Kerberos

개요

Kerberos는 컴퓨터 네트워크 환경에서 사용자와 서비스 간 안전한 인증을 제공하기 위한 티켓 기반 인증 프로토콜입니다. 사용자의 비밀번호를 네트워크에 직접 노출시키지 않고, 신뢰할 수 있는 제3자(TGS, Ticket Granting Server)를 통해 인증을 수행함으로써 재사용 가능한 자격증명과 암호화된 통신을 제공합니다. 특히 Microsoft의 Active Directory, Unix/Linux 시스템, 클라우드 환경 등에서 널리 사용되고 있는 대표적인 인증 기술입니다.

---

1. 개념 및 정의

Kerberos는 MIT에서 개발된 인증 프로토콜로, 사용자가 한 번 로그인하면 다양한 서비스에 티켓(Ticket)을 통해 재인증 없이 접근할 수 있도록 설계되어 있습니다. 이는 SSO(Single Sign-On) 방식과 유사하며, 대칭키 기반 암호화를 활용해 네트워크 상 인증 정보를 보호합니다.

핵심 특징:

• 중앙 집중식 인증 구조
• 대칭키 기반 암호화
• 티켓을 통한 SSO 지원
• 리플레이 공격 및 중간자 공격 방지

---

2. 작동 원리

단계	설명	참여 주체
1. AS 인증	사용자 → 인증 서버(KDC)에 로그인 요청	사용자 ↔ AS(Authentication Server)
2. TGT 발급	AS가 TGT(Ticket Granting Ticket)를 발급	사용자에 대한 초기 인증 완료
3. 서비스 요청	사용자 → TGS에 특정 서비스 티켓 요청	TGS(Ticket Granting Server)
4. 서비스 티켓 발급	TGS가 서비스에 대한 액세스 티켓 발급	사용자에게 전달
5. 서비스 접근	사용자 → 서비스 서버에 티켓 제출	SP(Service Provider)

---

3. 주요 구성 요소

구성 요소	설명	역할
KDC (Key Distribution Center)	인증서버(AS) + 티켓발급서버(TGS)로 구성	인증과 티켓 발급 중심 노드
AS (Authentication Server)	사용자의 신원 확인 및 TGT 발급	최초 로그인 처리
TGS (Ticket Granting Server)	TGT로부터 서비스 접근 티켓 발급	인증된 사용자에 한해 동작
클라이언트	인증 요청을 수행하는 사용자 단말	로그인 및 서비스 접근 요청
서비스 서버	사용자가 접근하려는 자원	티켓 확인 후 요청 처리

---

4. 특징 및 장점

특징	설명	기대 효과
SSO 지원	한 번 로그인으로 여러 서비스 접근 가능	사용자 편의성 향상
암호화 기반 인증	네트워크 상 비밀번호 노출 없음	보안성 강화
티켓 유효기간 설정	일정 시간 후 자동 만료	보안성 및 유연성 확보
리플레이 공격 방지	타임스탬프 기반 인증 흐름	인증 무결성 보장

---

5. 적용 사례 및 환경

환경	적용 사례	특징
Active Directory	Windows 로그인 및 도메인 기반 접근	Kerberos 기본 탑재
Linux/Unix	SSH, NFS, LDAP 인증	PAM 모듈 연동 가능
클라우드 서비스	Azure AD, GCP IAM 연계	하이브리드 인증 구성에 적합
대기업 시스템	내부 인트라넷, ERP, 그룹웨어 연동	조직 기반 중앙인증 구현

---

6. Kerberos vs SAML vs OAuth

항목	Kerberos	SAML	OAuth
인증 방식	티켓 기반 인증	Assertion 기반 인증	토큰 기반 인가
암호화 방식	대칭키 기반	공개키 기반(XML)	JWT, OAuth2 토큰
적용 환경	사내 네트워크, 도메인	엔터프라이즈 SSO	모바일/웹 앱, API
인증 대상	사용자 인증	사용자 인증 + 속성 전달	권한 위임 중심 인가

Kerberos는 온프레미스 기반의 빠른 인증, SAML은 웹 SSO, OAuth는 API 접근 인가에 최적화되어 있습니다.

---

7. 결론

Kerberos는 강력한 암호화 기반의 티켓 인증 방식을 통해 사용자 인증을 안전하게 처리할 수 있는 검증된 보안 프로토콜입니다. 대규모 네트워크 환경에서 중앙 집중식 인증 체계를 구현하고자 하는 조직에게 필수적인 인프라이며, 오늘날의 하이브리드 환경에서도 여전히 핵심적인 인증 메커니즘으로 널리 활용되고 있습니다.