제로 트러스트
Alpacon이 실제로 제로 트러스트를 적용하는 방식과, 전통적인 SSH와의 차이를 설명합니다.
제로 트러스트란?
제로 트러스트는 “신뢰하지 말고 항상 검증하라”는 원칙에 기반한 보안 모델입니다. 네트워크 내부/외부를 구분하지 않고 모든 접근을 매번 검증합니다.
전통적인 SSH 방식의 한계
보안 위험
인터넷에 노출된 포트 22
- SSH 데몬에 대한 지속적인 봇 스캔 (하루 수천 번)
- 무차별 대입 공격 시도
- SSH 데몬의 제로데이 취약점
- fail2ban과 방화벽을 써도 공격 표면이 남음
전체 접근 권한을 가진 상시 키
- SSH 키는 “전부 아니면 전무” 방식
- 읽기 전용 작업에도 전체 접근 권한 필요
- 키가 유출되면 공격자가 서버를 완전히, 지속적으로 제어
- 접근을 범위로 제한하거나 시간 제한할 기본 수단이 없음
운영상의 문제
키 순환의 어려움
- 서버 10대면 키 10개 관리
- 저장소마다 별도 시크릿 복사본 필요
- 순환하려면 모든 서버와 저장소를 손대야 함
- 중앙화된 뷰 없음
감사 추적 부재
- 로그가 여러 서버에 분산
- SSH 로그는 IP 주소만 보여줄 뿐, 누가 또는 어떤 워크플로우인지 알 수 없음
- “지난 화요일 오후 3시에 누가 배포했나” 추적이 어려움
Alpacon이 제로 트러스트를 적용하는 방식
공유 키가 아니라 본인으로 접속
배포하거나 유출될 SSH 키가 없습니다. Alpacon(IAM) 신원으로 인증하며, 파일 소유권·sudo·감사 기록이 모두 본인으로 귀속됩니다. IAM에서 빼면 모든 곳에서 접근이 사라집니다.
상시 접근이 없음
접근은 작업 세션으로 부여됩니다. 필요한 서버·도구·시간 범위를 요청하면 관리자가 승인하고, 시간이 지나면 자동으로 만료됩니다. 작업이 끝난 뒤 열려 있는 것이 없으므로, 훔칠 상시 자격 증명도 없습니다. Alpacon 작동 방식을 참고하세요.
노출된 포트 없음
서버는 인바운드 포트를 열지 않습니다. Alpamon 에이전트가 Alpacon으로 아웃바운드 연결을 맺으므로, 스캔할 SSH 포트도 시도할 무차별 대입도 없습니다.
- 서버가 아웃바운드 연결을 시작
- 서버에 인바운드 포트 없음
- 인터넷에서 발견 불가능
자동화까지 포함한 최소 권한
작업 세션은 특정 서버와 도구로 범위가 제한됩니다. 자동화에는 공유 키 대신 범위 제한 토큰을 발급합니다. 토큰에는 ACL이 있어 사용할 수 있는 범위나 명령을 정확히 제한하며, 유출되더라도 허용된 동작만 작동하고 한곳에서 취소할 수 있습니다. 토큰과 서비스 토큰을 참고하세요.
결정 지점에서 검증
MFA는 매 명령마다가 아니라 중요한 순간(민감한 작업, 인증 유효 기간 만료)에 사람이 있는지 확인합니다. Alpacon 작동 방식을 참고하세요.
완전한 감사 추적
모든 세션이 하나의 타임라인에 기록됩니다. 명령, 파일 전송, sudo 권한 부여, 터미널 녹화에 더해, 세션이 끝나면 AI 위험 분석이 추가됩니다. Audit을 참고하세요.
보안 이점 요약
| 측면 | SSH | Alpacon |
|---|---|---|
| 포트 노출 | 22번 포트 필수 | 포트 노출 없음 |
| 접근 수명 | 상시 키 | 시간 제한 작업 세션 |
| 신원 | 공유 계정·키 | 본인 IAM 신원 |
| 접근 제어 | 전체 서버 접근 | 범위 제한 세션·토큰 |
| 자격 증명 관리 | 서버당 개별 키 | 워크스페이스 중앙 관리 |
| 감사 | 분산된 로그 | 세션당 타임라인, AI 분석 |
| 유출 시 영향 | 전체 서버 제어 | 부여된 범위만 |