CEL (Common Expression Language)

개요

CEL(Common Expression Language)은 Google이 개발한 표현식 기반 평가 언어(Expression Evaluation Language) 로, 다양한 시스템에서 보안 정책, 데이터 유효성 검증, 조건식 평가 등을 수행하기 위해 설계되었다. CEL은 경량, 빠른 실행 속도, 언어 중립성을 특징으로 하며, Kubernetes, Envoy, Firebase Rules 등에서 사용되는 정책 평가 엔진의 핵심 언어로 자리 잡았다.

---

1. 개념 및 정의

항목	내용	비교
개념	선언적(Expression-based) 형태의 데이터 평가 언어	JavaScript, Python 표현식보다 단순화된 문법
목적	정책 로직, 조건식, 필터링을 코드 수준에서 안전하게 평가	임베디드 환경에서도 실행 가능
필요성	서비스 간 정책 일관성 및 검증 속도 향상	보안 및 데이터 무결성 강화

---

2. 특징

특징	설명	비교
언어 중립성(Language Agnostic)	다양한 언어와 플랫폼에서 사용 가능	gRPC, REST 환경에 통합 쉬움
안전한 실행(Sandboxed)	런타임 코드 실행 제한으로 보안 강화	Eval 기반 코드 실행보다 안전
고속 평가 엔진	인터프리터 수준에서 컴파일 최적화	Policy Engine과 연동 시 저지연
단순한 문법	C, Go 유사한 친숙한 표현식 구문	Learning Curve 낮음

---

3. 구성 요소

구성 요소	설명	예시
Parser	CEL 구문을 AST(Abstract Syntax Tree)로 변환	ParseExpression() 함수
Checker	타입 검증 및 문법 오류 검사	Type Checking 단계
Interpreter	실행 엔진으로 최종 평가 수행	EvalExpression() 함수
CEL Library	표준 함수 및 연산자 제공	math(), string(), timestamp() 등

---

4. 기술 요소

기술	설명	예시
Static Type Checking	컴파일 시 타입 일관성 검증	정적 오류 방지
Proto Integration	Protocol Buffers와 직접 연동	gRPC 기반 시스템 통합
Deterministic Execution	동일 입력에 항상 동일 결과 보장	분산 환경에서 일관성 유지
Embeddable Engine	다양한 언어 환경에 내장 가능	Go, C++, Java, Rust SDK 지원

---

5. 장점 및 이점

구분	설명	예시
경량화	빠른 초기화 및 저메모리 실행	실시간 정책 평가 엔진에 적합
확장성	사용자 정의 함수 및 모듈 추가 가능	커스텀 로직 삽입
일관성	동일한 정책 로직을 여러 서비스에서 공유	Kubernetes, Istio, Envoy 공통 사용
보안성	샌드박스 환경에서 안전한 평가	코드 인젝션 방지

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
Kubernetes Admission Policy	Pod 생성 시 조건 기반 검증	CEL 기반 정책 정의 (ValidatingAdmissionPolicy)
Envoy Filter	트래픽 필터링 및 인증 정책	CEL Expression을 통한 동적 평가
Firebase Rules	데이터베이스 접근 제어	사용자 ID, 요청 조건 기반 검증
Open Policy Agent(OPA) 통합	Rego 대체용 경량 정책 언어	평가 속도 및 기능 범위 비교 필요

---

7. 결론

CEL은 단순하고 빠른 정책 평가를 목표로 한 범용 표현식 언어로, 보안성, 경량성, 일관성을 동시에 제공한다. 클라우드 네이티브 환경의 정책 평가, 데이터 검증, 접근 제어 등 다양한 영역에서 표준으로 자리 잡아가고 있으며, OPA(Rego), Cedar, XACML 등의 정책 엔진과 더불어 현대형 정책 언어 스택의 핵심 구성 요소로 발전하고 있다.