Continuous Access Evaluation Protocol (CAEP)
개요
Continuous Access Evaluation Protocol(CAEP)은 사용자 인증 이후에도 지속적으로 사용자 상태와 보안 이벤트를 평가하여 실시간 접근 제어를 수행하는 프로토콜입니다. 특히 클라우드 환경, 제로 트러스트 아키텍처, SaaS 기반 보안 체계에서 점점 중요성이 커지고 있으며, OpenID Foundation 산하 Shared Signals Framework(SSF)의 핵심 구성 요소로 자리잡고 있습니다.
1. 개념 및 정의
CAEP는 인증된 사용자의 세션 중에도 지속적으로 리스크 이벤트(예: 디바이스 변경, 네트워크 이동, 계정 탈취 등)를 감지하고, 이에 따라 액세스를 유지하거나 중단하도록 권한을 동적으로 재평가하는 프로토콜입니다.
- 목적: 세션 중 발생하는 리스크에 대한 실시간 대응 및 접근 제어 강화
- 필요성: 토큰 유효시간만으로 접근을 제어할 수 없는 제로 트러스트 환경 대응
- 적용 대상: 클라우드 서비스 제공자, IDaaS, SaaS 플랫폼, 기업 SSO 시스템 등
2. 특징
| 구분 | 설명 | 비고 |
| 실시간 평가 | 인증 이후에도 지속적인 사용자 상태 평가 | 비동기 이벤트 기반 |
| 상호신뢰 구조 | 발신자와 수신자 간 신뢰 맥락 형성 | SSF 메시지 사용 |
| 확장성 있는 설계 | 다양한 이벤트 유형과 정책 정의 가능 | JSON 기반 메시징 |
세션 수명 중 발생 가능한 모든 보안 이벤트를 빠르게 반영할 수 있습니다.
3. 구성 요소
| 구성 요소 | 설명 | 관련 기술 |
| Event Provider | 보안 이벤트를 생성하는 시스템 | IdP, SIEM, DLP 등 |
| Event Recipient | 이벤트에 따라 액세스 정책을 변경하는 주체 | SaaS Provider, Relying Party |
| Shared Signals Framework (SSF) | CAEP가 사용하는 메시징 및 신뢰 프레임워크 | JWT, JWK, HTTPS 기반 |
| CAEP Event | 리스크 이벤트 정보 | Session Revocation, Device Change 등 |
SSF는 CAEP 외에도 RISC(Revocation Information Sharing Component)와 호환됩니다.
4. 기술 요소
| 기술 요소 | 설명 | 적용 예시 |
| JSON Web Token (JWT) | 이벤트 메시지 서명 및 신뢰 전달 | Signed Event Notification |
| HTTPS 기반 전달 | 보안 채널을 통한 신뢰 보장 | REST Hook, Polling 방식 지원 |
| Session Revocation | 인증된 세션의 실시간 중단 | 탈취 계정 실시간 대응 |
| 사용자 행동 기반 평가 | 기기 변경, 위치 변경 등의 감지 | AI 기반 UEBA 시스템과 연계 가능 |
기존 SAML 또는 OAuth 기반 구조에 무리 없이 통합 가능합니다.
5. 장점 및 이점
| 장점 | 설명 | 기대 효과 |
| 실시간 대응성 확보 | 이벤트 기반으로 즉각적 액세스 조정 | 보안 위협 확산 최소화 |
| 사용자 경험 향상 | 불필요한 인증 요구 감소 | 무중단 접근 제어 가능 |
| 보안 정책 유연화 | 동적 정책 적용 가능 | 조건부 액세스 정책 정교화 |
단일 인증으로 모든 것을 신뢰하지 않는 제로 트러스트의 철학을 구현합니다.
6. 주요 활용 사례 및 고려사항
| 사례 | 내용 | 고려사항 |
| SaaS 플랫폼 보안 강화 | 사용자 위치/디바이스 변경 시 자동 세션 중단 | 정확한 이벤트 감지 로직 필요 |
| 대기업 SSO 시스템 | SIEM에서 리스크 감지 시 세션 폐기 | 수신자와의 신뢰 체계 설계 필요 |
| 금융 서비스 사용자 보호 | 계정 탈취 감지 시 CAEP로 접근 차단 | 이벤트 과잉 발생 시 false positive 관리 필요 |
CAEP의 효과는 이벤트 신뢰성과 전달 속도에 크게 좌우됩니다.
7. 결론
CAEP는 고정된 세션 개념에서 벗어나, 사용자와 환경의 상태에 따라 지속적으로 접근 권한을 재평가하는 차세대 접근 제어 프로토콜입니다. 제로 트러스트 보안 모델에서 핵심 요소로, SaaS 및 클라우드 서비스에서 실시간 보안 제어를 가능하게 합니다. OpenID Foundation 기반으로 표준화가 진전되며, 보안성과 사용자 편의성을 동시에 충족시키는 방향으로 발전하고 있습니다.