CDR 배포 아키텍처 — On-Prem·Hybrid·SaaS 3모델과 SMTP·ICAP·FTG·API·Browser 통합 지점 설계

CDR 도입 검토에서 "어떤 제품을 살 것인가"만큼 중요한 질문이 "어떻게 배포할 것인가"다. 배포 아키텍처는 성능·보안·규제 적합성·운영 비용을 결정하며, 한 번 굳어지면 바꾸기 어렵다. 본 글은 CDR의 3대 배포 모델(On-Prem / Hybrid / SaaS)과 5종 통합 지점(SMTP Gateway · ICAP Proxy · File Transfer Gateway · API/SDK · Browser Isolation)을 교차해 설계하는 방식을 NIST SP 800-207 Zero Trust Architecture^[1], IETF RFC 3507 ICAP 프로토콜^[2], CIS Controls v8^[3], ISO/IEC 27001, KISA 국가망 보안체계 개편(N2SF)^[4], 금융보안원 망분리 완화 로드맵^[5]을 근거로 해부한다. 공공 N2SF 3등급 구간 배치, 금융 망분리 완화 시나리오, 쿠버네티스·서비스 메시(Istio/Envoy) 통합, HA/DR 패턴, SIEM·RBAC 설계, 장애 대응 플레이북까지 아키텍트 레벨에서 필요한 판단 근거를 한 편에 묶었다.

3모델

배포 아키텍처
On-Prem / Hybrid / SaaS

5지점

통합 포인트
SMTP / ICAP / FTG / API / Browser

RFC 3507

ICAP 표준 프로토콜
IETF 공식^[2]

SP 800-207

NIST Zero Trust
Architecture^[1]

1 왜 배포 설계가 성능·보안을 결정하는가

CDR 엔진의 성능은 단일 벤치마크 수치가 아니라 "전체 파일 흐름의 어느 지점에 배치됐는가"에 의해 결정된다. 같은 엔진이라도 SMTP 게이트웨이 인라인에 배치할 때와 파일 전송 게이트웨이 비동기 큐 뒤에 배치할 때의 지연(latency)·처리량(throughput) 프로파일이 전혀 다르다. 보안도 마찬가지다. CDR이 DMZ 경계에 있는 경우와 망분리 완화 구간의 중계 지점에 있는 경우 보호 범위가 다르고, 신뢰 경계(trust boundary) 그림 자체가 바뀐다.

NIST SP 800-207 Zero Trust Architecture는 이 점을 명시적으로 다룬다^[1]:

"A zero trust architecture (ZTA) uses zero trust principles to plan industrial and enterprise infrastructure and workflows. The placement of the policy enforcement point (PEP) in the data path is critical — if the PEP is bypassed, zero trust guarantees are lost."

CDR은 Zero Trust 모델에서 "정책 집행 지점(PEP)의 콘텐츠 무해화 역할"을 담당한다. 파일이 신뢰 경계를 넘어갈 때마다 구조적으로 재조립되는 지점이다. 이 PEP를 어디에 둘 것인가 — 그것이 배포 설계의 본질이다.

배포 설계가 영향을 미치는 4개 축

성능 (Throughput · Latency) — 인라인 vs 비동기, 하드웨어 사양, 네트워크 토폴로지
보안 (Attack Surface · Blast Radius) — 신뢰 경계, 우회 가능성, CDR 자체의 공격 표면
규제 적합성 — 데이터 주권, 공공 N2SF 등급, 금융 망분리, 개인정보보호법, GDPR
운영 비용 (TCO) — 초기 CAPEX, 운영 OPEX, 확장성, 업데이트 주기

💡 "PoC·BMT에서 배포 시나리오를 반드시 검증해야 하는 이유"

성능 벤치마크는 랩 환경 숫자에 불과하다. 실제 트래픽·네트워크 지연·인증 체인·SIEM 로그 송출까지 포함한 End-to-End 시나리오에서만 배포 모델의 진짜 특성이 드러난다. PoC·BMT 단계에서 "단일 벤치마크 숫자"가 아니라 "3대 모델 × 2~3개 통합 지점"을 매트릭스로 검증해야 한다.

2 3대 배포 모델 — 특성·적합·트레이드오프

모델 A — On-Premises (온프레미스)

물리적·가상 장비를 조직 내부 데이터센터에 설치하는 전통 모델. 시큐레터 SLF·SLE·SLCDR이 이 모델을 완전 지원한다. Zero Trust 관점에서 PEP를 조직이 완전 소유·통제하는 구간에 두는 배치다.

특성

완전 격리 — 외부 연결 없이 내부망에서만 작동. 망분리 환경 필수 조건 충족
데이터 주권 — 파일이 외부 클라우드로 나가지 않음. 기밀·개인정보 보호법상 유리
전용 성능 — 하드웨어 전용. 피크 트래픽·분석 큐 예측 가능
장기 TCO 유리 — 초기 CAPEX는 크지만 장기 라이선스·회선비 낮음
업데이트 수동 — 패치 배포·신규 포맷 대응에 운영 팀 부담

적합 환경

공공기관 기밀 등급 업무 (N2SF 3등급 내부)
금융권 보안 강화 구간 (내부 핵심업무·결제 구간)
방위산업·한미 공동 프로그램 취급 조직
대기업 내부 파일 트래픽 집중 구간

모델 B — Hybrid (하이브리드)

On-Prem과 SaaS를 결합. "민감·기밀은 On-Prem, 일반 업무는 SaaS"의 이중 구조. 한국 공공·금융권에서 가장 자주 선택되는 현실적 구성이다.

특성

민감 업무 On-Prem — 내부 격리 구간 유지. 데이터 주권 확보
일반 업무 SaaS — M365·Google Workspace 이메일을 API로 보호
통합 관리 콘솔 — 공통 정책·로그·SIEM 파이프라인
단계적 전환 — 장기 클라우드 전환 로드맵에 부합
복잡도 상승 — 두 스택의 정책 일관성·SSO 통합 관리 이슈

적합 환경

N2SF 3등급 체계 공공기관 (C/S 구간 분리 운영)^[4]
망분리 완화 로드맵 진행 금융기관^[5]
엔터프라이즈 중 레거시+신규 시스템 공존

모델 C — SaaS / Cloud-Native

공급사 클라우드에서 완전 관리형으로 제공되는 모델. 시큐레터 DISARM이 대표 SaaS 솔루션으로 M365·Google Workspace API 연동을 제공한다^[6].

특성

배포 간편 — API 연동만으로 배포 완료. 수일 내 가동
자동 업데이트 — 공급사가 엔진·신규 포맷 자동 반영
구독 모델 — 초기 CAPEX 낮음 · 월·연 구독
자동 확장 — 트래픽 급증 시 스케일 아웃
데이터 주권 주의 — CSP 리전·데이터 경계 검토 필요

적합 환경

클라우드 전환 중인 기업
M365·Google Workspace 중심 업무 조직
중소기업·스타트업 (운영 부담 최소화)
다중 거점 지사·해외 법인 보유 조직

3모델 직접 비교

항목	On-Premises	Hybrid	SaaS
초기 투자 (CAPEX)	큼	중간	낮음
운영 비용 (OPEX)	중간 (인력)	중~높음	낮음 (구독)
배포 리드타임	주 단위	주~월 단위	일 단위
데이터 주권	완전 확보	선택적	CSP 의존
확장성	하드웨어 증설	혼합	자동
업데이트 주기	수동·분기	혼합	자동·상시
규제 대응 (공공)	최적	유연	인증 조건부
규제 대응 (금융)	최적	권장	완화 구간
관리 복잡도	높음	높음	낮음

3 통합 지점 5종 — 어느 경로에 PEP를 둘 것인가

배포 모델을 선택해도 구체적으로 "파일이 흘러가는 어느 경로에 CDR을 끼워 넣을 것인가"라는 질문이 남는다. 실전에서 쓰이는 통합 지점은 5종이다.

지점 1 — SMTP Gateway (이메일 게이트웨이)

가장 전통적인 통합 지점. 조직 외부에서 들어오는 모든 이메일이 경유하는 MTA(Mail Transfer Agent) 전·후에 CDR 엔진을 배치한다. 첨부파일은 CDR을 통과한 후에만 메일함으로 전달된다.

프로토콜: SMTP (RFC 5321), MILTER 인터페이스
위치: 인터넷 → MX → CDR → 내부 메일서버 (Exchange·HCL Domino·M365·Google Workspace)
장점: 표적 공격 99% 이상이 이메일 경로. 가장 높은 방어 ROI
고려: 대용량 첨부·암호 ZIP 처리 정책, 사용자 지연 허용치 설계

지점 2 — ICAP Proxy (RFC 3507)

웹 프록시·SWG(Secure Web Gateway)·리버스 프록시·파일 전송 솔루션이 파일을 외부 콘텐츠 검사 서비스로 위임하는 표준 프로토콜. IETF RFC 3507이 2003년 공식화했다^[2].

"ICAP, the Internet Content Adaptation Protocol, is a protocol aimed at providing simple object-based content vectoring for HTTP services. ICAP is, in essence, a lightweight HTTP-like protocol specified in this document that is used to 'vector' a transiting HTTP message to an ICAP server for some sort of transformation or other processing." — IETF RFC 3507^[2]

표준: RFC 3507 — REQMOD(요청 수정)·RESPMOD(응답 수정) 두 모드
위치: 프록시/SWG/리버스 프록시/WAF → ICAP → CDR 엔진
장점: 웹 다운로드·업로드·파일 공유 솔루션 전반에 표준 인터페이스
고려: ICAP 지연이 사용자 체감 성능에 직결. 캐싱·비동기 정책 필요

지점 3 — File Transfer Gateway (FTG, 망연계)

한국 공공·금융의 특수 환경. 인터넷망과 업무망 사이 망간자료전송 장비(망연계 솔루션, CDS/SecureGate/SecureBridge)를 경유하는 모든 파일을 CDR이 무해화한다.

위치: 인터넷망 → 망연계 중계 → CDR → 업무망
장점: 물리적 망분리 + 콘텐츠 무해화의 이중 방어. 공공 기밀·금융 핵심업무 적합
고려: Low→High 반입 vs High→Low 반출 방향별 정책 분리. CDS(Cross Domain Solution) 원칙 준수
레퍼런스: BNK 부산은행 망연계구간 APT 차단 적용 사례^[7]

지점 4 — API / SDK (앱 내장)

웹 포털·민원 시스템·DMS(Document Management)·ECM·협업 도구 등이 파일 업로드 시점에 REST API/SDK로 CDR을 호출하는 방식. 게이트웨이 없이 앱 내부에 PEP를 두는 구조다.

프로토콜: REST/HTTPS, gRPC, Webhook 콜백
위치: 사용자 업로드 → 앱 서버 → CDR API → 저장소
장점: 특정 지점만 선택적 통합. 자체 개발 시스템 자유도 높음
고려: 앱별 개발 부담, 정책 일관성(다른 지점과 중복·누락 관리)

지점 5 — Browser Isolation

원격 브라우저 격리(RBI) 또는 콘텐츠 분리형 브라우저 환경에서 다운로드되는 파일을 CDR로 무해화. 엔드포인트 단에서 콘텐츠가 실행 가능 형태로 도달하지 않도록 한다.

위치: 격리 브라우저 세션 → 다운로드 요청 → CDR → 사용자 디바이스
장점: 웹 기반 위협·드라이브바이 다운로드에 효과적. 제로 트러스트 엔드포인트 전략과 결합
고려: RBI 자체 비용·사용자 경험. 일반적으로 고위험 사용자군 한정

5종 통합 지점 비교

지점	프로토콜	주요 적용	장점	유의점
SMTP Gateway	SMTP/MILTER	이메일 첨부	표적 공격 경로 커버	대용량·암호 ZIP
ICAP Proxy	RFC 3507	웹·프록시·SWG	표준 인터페이스	실시간 지연
File Transfer Gateway	파일·네트워크 공유	망연계 구간	물리 + 콘텐츠 이중	CDS 방향별 정책
API / SDK	REST·gRPC·Webhook	웹앱·DMS·포털	앱 내장 유연	정책 중복/누락
Browser Isolation	RBI 연동	엔드포인트 웹	엔드포인트 무실행	비용·UX

4 네트워크 토폴로지 설계 — DMZ·망분리·엔드포인트

CDR 배치의 물리·논리 위치는 조직의 네트워크 존(zone) 설계를 따른다. 일반적으로 다음 3개 경계가 핵심 배치 후보다.

경계 1 — DMZ 외부 경계

인터넷에서 들어오는 트래픽이 최초로 도달하는 지점. SMTP Gateway·ICAP Proxy 형태의 CDR이 여기 배치된다. 공격 표면이 가장 크고 방어 효과도 가장 높다.

경계 2 — 망분리 중계 구간

인터넷망 ↔ 업무망, 또는 업무망 ↔ 기밀망을 잇는 망연계 구간. Low→High 방향으로 파일이 반입될 때 CDR이 반드시 무해화 수행. 반대 방향(High→Low)은 DLP·암호화·승인 절차와 결합한다.

경계 3 — 엔드포인트 경계

사용자 디바이스로 파일이 도달하기 직전. Browser Isolation, EDR 연동, USB·외부 저장매체 반입 통제 지점에 CDR을 연결한다.

Zone별 배치 원칙 (Zero Trust 관점)

Zone	신뢰 수준	CDR 배치 역할
인터넷	Untrusted	—
DMZ	Low	SMTP·ICAP 1차 무해화
업무망 (일반)	Medium	API·DMS·협업 도구 통합
망연계 구간	Boundary	FTG 양방향 정책
기밀망	High	2차 검증·무해화 재수행
엔드포인트	Variable	Browser Isolation·EDR 연동

✅ Defense in Depth 원칙

단일 지점 CDR이 아니라 "DMZ + 망연계 + 엔드포인트"의 3중 배치가 권장된다. 각 지점에서 놓친 위협이 다음 지점에서 걸러진다. CIS Controls v8의 Control 9(이메일·웹 브라우저 보호), Control 10(악성코드 방어)는 다중 지점 방어를 명시적으로 요구한다^[3].

5 HA/DR 패턴 — 가용성·복구 설계

CDR은 메일·파일 흐름의 인라인 컴포넌트이므로 장애 시 업무 중단에 직결된다. HA(High Availability)·DR(Disaster Recovery) 설계가 필수다.

패턴 A — Active-Active

2+ 노드가 동시 처리. L4/L7 로드밸런서(HAProxy·F5·Nginx·AWS NLB)로 분산
세션 스티키니스 불필요 (CDR은 상태 비보존형)
한 노드 장애 시 나머지가 트래픽 흡수. RTO 0에 근접
적합: 대규모 이메일·ICAP 트래픽, 엔터프라이즈 규모

패턴 B — Active-Passive

Primary 1 노드 운영 + Standby 1 노드 대기
VRRP·Keepalived·클러스터 매니저로 페일오버
RTO 수 초~수 분. 비용 절감
적합: 중규모 조직, 피크 트래픽이 단일 노드로 충분한 환경

패턴 C — Queue 기반 비동기 Cluster

파일 전송 게이트웨이·API 경로에서 파일을 큐(Kafka·RabbitMQ·SQS)에 적재
CDR 워커 풀이 큐에서 꺼내 처리
워커 수를 트래픽에 따라 동적 확장
적합: 비동기 허용 파이프라인, 대용량 배치

패턴 D — Multi-Region DR

SaaS·하이브리드에서 리전 장애 대비
주 리전 장애 시 부 리전으로 DNS 전환
RPO·RTO 목표에 맞춘 데이터 복제 정책
적합: 글로벌 기업, 다국가 서비스

HA 패턴 선택 기준

조건	권장 패턴	근거
실시간 SMTP·ICAP · 대규모	Active-Active	무중단·대칭 부하
중규모 · 예산 제약	Active-Passive	비용 효율
배치·파일 전송 중심	Queue Async	탄력적 확장
다국가 · 서비스 연속성	Multi-Region DR	리전 장애 대비
망연계 구간	Active-Passive + Queue	방향성 정책 + 버퍼링

6 성능 영향 요소 분석 — Throughput·Latency

CDR 배포의 성능은 다음 요소들이 곱해진 결과다. 단일 벤치마크 수치만 보면 실전에서 오차가 크다.

처리량(Throughput)을 좌우하는 요소

엔진 파싱 복잡도: HWP·HWPX·PDF·Office·PE·스크립트별 처리 시간 차이
파일 크기 분포: 피크 시 대용량 파일 비중
동시 요청 수(Concurrency): 워커 풀 크기와 CPU/메모리 균형
I/O 경로: 로컬 디스크 vs 네트워크 파일 시스템
암호화 오버헤드: TLS·암호 ZIP 해제 비용

지연(Latency)을 좌우하는 요소

네트워크 홉(Hop): 게이트웨이 → CDR → 저장소 사이 네트워크 왕복
인라인 vs 비동기: 인라인은 지연이 사용자 체감에 직결
캐싱 정책: 이미 무해화된 동일 해시 파일 재처리 방지
큐 대기 시간: 비동기 경로의 큐 깊이
보고서·감사 로그 기록: 외부 SIEM 송출 동기/비동기 선택

성능 최적화 체크리스트

레이어	최적화 포인트
엔진	멀티 프로세스·멀티 스레드 설정, 타임아웃 정책
게이트웨이	Connection pooling, keep-alive, 압축
네트워크	CDR 엔진을 트래픽 집중점에 물리적으로 근접 배치
저장소	로컬 NVMe·SSD 처리 큐, 임시 스토리지 분리
캐싱	파일 해시 기반 결과 캐시 (TTL 정책 포함)
관측	p50·p95·p99 레이턴시 분리 모니터링

7 공공 N2SF 3등급 배치 요건

국가정보원이 주도하는 국가망 보안체계 개편(N2SF, National Network Security Framework)은 2024년부터 본격화된 공공 클라우드 전환 체계다^[4]. 기존 일률적 물리 망분리에서 업무 중요도·데이터 민감도 기반 등급 분류로 전환하되, 3등급 구간(기밀·핵심 업무)에서는 여전히 강한 통제를 요구한다.

N2SF 3등급 구간 CDR 배치 원칙

반입 파일 100% 무해화 — 인터넷에서 들어오는 모든 첨부·다운로드 파일
반출 파일 검증 — DLP·승인·암호화와 결합
엔진 자체 검증 — CDR 엔진의 제조사·코드 공급망 검증
감사 로그 국내 보관 — 처리 이력·제거 객체 유형·송수신자 기록
물리 격리 — CDR 서버 자체가 공공 구간 내부에 위치

권장 배치 구성

인터넷 DMZ: 1차 CDR (SMTP·ICAP)
망연계 중계: 2차 CDR (File Transfer Gateway) — 방향별 정책
업무망 내부: API·DMS·그룹웨어 통합 CDR
관리 콘솔: 기밀 구간 분리, 관리자 2-factor 인증

8 금융 망분리 완화 배치 시나리오

금융위원회·금융보안원의 2024년 망분리 규제 합리화 로드맵은 일률적 물리 망분리에서 업무 특성별 차등화로의 전환을 명시했다^[5]. 클라우드·SaaS 활용의 길을 연 대신, 콘텐츠 보안 통제는 오히려 강화된다. CDR은 이 전환의 핵심 기술 기제 중 하나다.

망분리 완화 단계별 CDR 배치

구간	완화 수준	CDR 역할
핵심 업무 (결제·여신)	물리 망분리 유지	망연계 FTG + 엔드포인트 Browser Isolation
일반 업무 (인사·총무)	논리 분리 + 클라우드 활용	SMTP Gateway + API 통합
연구·분석 (데이터 사이언스)	샌드박스형 분리	ICAP·API 기반 무해화 + 로그 집중
대고객 서비스	클라우드 네이티브	SaaS 기반 DISARM 등

💡 "완화 = 약화가 아니다"

망분리 완화는 물리적 분리에서 콘텐츠·신원·행위 기반 다층 통제로의 이동이다. CDR·DLP·EDR·Zero Trust Network Access(ZTNA)가 결합해 물리 분리의 보안 효과를 대체한다. 완화 이후에도 CDR의 "콘텐츠 무해화 책임"은 오히려 커진다.

9 클라우드 네이티브 배치 — AWS·Azure·GCP

주요 CSP는 각자 레퍼런스 아키텍처를 제공한다. CDR 엔진을 어느 서비스에 얹고, 어떤 네트워크 컴포넌트로 끼워 넣을지가 설계의 핵심이다.

AWS 배치 패턴

이메일: SES + Lambda → CDR API → S3
파일 업로드: API Gateway → Lambda → CDR ECS/EKS → S3
프록시: NLB + EC2/EKS CDR 클러스터 (ICAP)
HA: Multi-AZ · Auto Scaling Group
참조: AWS Well-Architected Framework — Security Pillar^[8]

Azure 배치 패턴

이메일: Exchange Online → Defender for Office 365 → CDR API
파일: Azure Front Door → AKS CDR → Blob Storage
Hybrid: Azure Arc로 On-Prem CDR 통합 관리
참조: Microsoft Cloud Adoption Framework^[9]

GCP 배치 패턴

이메일: Google Workspace API 연동 → DISARM 유형 SaaS
파일: Cloud Load Balancing → GKE CDR → Cloud Storage
참조: Google Cloud Architecture Framework^[10]

클라우드 공통 원칙

리전 선택 — 데이터 주권·규제 적합성 우선 (한국 리전 권장)
IAM 최소 권한 — CDR 엔진의 저장소 접근 권한 최소화
네트워크 격리 — VPC·Private Link·Service Endpoint 활용
KMS 키 관리 — 파일 암호화·복호화 키 별도 분리

10 쿠버네티스·서비스 메시 통합

CDR을 클라우드 네이티브 워크로드로 배포하면 스케일 아웃·롤링 업데이트·자가 치유(Self-healing)의 쿠버네티스 이점을 그대로 얻는다.

Kubernetes 배포 설계

워커 Deployment — CDR 엔진 컨테이너 복제본 수 HPA(Horizontal Pod Autoscaler)로 자동 조절
Service + Ingress — 내부 API 엔드포인트 노출. NetworkPolicy로 남북·동서 트래픽 제한
ConfigMap/Secret — 정책·키 관리 분리
PersistentVolume — 임시 파일·로그 스토리지
참조: Kubernetes 공식 문서^[11]

Istio/Envoy 서비스 메시 통합

mTLS — CDR 워크로드 간 상호 인증·암호화
정책 라우팅 — 파일 유형·테넌트별 워커 풀 라우팅
Observability — 트레이싱(Jaeger)·메트릭(Prometheus)·로그(Loki) 일관 수집
Envoy ExtProc — HTTP 필터로 파일 콘텐츠를 CDR 워크로드로 위임

GitOps · IaC

ArgoCD·Flux로 선언형 배포
Terraform/Pulumi로 IaC 관리
Helm 차트로 CDR 릴리스 버전 관리

11 로그·SIEM 통합 — 관측·감사

CDR이 무해화한 객체 유형·송수신자·타임스탬프는 사후 위협 인텔리전스의 1차 재료다. 처리 결과를 SIEM·XDR·SOAR와 연동해 조직 전체 보안 데이터와 엮어야 한다.

주요 SIEM/로그 플랫폼 연동

Splunk — HEC(HTTP Event Collector)·Universal Forwarder
ELK/OpenSearch — Logstash·Filebeat·HTTP input
Logpresso — 국내 SIEM·한국어 처리·국가 인증
IBM QRadar · Microsoft Sentinel — 엔터프라이즈
Syslog RFC 5424 — 표준 송출

로그 이벤트 설계

파일 해시(SHA-256)·원본 크기·처리 후 크기
제거된 객체 유형(OLE·매크로·JS·LNK·PostScript·EPS 등)
송신자·수신자·파일 출처 경로
처리 시간·엔진 버전·정책 버전
예외·실패·재처리 이벤트

위협 인텔 결합

처리 이력에 ConTI(시큐레터 위협 인텔리전스) 같은 외부 IoC 피드를 결합하면, 제거된 객체가 이미 알려진 위협 캠페인(Kimsuky·APT37·Lazarus 등)과 연계되는지 사후 상관분석이 가능하다. MITRE ATT&CK 기법 매핑 — 특히 T1090 Proxy · T1105 Ingress Tool Transfer · T1566 Phishing — 을 자동 태깅하면 SOC의 1차 분류 부담이 크게 줄어든다^[12].

12 인증·RBAC 설계 — 관리 콘솔 보안

CDR 관리 콘솔 자체가 고가치 공격 표면이다. 관리자 계정이 탈취되면 정책 우회·제거 객체 유형 비활성화로 전체 방어가 무력화될 수 있다.

인증 통합

SSO SAML 2.0 — Okta·Microsoft Entra ID·Google Workspace
OAuth 2.0/OIDC — 외부 IdP 통합
MFA 강제 — TOTP·FIDO2·하드웨어 키
공공 — GPKI·공공 SSO 연동 (한국 환경 특수)

RBAC(Role-Based Access Control)

역할	권한
Super Admin	전 정책·사용자·로그 (MFA + 승인 2인 정책 권장)
Security Admin	정책 수정·예외 승인
Operator	모니터링·재처리 요청
Auditor	로그·리포트 읽기 전용
End User	본인 파일 처리 이력 조회

Zero Trust 관리 접근

관리 콘솔을 VPN·ZTNA 게이트웨이 뒤로 배치
접근 로그의 이상 탐지·UEBA 연동
관리 동작은 불변 감사 로그(append-only)로 기록

13 장애 대응 운영 플레이북

CDR이 인라인 컴포넌트라는 특성상, 장애가 발생하면 이메일·파일 흐름이 함께 멈춘다. 표준 플레이북이 사전에 준비돼 있어야 한다.

시나리오 A — CDR 엔진 노드 장애

로드밸런서 헬스 체크가 장애 노드 자동 제외
남은 노드의 부하 지표(CPU·큐 깊이) 모니터링
임계 초과 시 추가 노드 자동/수동 투입
장애 노드 RCA(Root Cause Analysis) — 로그·메트릭 수집
복구 후 트래픽 천천히 재투입 (Ramp-up)

시나리오 B — CDR 전면 장애 (Fail-safe 정책)

Fail-Closed — 기본값. 무해화 실패 시 파일 전달 차단. 공공·금융 권장
Fail-Open — 예외적. 업무 연속성 최우선 환경(의료·재난 대응)에 한정
운영 팀 즉시 알림·수동 개입

시나리오 C — 정책 오탐 급증

최근 정책 변경 이력 확인
영향 범위 파악 (송신자·수신자·파일 유형)
정책 롤백 or 예외 일시 추가
영향받은 사용자 대상 재처리 배치
사후 튜닝 (화이트리스트·정책 세분화)

시나리오 D — 업데이트 후 이상 행동

카나리(Canary) 롤아웃으로 사전 검증
이상 감지 시 즉시 롤백
변경 관리 프로세스(ITIL Change Management) 준수

14 배포 옵션 × 요구사항 적합도 매트릭스

요구사항	On-Premises	Hybrid	SaaS
데이터 주권·기밀	최적	유연	리전·계약 필요
배포 속도	주~월	월	일
초기 CAPEX	큼	중간	낮음
자동 확장	수동	혼합	자동
공공 3등급	적합	조건부	제한적
금융 핵심업무	적합	적합	완화 구간만
중소·스타트업	과함	과함	최적
대기업 복합 환경	코어에 적합	최적	주변에 적합
글로벌 다국가	지역별 중복	현실적	최적
운영 인력 부담	높음	중~높음	낮음

통합 지점별 권장 매핑

업무	1순위 지점	2순위 지점
이메일 첨부	SMTP Gateway	API (메일 플랫폼 연동)
웹 다운로드	ICAP Proxy	Browser Isolation
대용량 파일 전송	File Transfer Gateway	API
그룹웨어·DMS 업로드	API/SDK	ICAP
망연계 반입	File Transfer Gateway	—
자체 포털 업로드	API/SDK	ICAP
고위험 사용자군	Browser Isolation	SMTP + ICAP

15 실무 체크리스트 — 배포 설계 준비도

CDR 배포 아키텍처 준비도

트래픽 인벤토리이메일·웹·파일전송·API 각 경로별 일일 파일 수·용량
기초 측정
신뢰 경계 맵DMZ·업무망·기밀망·엔드포인트 Zone 정의
Zero Trust
배포 모델 결정On-Prem / Hybrid / SaaS 중 1차 선택 + 근거
아키텍처
통합 지점 우선순위SMTP → ICAP → FTG → API → Browser 순 단계 계획
로드맵
HA 패턴 결정Active-Active / Passive / Queue / Multi-Region
가용성
Fail-Closed 정책공공·금융은 기본값. 예외 최소화
안전 기본
SIEM 연동Splunk·ELK·Logpresso·Sentinel 중 타깃 선택
관측성
SSO·MFA·RBAC관리 콘솔 Zero Trust 접근 체계
콘솔 보안
PoC/BMT 시나리오단일 벤치마크 아닌 3모델 × 2~3지점 매트릭스
검증
규제 적합성 리뷰N2SF 등급·금융 망분리 완화·개인정보보호법
컴플라이언스
장애 대응 플레이북엔진·정책·업데이트 시나리오별 표준 절차
운영
관측 대시보드p50/p95/p99 레이턴시·처리량·제거 유형 분포
모니터링
변경 관리카나리 롤아웃·롤백 체계·ITIL 연계
CI/CD
업데이트 주기엔진·시그니처·포맷 지원 업데이트 정책
유지보수
감사 보고월·분기 무해화 이력 리포트·임원 가시성
거버넌스

16 자주 묻는 질문 (FAQ)

Q1. On-Prem과 SaaS를 섞는 하이브리드의 관리 복잡도는 어떻게 통제하나요?

시큐레터 제품군은 공통 관리 콘솔을 통해 On-Prem과 SaaS 인스턴스의 정책·로그·리포트를 일관 관리한다. SSO·RBAC·감사 로그가 단일 축으로 수렴한다. 정책 표준 템플릿을 먼저 정의하고, 양 환경에 배포한 뒤 PoC·BMT에서 일관성 테스트를 거치는 것이 정석이다.

Q2. ICAP은 요즘도 쓰이는 오래된 프로토콜 아닌가요?

RFC 3507은 2003년 제정됐지만 현재도 웹 프록시·SWG·WAF·파일 전송 게이트웨이의 표준 통합 프로토콜이다. 대안이 사실상 없다. 주요 벤더(Broadcom Symantec Web Gateway·Forcepoint·Zscaler·Squid 등) 전부 ICAP을 지원한다. 제조사 종속을 피하는 가장 안전한 통합 방식이기도 하다.

Q3. SaaS는 공공 구간에 사용할 수 없나요?

일률적으로 불가능한 것은 아니다. CSAP(Cloud Security Assurance Program) 인증·한국 리전 배포·데이터 국내 보관 조건을 충족하면 N2SF 등급별로 허용 범위가 있다. 다만 3등급(기밀) 구간은 여전히 On-Prem이 현실적이고, 1·2등급은 SaaS 활용 여지가 커지고 있다. N2SF의 핵심은 "일률 분리에서 등급별 차등화"다.

Q4. Fail-Open과 Fail-Closed 중 어느 것이 맞나요?

원칙은 Fail-Closed. CDR이 무해화할 수 없는 파일은 기본 차단이다. 공공·금융 환경은 Fail-Closed가 표준이다. Fail-Open은 업무 연속성이 최우선인 특수 환경(의료 응급·재난 대응)에서 제한적으로만 고려하며, 이 경우에도 우회된 파일에 별도 격리·후처리 큐가 필요하다. 무조건 열어두는 Fail-Open은 금지.

Q5. 망분리 완화 이후 CDR의 역할은 축소되나요?

오히려 반대다. 물리 분리가 완화되는 만큼 콘텐츠 계층의 무해화 책임이 커진다. 금융보안원 완화 로드맵은 CDR·DLP·EDR·ZTNA의 결합을 전제한다. CDR은 완화 이후 배치 지점이 많아지는 기술이지 줄어드는 기술이 아니다.

Q6. 쿠버네티스로 CDR을 돌리면 성능 손실이 있지 않나요?

컨테이너 오버헤드 자체는 수 % 수준이다. 반면 Auto-scaling·롤링 업데이트·Self-healing의 운영 이득이 크다. 멀티테넌트·다리전·GitOps를 원하면 쿠버네티스가 사실상 기본이다. 다만 네트워크 인라인 성능이 극단적으로 중요한 SMTP·ICAP 인라인 노드는 베어메탈·전용 VM 배치가 여전히 유효한 선택지다.

Q7. 여러 지점에 CDR을 배치하면 같은 파일이 중복 처리되지 않나요?

파일 해시 기반 캐시 공유로 반복 무해화를 생략하거나, Zone별 정책 차별화(DMZ는 광범위 제거, 내부는 세부 추가 검사)로 역할을 분리한다. 다중 지점은 Defense in Depth의 정석이다.

Q8. 배포 아키텍처 선택을 나중에 바꿀 수 있나요?

가능하다. On-Prem → Hybrid → SaaS 방향은 실제로 많은 조직이 밟는 경로다. 시큐레터는 마이그레이션 프로세스·이중 운영·정책 이전을 지원한다. PoC·BMT에서 미래 경로까지 시뮬레이션하는 것이 권장된다.

✓ 결론 — "어디에 둘 것인가"가 "무엇을 살 것인가"만큼 중요하다

CDR의 엔진 성능은 출발점일 뿐이다. 진짜 가치는 "조직의 어느 데이터 흐름 지점에 PEP를 두는가"에서 결정된다. 3대 모델(On-Prem / Hybrid / SaaS)과 5종 통합 지점(SMTP · ICAP · FTG · API · Browser)은 독립적인 축이 아니다. 둘을 교차한 매트릭스가 실제 배포 설계다. 공공 N2SF 3등급은 On-Prem + FTG + SMTP, 금융 완화 구간은 Hybrid + API + ICAP, 클라우드 전환 중소기업은 SaaS + API처럼 조직 특성에 맞는 조합이 있다.

NIST SP 800-207의 Zero Trust는 "어디서나 검증"을 요구하지만, 그 검증을 실제로 수행할 정책 집행 지점의 물리·논리 위치는 아키텍처가 결정한다. RFC 3507의 ICAP은 20년 넘게 그 위치의 표준을 제시해왔다. CIS Controls·ISO 27001·KISA N2SF·금융보안원 로드맵은 각자의 환경에서 같은 질문을 다른 언어로 묻고 있다. — "콘텐츠 무해화 정책을 어느 지점에, 어떤 가용성으로, 어떤 감사 체계와 함께 둘 것인가."

본 글의 매트릭스·체크리스트·FAQ는 그 질문에 대한 실전 답안지로 쓰이도록 설계됐다. 실제 선택은 조직의 규제·예산·운영 역량·클라우드 전환 단계에 따라 달라진다. 정답은 PoC·BMT에서 End-to-End 시나리오 검증을 통해서만 드러난다.

CDR 배포 아키텍처 설계 상담

조직 특성 기반 3대 모델 × 5종 통합 지점 매트릭스 설계 · N2SF/금융 망분리 완화 배치 로드맵 · 쿠버네티스·서비스 메시 통합 · HA/DR 패턴 선택 · SIEM·RBAC·감사 증적 자동화까지 PoC·BMT 시나리오와 함께 지원.

아키텍처 상담 신청 → 공공 · 금융 · 엔터프라이즈 · 중소기업 · 글로벌 다국가 환경

REFERENCES

NIST, Special Publication 800-207 — Zero Trust Architecture, 2020 — csrc.nist.gov.
IETF, RFC 3507 — Internet Content Adaptation Protocol (ICAP), 2003 — datatracker.ietf.org.
Center for Internet Security, CIS Critical Security Controls v8 — cisecurity.org.
국가정보원, 국가망 보안체계 개편(N2SF) 가이드라인, 2024 — nis.go.kr.
금융보안원, 금융권 망분리 규제 합리화 로드맵, 2024 — fsec.or.kr.
SecuLetter Inc., Ensecure v2 · DISARM Solution Introduction KO, 2025.
SecuLetter, MARS Platform · File Security Technology — seculetter.com.
AWS, Well-Architected Framework — Security Pillar — docs.aws.amazon.com.
Microsoft, Cloud Adoption Framework · Zero Trust Data Security — learn.microsoft.com.
Google Cloud, Architecture Framework — Security, Privacy, and Compliance — cloud.google.com.
Kubernetes, Production-Grade Container Orchestration · Documentation — kubernetes.io.
MITRE ATT&CK, T1090 Proxy · T1105 Ingress Tool Transfer · T1566 Phishing — attack.mitre.org.
Istio, Service Mesh Architecture · Security — istio.io.
Envoy Proxy, External Processing Filter (ExtProc) — envoyproxy.io.
Cloud Security Alliance, Security Guidance v4.0 for Critical Areas of Focus in Cloud Computing — cloudsecurityalliance.org.
ISO/IEC, 27001:2022 — Information security management systems — iso.org.
IETF, RFC 5321 — Simple Mail Transfer Protocol — datatracker.ietf.org.
IETF, RFC 5424 — The Syslog Protocol — datatracker.ietf.org.
한국인터넷진흥원(KISA), 정보보호 관리체계 인증(ISMS-P) 고시 — kisa.or.kr.
Splunk, HTTP Event Collector Documentation — docs.splunk.com.
Elastic, Elastic Stack Security Overview — elastic.co.
Logpresso, 국내 SIEM 플랫폼 기술 개요 — logpresso.com.
OWASP, Zero Trust Architecture Cheat Sheet — cheatsheetseries.owasp.org.

도입 설계 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청

1 왜 배포 설계가 성능·보안을 결정하는가

배포 설계가 영향을 미치는 4개 축

2 3대 배포 모델 — 특성·적합·트레이드오프

모델 A — On-Premises (온프레미스)

특성

적합 환경

모델 B — Hybrid (하이브리드)

특성

적합 환경

모델 C — SaaS / Cloud-Native

특성

적합 환경

3모델 직접 비교

3 통합 지점 5종 — 어느 경로에 PEP를 둘 것인가

지점 1 — SMTP Gateway (이메일 게이트웨이)

지점 2 — ICAP Proxy (RFC 3507)

지점 3 — File Transfer Gateway (FTG, 망연계)

지점 4 — API / SDK (앱 내장)

지점 5 — Browser Isolation

5종 통합 지점 비교

4 네트워크 토폴로지 설계 — DMZ·망분리·엔드포인트

경계 1 — DMZ 외부 경계

경계 2 — 망분리 중계 구간

경계 3 — 엔드포인트 경계

Zone별 배치 원칙 (Zero Trust 관점)

5 HA/DR 패턴 — 가용성·복구 설계

패턴 A — Active-Active

패턴 B — Active-Passive

패턴 C — Queue 기반 비동기 Cluster

패턴 D — Multi-Region DR

HA 패턴 선택 기준

6 성능 영향 요소 분석 — Throughput·Latency

처리량(Throughput)을 좌우하는 요소

지연(Latency)을 좌우하는 요소

성능 최적화 체크리스트

7 공공 N2SF 3등급 배치 요건

N2SF 3등급 구간 CDR 배치 원칙

권장 배치 구성

8 금융 망분리 완화 배치 시나리오

망분리 완화 단계별 CDR 배치

9 클라우드 네이티브 배치 — AWS·Azure·GCP

AWS 배치 패턴

Azure 배치 패턴

GCP 배치 패턴

클라우드 공통 원칙

10 쿠버네티스·서비스 메시 통합

Kubernetes 배포 설계

Istio/Envoy 서비스 메시 통합

GitOps · IaC

11 로그·SIEM 통합 — 관측·감사

주요 SIEM/로그 플랫폼 연동

로그 이벤트 설계

위협 인텔 결합

12 인증·RBAC 설계 — 관리 콘솔 보안

인증 통합

RBAC(Role-Based Access Control)

Zero Trust 관리 접근

13 장애 대응 운영 플레이북

시나리오 A — CDR 엔진 노드 장애

시나리오 B — CDR 전면 장애 (Fail-safe 정책)

시나리오 C — 정책 오탐 급증

시나리오 D — 업데이트 후 이상 행동

14 배포 옵션 × 요구사항 적합도 매트릭스

통합 지점별 권장 매핑

15 실무 체크리스트 — 배포 설계 준비도

16 자주 묻는 질문 (FAQ)

✓ 결론 — "어디에 둘 것인가"가 "무엇을 살 것인가"만큼 중요하다

CDR 배포 아키텍처 설계 상담

도입 설계 실무 검토가 필요하신가요?

N2SF CDR 매핑 가이드 / 260개 통제항목 체크리스트

CDS vs CDR — 망분리·N2SF 시대의 경계 통제와 콘텐츠 무해화 완전 비교

금융권 클라우드 전환과 CDR — 2026 평가 869항목 · 신설 클라우드 관리체계 73항목 대응