AAA(Authentication, Authorization, and Accounting) 인증 프로토콜 비교 (DIAMETER, TACACS+, RADIUS)
Information Security
목록 보기
63/96
🔐 AAA(Authentication, Authorization, and Accounting) 인증 프로토콜 비교 (DIAMETER, TACACS+, RADIUS)
요청하신 AAA(Authentication, Authorization, and Accounting) 아키텍처 내에서 핵심적인 역할을 수행하는 세 가지 프로토콜, DIAMETER, TACACS+(Terminal Access Controller Access Control System Plus), RADIUS(Remote Authentication Dial-In User Service)에 대해 기술사 수준의 깊이로 비교 분석하여 설명해 드리겠습니다.
1. AAA(Authentication, Authorization, and Accounting) 개요
AAA는 네트워크 접근 및 리소스 사용에 대한 보안 제어 프레임워크입니다.
- Authentication (인증): 사용자가 누구인지 확인합니다. (예: ID/Password 확인)
- Authorization (인가): 인증된 사용자가 어떤 리소스에 접근하고 어떤 작업을 수행할 수 있는지 권한을 부여합니다.
- Accounting (계정 관리): 사용자의 세션 시작/종료 시간, 사용한 데이터량, 서비스 등 활동 내역을 기록하여 모니터링 및 과금(Billing)에 활용합니다.
2. 주요 AAA 프로토콜 심층 비교
| 특성 | RADIUS (Remote Authentication Dial-In User Service) | TACACS+ (Terminal Access Controller Access Control System Plus) | DIAMETER |
|---|---|---|---|
| 개발/표준 | IETF(Internet Engineering Task Force) 표준 (RFC 2865/2866) | Cisco Proprietary (사실상의 산업 표준) | IETF 표준 (RFC 6733), RADIUS의 차세대 |
| 주요 사용처 | 원격 네트워크 접속 (다이얼업, VPN, Wi-Fi), 서비스 접근 제어 | 라우터/스위치 등 네트워크 장비 관리자 접근 제어 | 4G/5G 이동통신 (LTE, IMS), VoLTE 등 모바일 코어 네트워크 |
| 전송 계층 | UDP (User Datagram Protocol) | TCP (Transmission Control Protocol) Port 49 | TCP/SCTP (Stream Control Transmission Protocol) |
| 신뢰성/연결 | 연결 설정 불필요, 재전송 로직 필요 (Stateless) | 연결 기반, 신뢰성 보장 (Stateful) | 연결 기반, 신뢰성 및 흐름 제어 보장 (Stateful) |
| AAA 분리 | 통합 처리 (Authentication과 Authorization이 함께 번들) | 완전 분리 (A, A, A 독립적 처리) | 통합 처리 (DIAMETER 자체는 분리 가능하지만, RADIUS의 구조 계승) |
| 암호화 범위 | 패스워드만 암호화 (나머지 패킷은 평문) | 전체 패킷 암호화 | 전체 세션 보안 (TLS/IPSec 사용 가능) |
| 메시지 크기 | 최대 255 Bytes (제한적) | 제한 없음 | 제한 없음 |
| 확장성 | 제한적 (Vendor-Specific Attribute를 통해 확장) | 확장성 중간 | 매우 높음 (AVP 구조를 통한 유연한 확장) |
(1) RADIUS (원격 액세스 서비스에 최적화)
- 특징: 표준 프로토콜로 널리 사용되지만, UDP 기반이므로 신뢰성 확보를 위해 자체적인 재전송 메커니즘이 필요합니다. 인증(A)과 인가(A)가 통합되어 있어 세부적인 권한 제어에는 한계가 있습니다. 주로 무선 LAN, VPN 등의 접근 서비스 인증에 사용됩니다.
(2) TACACS+ (네트워크 장비 관리에 최적화)
- 특징: Cisco에서 개발하여 네트워크 장비 관리자 접근 제어에 특화되어 있습니다. TCP 기반으로 신뢰성이 높고, 가장 큰 장점은 AAA 기능의 완전한 분리입니다. 특히 인가(Authorization) 시 명령어 수준의 접근 제어가 가능하여 보안성이 높고, 관리의 유연성이 뛰어납니다.
(3) DIAMETER (RADIUS의 진화, 통신 서비스에 최적화)
- 정의: 이름 자체가 RADIUS의 두 배(Diameter = 2 × Radius)라는 의미를 담고 있으며, RADIUS의 한계를 극복하기 위해 설계된 차세대 AAA 프로토콜입니다.
- 주요 개선 사항:
- 신뢰성: UDP 대신 TCP/SCTP를 사용하여 신뢰성 있는 전송을 보장하고, 상태 저장(Stateful) 방식을 지원합니다.
- 보안: 전체 패킷을 암호화하거나 TLS/IPSec을 사용하여 세션 보안을 강화합니다.
- 확장성: AVP(Attribute-Value Pair) 구조를 사용하여 새로운 기능이나 애플리케이션에 대한 확장이 용이합니다.
- Multi-Domain: 로밍(Roaming) 및 여러 도메인 간의 인증을 지원합니다.
- 주요 용도: 현재 LTE, 5G 이동통신 네트워크에서 PCRF(Policy and Charging Rules Function)와 같은 핵심 요소 간의 통신 및 가입자 인증/과금 정책 결정에 필수적으로 사용되고 있습니다.
3. 기술사 관점에서의 시사점 및 활용
1. 프로토콜 선택 기준
네트워크 아키텍트나 기술사 관점에서 프로토콜 선택은 다음과 같은 기준으로 이루어져야 합니다.
- 운영 장비 관리: TACACS+가 가장 적합합니다 (명령어 레벨 인가, TCP 신뢰성).
- 원격 접근/서비스: RADIUS가 보편적이고 구현 용이성이 높습니다.
- 모바일/통신 환경 및 미래 확장성: DIAMETER가 필수적입니다 (고가용성, 보안, AVP 확장성).
2. RADIUS의 한계 극복 (DIAMETER의 등장 배경)
DIAMETER는 RADIUS가 가진 치명적인 한계들을 극복하며 등장했습니다.
- 문제점: UDP 기반의 신뢰성 문제, 패스워드 외 평문 전송으로 인한 보안 취약점, 제한적인 메시지 크기, 모바일 환경의 복잡한 정책 및 과금 요구사항 수용 불가.
- DIAMETER의 해결: TCP/SCTP를 통한 신뢰성, TLS/IPSec을 통한 전면적인 보안 강화, AVP 구조를 통한 확장성 및 복잡한 정책 지원.
3. 보안 아키텍처 관점
- AAA 분리: TACACS+의 AAA 분리 구조는 최소 권한의 원칙(Principle of Least Privilege)을 적용하여 보안성을 높이는 데 유리합니다.
- 중앙 집중화: 이 모든 프로토콜은 인증을 중앙 집중화하여 네트워크 전체의 접근 정책을 일관성 있게 관리하고 감사(Audit) 기록을 남기는 데 기여합니다.
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent