KREONET

구글이나 네이버 같은 소셜 계정으로 여러 외부 사이트에 로그인하는 것은 이제 일상이 되었다. 하지만 과학연구 분야에서는 다른 접근이 필요하다. 연구자들은 하나의 연구 프로젝트나 연구 도메인 내에서 데이터 분석 도구, 슈퍼컴퓨터, 연구 자료 저장소 등 수십 개의 시스템을 사용하지만, 각각 별도의 계정과 비밀번호를 관리해야 한다. Keycloud IAM은 단일 연구도메인 내에서 이런 불편함을 해결하기 위해 개발되고 있다.

Keycloud IAM 소개

Keycloud IAM은 과학연구를 위해 특별히 설계된 사용자 인증 및 권한 관리 시스템이다. 구글이나 네이버 로그인이 여러 외부 사이트에 계정을 연동하는 멀티 도메인 방식이라면, Keycloud IAM은 하나의 연구도메인 내 모든 시스템을 통합 관리하는 데 초점을 맞춘다. 즉, 연구자들이 특정 연구도메인의 다양한 플랫폼과 서비스에 하나의 계정으로 안전하게 접속할 수 있도록 돕는 '연구도메인 통합 로그인' 시스템이다.

Keycloud IAM을 개발하기 위해 Indigo IAM(INFN, 이탈리아 국립핵물리연구소)과 Keycloak IAM(Red Hat/CNCF)이 벤치마킹되었다. Indigo IAM의 과학연구 특화 기능과 Keycloak IAM의 안정성을 결합하되, 다양한 연구 환경에 맞춰 커스터마이징할 수 있게 설계했다. 이를 통해 국내외 다양한 인증 시스템과의 호환성을 확보하고, 연구 인프라와 유연하게 통합될 수 있도록 구현하고 있다.

Keycloud IAM의 필요성

연구 협업의 효율성 증대

과학연구는 팀 단위로, 때로는 여러 기관이 함께 진행한다. 이런 협업 연구에서는 참여자들이 연구도메인 내 여러 시스템을 공동으로 활용해야 한다. 이때마다 다른 로그인 정보를 입력해야 한다면 시간 낭비와 정보 관리의 부담이 커진다. Keycloud IAM은 연구도메인 내 모든 시스템에 하나의 계정으로 접속할 수 있게 하여, 로그인 정보 관리에 대한 부담을 줄이고 빠른 연구진입을 가능하도록 돕는다.

보안 강화

연구 데이터는 기밀성이 중요하다. 특히 신약 개발이나 첨단 기술 연구의 경우 데이터 유출은 치명적이다. Keycloud IAM은 다요소 인증을 지원하고 강화된 접근 권한 관리 기능을 제공하여 데이터 접근의 기밀성을 높인다. TOTP(시간에 따라 바뀌는 일회용 비밀번호)를 통한 2단계 인증으로 비밀번호가 유출되어도 계정을 보호하고, 권한 정책 관리 체계를 개발해 각 사용자가 필요한 자원에만 접근하도록 세밀하게 제어할 수 있다.

국제 표준 준수

국제 공동연구를 위해서는 시스템 간 호환성이 중요하다. Keycloud IAM은 SAML 2.0(서로 다른 시스템 간 안전한 로그인 정보 전달 표준)과 OIDC(최신 인증 표준 규격)를 지원한다. 덕분에 국제 거대 연구를 수행하는 해외 기관의 연구 인프라와도 호환성을 갖는다. 국제운전면허증처럼 국가 간 경계 없이 통용되는 사용자 인증 체계를 구축할 수 있다.

주요 기능

다양한 로그인 방식 지원

Keycloud IAM은 연구도메인 내부 계정뿐만 아니라 외부 인증 방식도 활용할 수 있다. 접속이 허용된 사용자는 Google이나 Naver 계정으로도 연구도메인에 로그인할 수 있다. 또한 KAFE를 통해 대학 계정으로도 접속할 수 있고, eduGAIN(국제 연구교육 연합 인증)과 연동되어 해외 기관 소속 연구자들도 자신의 기관 계정으로 접속할 수 있다.

맞춤형 권한 관리

Keycloud IAM은 연구 시스템에 대한 접근 권한을 연구자별 또는 연구그룹별로 관리할 수 있다. 개별 연구자에게는 데이터 읽기, 쓰기, 실행 등 필요한 권한만 부여할 수 있고, 연구그룹별로는 동일한 스토리지나 특정 컴퓨팅 자원에 대한 공유 권한을 설정할 수 있다. 프로젝트 책임자는 그래픽 인터페이스를 통해 팀원들을 초대하고 연구 시스템에 대한 접근 권한을 조정할 수 있다.

SSH 접속 지원

많은 연구자들이 서버에 원격 접속할 때 SSH를 사용한다. Keycloud IAM은 외부 LDAP의 사용자 인증 정보를 중앙에서 관리하고 동기화하는 기능을 제공한다. 이를 통해 여러 서버와 시스템의 사용자 정보를 일관되게 유지하면서 통합 인증 체계를 구축할 수 있다. 또한 SSH 로그인 시에도 다요소 인증을 적용할 수 있도록 TOTP 소프트웨어를 개발하여, 보다 안전한 서버 접속 환경을 제공할 계획이다.

빠른 처리 속도

거대 과학연구 시설에는 수천 명의 연구자가 동시에 접속한다. 연구자가 시스템을 사용할 때마다 접속 권한이 있는지를 확인해야 하는데, 이런 확인 요청이 초당 수십 개씩 쏟아진다. Keycloud IAM은 자주 확인되는 권한 정보를 임시 저장(caching)하고, 여러 요청을 동시에 처리(병렬 처리)하는 방식으로 속도를 높였다.

활용 분야

Keycloud IAM은 이질적 연구 환경에서 통합 인증 시스템으로 활용이 가능하다. Kubernetes 같은 컨테이너 관리 시스템의 사용자 인증과 권한 관리를 지원하고, 실험 데이터 시각화 도구나 전자 실험 노트 같은 웹/모바일 애플리케이션에 통합 인증을 제공하며, 컴퓨팅 자원에 대한 SSH 접속을 중앙에서 관리하는데 활용될 수 있다. 

개발 현황

전체 계획 대비 약 70%의 개발이 완료되었다. 핵심 인증 기능은 이미 프로덕션 수준으로 구현되었고, SSH 로그인, 정책 관리 시스템 연동, LDAP 동기화 기능은 프로토타입 개발이 진행 중이다. 11월 초 KREONET 워크숍에서 주요 기능을 시연하며, 향후 국내외 과학연구 커뮤니티에 무료로 제공할 계획이다.