[오늘의 보안 영어] delegated permission

“Importantly, Sentonas and Kurtz wanted to disabuse the audience of the notion that threat actors need full admin access to set up new users. They don't, and Sentonas showed exactly how just delegated permissions could allow him to move freely about the company's customer relationship management system.”
-DarkReading-

[이미지 = gettyimagesbank]

- delegate라고 하면 책임이나 권한을 양도 및 위임하는 것을 말합니다. delegation이라고 하면 보통 사절단을 말하는 것이 그러한 이유입니다. 국가나 공동체를 대표하는 조직이 delegation이죠.

- permission은 여러 가지 뜻이 있지만 ‘허가’를 뜻하는 것이 보통이며, 어떠한 맥락과 상황에서의 ‘허가’냐에 따라 ‘승인’이나 ‘권한’ 등으로 대체되기도 합니다. 핸드폰에 앱 설치할 때 앱에서 저장소에 접근해도 되느냐, 주소록에 접근해도 되느냐, 카메라에 접근해도 되느냐 등을 묻고 승인을 받으려 하죠? 이 때 ‘네’를 누르면 그 앱에 ‘권한’을 주는 것이고, 이 때의 권한을 permission이라고 합니다.

- delegated permission은 사용자가 권한을 앱에 부여해 그 앱이 사용자 대신 특정 정보나 앱에 접근할 수 있게 되는 것을 말합니다. 앱이 특정 임무를 수행하도록 하기 위해 그 앱에 위임된 권한이 delegated permission인데, 이런 것이 가능하니 사용자는 보다 편리하게 여러 가지 업무를 해낼 수 있게 됩니다.

- 대신 이 delegated permission이 있기 때문에 공격자 역시 편리해집니다. 위 예문에서 지적됐다시피 공격자가 관리자 권한을 훔치는 데 성공해야만 할 수 있었던 일들이 이 delegated permission 때문에 가능하게 되었다는 것이죠.

- delegated permission은 scope이라고 부르기도 합니다.

- 애플리케이션이 가진 권한이라고 해서 application permission이라는 말도 사용되는데, 이는 delegated permission과는 다릅니다. application permission은 사용자가 앱에 영구히 부여하는 권한을 말하고, delegated permission은 로그인 한 사용자가 사용자 대신 임무를 수행하도록 부여하는 일시적인 권한을 말합니다. application permission은 app role이라고도 합니다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)