인증 및 접근 제어

Alpacon은 인증된 사용자만 인프라에 접근할 수 있도록 강력한 인증 및 접근 제어 메커니즘을 구현합니다.

인증 인프라

Alpacon은 인증 제공업체로 Auth0 by Okta를 사용하여 엔터프라이즈급 보안과 신뢰성을 제공합니다:

Auth0를 사용하는 이유

  • 업계 선도: Auth0(Okta 인수)는 수천 개의 엔터프라이즈가 사용하는 신뢰받는 ID 플랫폼
  • 인증된 보안: SOC 2 Type II, ISO 27001 및 PCI DSS 인증
  • 컴플라이언스 준비: GDPR, HIPAA 및 기타 규제 요구사항 지원
  • 높은 가용성: 글로벌 인프라를 통한 99.99% 가동 시간 SLA
  • 지속적인 보안: Okta 보안 팀의 정기적인 보안 감사 및 업데이트
  • 고급 위협 탐지: 자격 증명 스터핑, 무차별 대입 공격 및 비정상적인 로그인 패턴에 대한 내장 보호

Alpacon 사용자를 위한 이점

Auth0를 활용하여 Alpacon은 다음을 제공합니다:

  • 검증된 보안: Fortune 500 기업이 사용하는 실전 테스트된 인증
  • 투명한 신뢰: Auth0의 보안 인증 및 컴플라이언스 보고서는 공개적으로 제공됨
  • 신속한 보안 업데이트: 새로 발견된 인증 취약점에 대한 즉각적인 보호
  • 풍부한 기능: 고급 인증 기능(MFA, SSO, 적응형 인증)에 대한 액세스
  • 신뢰성: 지리적 중복성 및 자동 페일오버로 인증이 항상 사용 가능

보안 참고: Alpacon은 인증을 위해 Auth0를 사용하지만, 권한 부여 및 접근 정책에 대한 완전한 제어를 유지합니다. Auth0는 “당신이 누구인지”(인증)를 처리하고, Alpacon은 “무엇을 할 수 있는지”(권한 부여)를 제어합니다.

인증 방법

이메일 및 비밀번호

모든 사용자를 위한 기본 인증 방법:

  • 이메일/비밀번호 로그인: 이메일과 비밀번호를 사용한 전통적인 인증
  • 소셜 로그인: 더 빠른 접근을 위한 Google 계정 로그인

비밀번호 요구사항:

  • 최소 8자(12자 이상 권장)
  • 대문자, 소문자, 숫자 및 특수 문자 포함 필수
  • 최근 5개 비밀번호 재사용 불가
  • 비밀번호 만료(선택사항, 워크스페이스 관리자가 구성 가능)

비밀번호 보안:

  • 적응형 비용 인자를 사용한 bcrypt로 저장
  • 솔트 해싱으로 레인보우 테이블 공격 방지
  • 실패한 로그인 시도에 대한 속도 제한(15분당 5회 시도)
  • 10회 연속 실패 시 계정 잠금

다단계 인증(MFA)

MFA는 사용자 계정에 추가 보안 계층을 추가합니다:

지원되는 MFA 방법

Alpacon은 보안과 편의성의 균형을 위해 다양한 MFA 방법을 지원합니다:

1. 하드웨어 보안 키(가장 안전)

  • FIDO2/WebAuthn 하드웨어 키 지원(YubiKey, Titan Key 등)
  • 피싱 방지 및 변조 방지
  • 가장 강력한 인증 방법
  • 높은 보안이 필요한 환경에 권장

2. 생체 인증

  • TouchID, FaceID, Windows Hello
  • 편리하고 안전함
  • 생체 데이터는 기기를 절대 떠나지 않음
  • 하드웨어 기반 보안

3. 시간 기반 일회용 비밀번호(TOTP)

  • 인증 앱과 호환(Google Authenticator, Authy, 1Password 등)
  • 30초마다 교체되는 6자리 코드
  • 오프라인 작동
  • 널리 지원됨

설정 프로세스:

  1. 설정 > 보안 > 다단계 인증으로 이동
  2. MFA 활성화 클릭
  3. 선호하는 방법 선택(하드웨어 키, 생체 인증, TOTP)
  4. 선택한 방법에 대한 설정 지침 따르기
  5. 복구 코드를 안전한 위치에 저장

4. 이메일 기반 OTP

  • 이메일을 통해 일회용 코드 수신
  • 다른 기기가 없는 사용자에게 편리
  • 백업 방법으로 사용 가능

5. SMS 기반 OTP

  • SMS를 통해 일회용 코드 수신
  • 다른 방법보다 덜 안전(SIM 스와핑에 취약)
  • 백업 방법으로만 사용 가능

6. 복구 코드 (Recovery Codes)

  • MFA 설정 시 생성되는 일회용 백업 코드
  • 각 워크스페이스는 기본적으로 10개의 복구 코드 생성
  • 주 MFA 방법을 사용할 수 없을 때 사용 (기기 분실, 전화 신호 없음 등)
  • 안전한 위치에 보관 (비밀번호 관리자, 금고 등)
  • 각 코드는 한 번만 사용 가능
  • 언제든지 새 코드 재생성 가능 (기존 코드 무효화)

복구 코드 사용 시기:

  • 하드웨어 보안 키 분실 또는 파손
  • 인증 앱이 있는 휴대폰을 사용할 수 없음
  • SMS 메시지를 받을 수 없음
  • 생체 인증 기기 오작동
  • 긴급 접근 상황

중요: 복구 코드를 비밀번호처럼 취급하세요. 복구 코드에 접근할 수 있는 사람은 누구나 MFA 보호를 우회할 수 있습니다.

MFA 시행 정책

워크스페이스 관리자는 MFA 요구사항을 구성할 수 있습니다:

# 워크스페이스 보안 정책
mfa_policy:
  enforcement: "required"  # none, optional, required, required_for_admins
  grace_period_days: 7     # 계정 생성 후 MFA 활성화까지의 일수
  trusted_devices: true    # 30일 동안 기기 기억
  recovery_codes: 10       # 생성할 복구 코드 수
  allowed_methods:         # MFA 방법 제한 (슈퍼유저 제어)
    - hardware_key         # YubiKey, Titan 등
    - biometric           # TouchID, FaceID, Windows Hello
    - totp                # 인증 앱

시행 수준:

  • None: 워크스페이스에서 MFA가 비활성화됨
  • Optional: 사용자가 MFA 활성화 여부를 선택
  • Required for Admins: 스태프와 슈퍼유저는 MFA를 사용해야 함
  • Required: 모든 사용자가 워크스페이스 접근을 위해 MFA를 활성화해야 함

MFA 방법 제한 (슈퍼유저 전용):

워크스페이스 슈퍼유저는 허용되는 MFA 방법을 제한하여 하드웨어 기반 보안을 강제할 수 있습니다:

  • 하드웨어 키만: YubiKey, Titan Key 또는 기타 FIDO2 장치 요구 (가장 안전)
  • 생체 인증만: TouchID, FaceID 또는 Windows Hello 요구 (높은 보안, 편리함)
  • 하드웨어 + 생체 인증: 하드웨어 기반 방법만 허용 (컴플라이언스 권장)
  • 모든 방법: TOTP 인증 앱도 허용 (덜 안전하지만 더 접근하기 쉬움)

왜 MFA 방법을 제한하나요?

하드웨어 키와 생체 인증은 소프트웨어 기반 TOTP보다 더 강력한 보안을 제공합니다:

  • 피싱 방지: 하드웨어 키는 원격으로 피싱하거나 도용할 수 없음
  • 스크린샷 불가: 생체 인증 데이터는 기기를 절대 떠나지 않음
  • 변조 방지: 하드웨어 보안이 멀웨어 공격을 방지
  • 컴플라이언스: 많은 규정이 하드웨어 기반 인증을 선호하거나 요구

추가 인증 (step-up authentication)

💎 Enterprise 플랜에서 사용 가능

민감한 작업의 경우, Alpacon은 이미 로그인되어 있어도 추가 인증을 요구합니다:

추가 인증이 필요한 경우

권한 있는 서버 접근:

  • 권한 있는 사용자(root, sudo 접근)로 서버 연결
  • 상승된 권한으로 Websh 사용
  • 민감한 디렉토리에 대한 쓰기 권한으로 WebFTP 접근
  • Deploy Shell 명령 실행

관리 작업:

  • 워크스페이스 보안 설정 수정
  • 사용자 초대 또는 제거
  • 사용자 역할 및 권한 변경
  • 감사 로그 접근

작동 방식:

  1. 초기 로그인: 비밀번호 + MFA로 인증
  2. 권한 있는 작업: 권한 있는 리소스에 접근 시도
  3. 추가 인증 프롬프트: MFA로 재인증 (최근에 로그인했어도)
  4. 시간 제한: 상승된 세션은 15분 지속 (구성 가능)
  5. 자동 만료: 타임아웃 후 재인증 필요

예시 흐름:

사용자 로그인 → [비밀번호 + MFA] → 접근 허용 (표준 권한)

사용자가 "root로 prod-db-01 연결" 클릭

추가 인증 필요 → [MFA 확인]

권한 있는 접근 허용 (15분)

보안 이점:

  • 세션 하이재킹 방지: 도용된 세션으로 권한 있는 리소스에 접근할 수 없음
  • 피해 범위 제한: 침해된 계정의 잠재적 피해가 제한됨
  • 감사 추적: 일반 접근과 권한 있는 접근의 명확한 구분
  • 컴플라이언스: 권한 있는 접근 관리(PAM) 요구사항 충족

모범 사례:

  • 추가 인증 타임아웃을 짧게 유지 (15분 이하)
  • 권한 있는 접근에 하드웨어 키 또는 생체 인증 요구
  • 모든 추가 인증에 대한 알림 활성화
  • 권한 있는 접근 로그 정기적으로 검토

싱글 사인온(SSO)

💎 엔터프라이즈 플랜에서 사용 가능

조직의 ID 제공업체와 통합:

지원되는 프로토콜

SAML 2.0

  • 업계 표준 연합 프로토콜
  • Azure AD, Okta, OneLogin, Google Workspace 등과 호환
  • Just-in-time(JIT) 사용자 프로비저닝
  • 중앙 집중식 사용자 관리

OAuth 2.0 / OpenID Connect

  • 현대적인 인증 프로토콜
  • Google, Microsoft, GitHub 및 사용자 정의 제공업체 지원
  • SAML보다 빠른 설정
  • 모바일 친화적 인증

접근 제어

역할 기반 접근 제어(RBAC)

Alpacon은 계층적 권한 시스템을 사용합니다:

사용자 역할

1. 유저(일반 사용자)

  • 모든 워크스페이스 멤버의 기본 역할
  • 할당된 서버 및 리소스에만 접근
  • 워크스페이스 설정 수정 불가
  • 다른 사용자 초대 불가

2. 스태프

  • 관리 권한
  • 서버 및 사용자 관리 가능
  • 사용자 그룹 구성 가능
  • 감사 로그 조회 가능
  • 워크스페이스 청구 수정 또는 워크스페이스 삭제 불가

3. 슈퍼유저

  • 전체 관리 접근 권한
  • 모든 워크스페이스 설정 수정 가능
  • 청구 및 구독 관리 가능
  • 워크스페이스 삭제 가능
  • 다른 사용자 승격/강등 가능

사용자 그룹

사용자 그룹은 효율적인 권한 관리를 가능하게 합니다:

이점:

  • 여러 사용자에게 한 번에 권한 할당
  • 팀, 부서 또는 역할별로 사용자 구성
  • 동적 접근 제어(그룹에 사용자 추가 → 즉시 접근)
  • 더 쉬운 감사 및 컴플라이언스

모범 사례:

  • 개인이 아닌 직무 기능을 기반으로 그룹 생성
  • 명명 규칙 사용(예: team-devops, team-security)
  • 정기적인 그룹 멤버십 검토
  • 그룹 목적 및 접근 수준 문서화

세션 관리

세션 보안

  • 자동 타임아웃: 12시간 비활성 후 세션 만료(구성 가능)
  • 동시 세션 제한: 사용자당 최대 5개의 활성 세션
  • 기기 추적: 기기 및 위치별 활성 세션 추적
  • 원격 세션 종료: 사용자 또는 관리자가 원격으로 세션 종료 가능

신뢰할 수 있는 기기

사용자는 기기를 신뢰할 수 있는 것으로 표시할 수 있습니다:

  • 30일 동안 기기 기억
  • 신뢰할 수 있는 기기에서 MFA 건너뛰기(정책에서 활성화된 경우)
  • 설정에서 신뢰할 수 있는 기기 보기 및 관리
  • 언제든지 신뢰 취소 가능

네트워크 보안 이점

Alpacon의 게이트웨이 기반 아키텍처는 기존 SSH 접근 방식보다 훨씬 더 강력한 네트워크 보안 이점을 제공합니다:

개방 포트 제로

인바운드 포트 불필요:

  • 서버는 SSH(포트 22) 또는 다른 포트를 인터넷에 절대 노출하지 않음
  • Alpamon 에이전트가 Alpacon 게이트웨이로 아웃바운드 전용 연결 시작
  • 모든 연결은 HTTPS를 통한 암호화된 WSS(WebSocket Secure)로 진행

공격 표면 제거:

  • 네트워크 스캐닝 불가: 공격자가 포트 스캐닝을 통해 서버를 발견할 수 없음
  • SSH 무차별 대입 공격 불가: SSH 포트가 노출되지 않아 무차별 대입 공격 벡터 제거
  • 직접 접근 불가: 서버가 외부 공격자에게 보이지 않음

측면 이동(lateral movement) 방지

격리된 서버 연결:

  • 각 서버가 게이트웨이에 독립적으로 연결
  • 서버들이 Alpacon을 통해 서로 직접 통신할 수 없음
  • 한 서버가 침해되어도 Alpacon 연결을 통해 다른 서버에 접근할 수 없음

내부 공격 전파 방지:

  • 공격자가 하나의 서버에 접근하더라도 Alpacon을 사용하여 다른 서버로 피봇할 수 없음
  • 게이트웨이가 모든 연결에 대해 인증 및 권한 부여 시행
  • Alpacon을 통한 서버 간 신뢰 관계 없음

중앙 집중식 보안 시행

보안 체크포인트로서의 게이트웨이:

  • 모든 트래픽이 검사 및 정책 시행을 위해 Alpacon 게이트웨이를 통과
  • 실시간 위협 탐지 및 차단
  • 중앙 집중식 접근 제어로 서버별 보안 구성 불필요
  • 모든 서버에 대한 즉각적인 접근 권한 취소

심층 방어:

  • 다층 인증(비밀번호/SSO + MFA + 추가 인증)
  • 네트워크 수준 격리(개방 포트 없음) + 애플리케이션 수준 보안(IAM, RBAC)
  • 지속적인 모니터링 및 감사 로깅

기존 SSH와의 비교

보안 측면기존 SSHAlpacon 게이트웨이
포트 노출포트 22를 인터넷에 노출개방 포트 없음
네트워크 스캐닝포트 스캐닝에 취약스캐너에 보이지 않음
무차별 대입 공격SSH 무차별 대입 공격의 직접 타겟공격할 SSH 포트 없음
측면 이동도난당한 키로 가능중앙 집중식 인증으로 방지
접근 권한 취소모든 서버 업데이트 필요모든 서버에 즉시 적용
감사 추적서버별, 종종 불완전중앙 집중식, 완전함
정책 시행서버별 구성중앙 집중식, 일관성 있음

데이터 프라이버시 및 워크스페이스 격리

Alpacon은 프라이버시와 데이터 격리를 핵심 원칙으로 구축되었습니다:

완전한 워크스페이스 격리

각 워크스페이스는 완전히 격리된 환경에서 작동합니다:

  • 데이터 분리: 워크스페이스 데이터는 데이터베이스 및 애플리케이션 수준에서 완전히 분리됨
  • 워크스페이스 간 접근 불가: 한 워크스페이스의 사용자는 다른 워크스페이스의 데이터에 접근하거나 볼 수 없음
  • 격리된 인증: 사용자 계정 및 권한은 워크스페이스별로 관리됨
  • 네트워크 격리: 각 워크스페이스는 격리된 네트워크 정책 및 접근 제어를 가짐

플랫폼 관리자의 접근 불가

귀하의 데이터는 오직 귀하의 것입니다:

  • 관리자 접근 불가: AlpacaX 플랫폼 관리자는 워크스페이스 데이터에 접근할 수 없음
  • 저장 시 암호화: 모든 워크스페이스 데이터는 워크스페이스별 암호화 키로 암호화됨
  • 감사 추적 프라이버시: 워크스페이스 관리자만 감사 로그를 볼 수 있음
  • 서버 자격 증명: 서버 연결 자격 증명은 암호화되어 플랫폼 관리자가 접근할 수 없음
  • 제로 지식: 플랫폼 관리자는 서버 명령, 파일 또는 구성을 볼 수 없음

AlpacaX 관리자가 접근할 수 있는 것:

  • 플랫폼 인프라 및 운영
  • 시스템 수준 로그(워크스페이스별 데이터 아님)
  • 집계된 사용 지표(익명화됨)
  • 청구 및 구독 정보

AlpacaX 관리자가 접근할 수 없는 것:

  • 워크스페이스 서버 데이터 또는 구성
  • 워크스페이스 내 사용자 활동
  • 터미널 세션 내용 또는 기록
  • API 키 또는 서비스 계정 자격 증명
  • 서버 접근 로그 또는 감사 추적

즉시 데이터 삭제

워크스페이스를 삭제하면 데이터가 즉시 제거됩니다:

삭제 프로세스:

  1. 즉시 (몇 초 이내):

    • 모든 서버 연결 종료
    • 모든 활성 세션 종료
    • 모든 워크스페이스 사용자 로그아웃
    • 워크스페이스 삭제 표시

  2. 완전 제거 (몇 분 이내):

    • 모든 서버 자격 증명 삭제
    • 모든 감사 로그 제거
    • 모든 사용자 데이터 삭제
    • 모든 구성 설정 삭제
    • 암호화 키 파기

  3. 영구 삭제 (24시간 이내):

    • 모든 백업 삭제
    • 모든 데이터베이스 레코드 영구 삭제
    • 삭제 완료 후 복구 불가능

유예 기간 없음: 일부 플랫폼과 달리 Alpacon은 워크스페이스 삭제 후 데이터를 보관하지 않습니다. 삭제를 확인하면 프로세스는 되돌릴 수 없습니다.

데이터 소유권

  • 귀하가 데이터를 소유: 워크스페이스의 모든 데이터는 귀하의 것입니다
  • 데이터 마이닝 없음: 서비스 제공 외에 다른 목적으로 데이터를 분석하거나 사용하지 않습니다
  • 언제든지 내보내기: 언제든지 표준 형식으로 모든 데이터를 내보낼 수 있습니다
  • 벤더 종속 없음: 완전한 데이터 이동성으로 언제든지 마이그레이션할 수 있습니다

IP 허용 목록

🚧 출시 예정 - 이 기능은 Essentials 플랜 이상에서 사용 가능할 예정입니다

IP 허용 목록을 통해 보안 강화를 위해 특정 IP 주소 또는 범위로 접근을 제한할 수 있습니다:

계획된 기능

워크스페이스 수준 IP 허용 목록:

  • 특정 IP 범위(사무실 네트워크, VPN 게이트웨이 등)로 워크스페이스 접근 제한
  • 다양한 시행 모드(필수, 선택사항, 비활성화)
  • 유연한 IP 범위 구성을 위한 CIDR 표기법 지원

서버 수준 IP 허용 목록:

  • 개별 서버에 IP 제한 적용
  • 추가 보호가 필요한 프로덕션 데이터베이스 서버에 적합
  • 서버별 워크스페이스 수준 설정 재정의

동적 IP 관리:

  • 긴급 접근을 위한 관리자 승인 비상 우회
  • CIDR 범위를 사용한 IP 순환 지원
  • VPN 게이트웨이 통합

사용 사례:

  • 프로덕션 환경을 사무실 IP로만 제한
  • 민감한 서버에 VPN 연결 요구
  • 알 수 없는 위치에서의 무단 접근 방지
  • 네트워크 보안 정책 컴플라이언스

일정: IP 허용 목록은 현재 개발 중입니다. 조직에서 이 기능이 필요한 경우 support@alpacax.com으로 문의하세요.

모범 사례

관리자용

  1. MFA 시행: 모든 사용자, 특히 관리자에게 MFA 요구
  2. 그룹 사용: 개별 사용자가 아닌 그룹을 통해 권한 관리
  3. 최소 권한: 필요한 최소 권한만 부여
  4. 정기 검토: 분기별 사용자 접근 감사
  5. 로그 모니터링: 의심스러운 활동에 대한 알림 설정
  6. SSO 통합: 중앙 집중식 사용자 관리를 위해 SSO 사용(엔터프라이즈)
  7. 하드웨어 MFA: 높은 보안 환경에서는 하드웨어 키 또는 생체 인증으로 제한 고려

사용자용

  1. 강력한 비밀번호: 비밀번호 관리자 사용 및 고유한 비밀번호
  2. MFA 활성화: 다단계 인증으로 계정 보호
  3. 신뢰할 수 있는 기기: 개인 기기만 신뢰할 수 있는 것으로 표시
  4. 세션 검토: 정기적으로 이전 세션 확인 및 종료
  5. 의심스러운 활동 보고: 비정상적인 로그인 알림 즉시 보고
  6. 토큰 보안: API 토큰을 절대 공유하거나 코드에 커밋하지 말 것

관련 문서

문의

인증 및 접근 제어 문의:

최종 업데이트: 2025년 11월