면 그 직책에 허용된 모든 작전 통제권을 자동으로 갖게 되는 것과 비슷하죠.

---

2. ABAC (Attribute-Based Access Control)

"네가 누구인지뿐만 아니라, 지금 상황, 장소, 시간까지 다 따져보고 열어줄게."

• 정의: 사용자, 자원, 환경의 '속성(Attribute)'을 기준으로 권한을 부여하는 방식입니다.
• 작동 방식: 아주 세밀한 규칙(Policy)을 만듭니다.
• 누가: '인사팀' 소속이고,
• 언제: '평일 업무 시간'에,
• 어디서: '회사 내부 IP'로 접속했을 때만,
• 무엇을: '급여 명세서'를 볼 수 있다.

• 특징: 매우 정교하고 유연합니다. 상황에 따른 세세한 통제가 가능하지만, 규칙이 많아지면 관리가 복잡해질 수 있습니다.
• 실생활 비유: 미성년자 주류 구매 제한과 같습니다. 단순히 '손님'이라는 역할이 중요한 게 아니라, '나이(속성)'라는 조건이 충족되어야만 구매 권한이 생기는 것이죠.

---

📊 RBAC vs ABAC 한눈에 비교

이 두 개념을 표로 비교해 보면 차이점이 명확해집니다.

구분	RBAC (역할 기반)	ABAC (속성 기반)
판단 기준	사용자의 직책/역할	사용자, 환경, 자원의 다양한 속성
핵심 질문	"당신의 직급이 무엇입니까?"	"당신의 나이, 위치, 현재 시간이 조건에 맞습니까?"
유연성	낮음 (정해진 역할 내에서만 움직임)	매우 높음 (복잡한 조건 설정 가능)
관리 편의성	매우 높음 (대규모 조직에 유리)	보통 (규칙이 많아지면 복잡함)
주요 사례	일반적인 회사 사내 시스템	국방, 금융 등 고도의 보안이 필요한 시스템

---

🏠 더 쉬운 비유: 아파트 출입 시스템

• RBAC 방식: 경비원 아저씨가 XX님 얼굴을 보고 "아, 이 아파트 입주민이시네요. 들어오세요."라고 하는 것입니다. '입주민'이라는 역할만 확인되면 모든 공용 시설을 이용할 수 있죠.
• ABAC 방식: 공동현관문이 XX님을 인식할 때, "입주민 맞네(사용자 속성). 그런데 지금 새벽 2시(환경 속성)이고, XX님은 미성년자(사용자 속성)니까 헬스장(자원 속성) 문은 안 열어줄 거야."라고 판단하는 것입니다.

---

💡 결론

• RBAC는 "단순하고 명확한 권한 관리"가 필요할 때 씁니다. (대부분의 서비스)
• ABAC는 "상황에 따른 세밀한 보안 통제"가 필요할 때 씁니다. (매우 민감한 데이터)

이제 직급으로 나누는 RBAC와 조건으로 나누는 ABAC의 차이가 확실히 정리되셨나요?