Positive Security Model / Negative Security Model

종종 IT보안 관련 내용들을 보다보면, Positive Security Model 과 Negative Security Model 에 대한 내용들을 종종 볼 수 있다. (나는 업무 특성상, WAF/WAAP 계열 제품에서 많이 듣게되었다.)

해당 내용들이 헷갈리기 때문에, 잊어먹지 않기 위해 각 내용들에 대해 간략히 정리해 본다.

 

Positive Security Model

단어 뜻대로 직역하면 "긍정적 보안 모델" 이다.

(해석만 놓고보면 헷갈리기 쉽다.)

보안적 측면에서 보면, "허용할" 대상들에 대해서 미리 정의해놓는 개념이다.

쉽게 얘기하면 Allow List의 개념으로, 웹방화벽으로 따지면 접속할 URL/경로 등을 미리 정의해놓고, 나머지 경로에 대해서는 접속을 막아놓는 개념으로 볼 수 있다.

 

Negative Security Model

단어 뜻대로 직역하면 "부정적 보안 모델" 이다.

(이것도 해석만 놓고보면 이상하다.)

보안적 측면에서 보면, "금지할" 대상들에 대해서 미리 정의해 놓는 개념이다.

쉽게 얘기하면 Black List의 개념으로, 웹방화벽으로 따지면 Signature 정책으로 비유할 수 있다.

 

최근 WAF/WAAP 계열 솔루션들을 보면, Positive Security Model / Negative Security Model 두 모델을 다 사용할 수 있는 제품들이 늘어나고 있는 추세이다.

 

 

기타)

WAF/WAAP에서 오탐을 False Positive / 미탐을 False Negative라고 얘기하는데, 각각 의미를 보면 다음과 같다.

False Positive: 정상 트래픽을 오탐하여 차단하는 경우

False Negative: 비정상 트래픽을 미탐하여 차단하지 못하는 경우