229. EAP (Extensible Authentication Protocol) - PPP 확장 인증

핵심 인사이트 (3줄 요약)

본질: EAP (Extensible Authentication Protocol)는 특정 인증 방식(PAP, CHAP 등)에 종속되지 않고, 스마트카드, 토큰, 인증서, 생체 인식 등 **다양한 인증 기법을 수용할 수 있는 보편적이고 유연한 인증 프레임워크(뼈대)**다.

확장성: 이름 그대로 '확장 가능(Extensible)'하다. 새로운 보안 인증 기술이 등장할 때마다 네트워크 장비(스위치/AP)의 하드웨어나 OS를 통째로 업그레이드할 필요 없이 플러그인처럼 EAP 모듈만 추가하면 즉각 적용할 수 있다.

융합 (IEEE 802.1X): 주로 무선랜(Wi-Fi, WPA2/WPA3 엔터프라이즈)과 유선 LAN의 포트 기반 네트워크 접근 제어(IEEE 802.1X) 환경에서 사용자와 RADIUS 인증 서버 사이의 인증 메시지 운반체(Carrier) 역할을 수행한다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

개념: EAP (Extensible Authentication Protocol, RFC 3748)는 점대점 프로토콜(PPP)용으로 처음 개발되었으나, 현재는 무선 네트워크(IEEE 802.1X)의 필수 불가결한 표준 인증 구조로 자리 잡은 범용 인증 프레임워크다. EAP 자체는 특정 인증 알고리즘이 아니며, 여러 인증 알고리즘(EAP-TLS, EAP-PEAP, EAP-TTLS 등)을 담아 나르는 '그릇' 역할을 한다.
필요성: 기존의 PAP나 CHAP는 설계 당시 정해진 규칙대로만 동작하는 닫힌 구조였다. 지문 인식, 스마트카드, OTP 등 수많은 인증 기술이 쏟아져 나오는데, 그때마다 라우터나 스위치의 프로토콜을 갈아엎는 것은 불가능했다. 따라서 **"무슨 인증 수단을 쓰든 메시지 교환 절차는 하나로 통일하자"**는 유연한 표준 빈 그릇이 필요해졌다.
💡 비유: EAP는 다양한 게임팩을 꽂을 수 있는 **"닌텐도 게임기 본체(콘솔)"**와 같습니다. EAP 본체 자체는 게임이 아니지만, '스마트카드 인증 팩', '인증서(TLS) 인증 팩' 등 어떤 카트리지(EAP 메서드)를 꽂느냐에 따라 다양한 방식으로 동작합니다. 새로운 게임(인증 기술)이 나와도 팩만 갈아 끼우면 됩니다.

📢 섹션 요약 비유: EAP는 택배 회사의 **"표준 규격 상자"**입니다. 내용물이 유리잔(비밀번호)이든, 전자기기(생체 정보)이든, 보석(디지털 인증서)이든 상관없이 똑같은 네모난 상자에 담아 안전하게 배송해 주는 범용 포장 시스템입니다.

Ⅱ. EAP 구조 및 802.1X와의 융합 (Deep Dive)

1. EAP의 핵심 구성 요소 (3-Tier 모델)

EAP 인증 구조는 일반적으로 클라이언트, 스위치(또는 AP), 인증 서버의 세 부분으로 나뉜다.

Supplicant (클라이언트): 네트워크 접속을 요청하는 단말기(노트북, 스마트폰).
Authenticator (인증자): 접속을 제어하는 장비(스위치, 무선 AP). 클라이언트가 누군지 직접 판단하지 않고, EAP 메시지를 서버로 토스(Pass-through)만 하는 '문지기' 역할.
Authentication Server (인증 서버): 실제 인증 DB를 가지고 검증을 수행하는 백엔드 서버(일반적으로 RADIUS 서버).

2. IEEE 802.1X 기반 EAP 동작 시퀀스

유선 포트나 무선 AP에 연결될 때 EAP 기반의 인증 절차는 다음과 같다. 이 과정에서 인증자(AP)는 내용물(인증 데이터)을 뜯어보지 않는다.

 ┌───────────────────────────────────────────────────────────────┐
 │            IEEE 802.1X에서의 EAP 인증 과정 (EAP-TLS 예시)       │
 ├───────────────────────────────────────────────────────────────┤
 │                                                               │
 │ [Supplicant]          [Authenticator (AP)]        [RADIUS 서버]  │
 │  (노트북)                  (무선 공유기)               (인증 서버)   │
 │     │                         │                         │     │
 │     │ 1. EAPOL-Start (연결 요청)│                         │     │
 │     ├────────────────────────▶│                         │     │
 │     │                         │                         │     │
 │     │ 2. EAP-Request/Identity │                         │     │
 │     │◀────────────────────────┤                         │     │
 │     │                         │                         │     │
 │     │ 3. EAP-Response/Identity│                         │     │
 │     ├────────────────────────▶│                         │     │
 │     │                         │ 4. RADIUS Access-Request│     │
 │     │                         │    (EAP 메시지 포장)       │     │
 │     │                         ├────────────────────────▶│     │
 │     │                         │                         │     │
 │     │ 5. EAP 방식 협상 및 인증 교환 (서로 TLS 터널 등 생성)       │     │
 │     │◀────────────────────────┼────────────────────────▶│     │
 │     │                         │                         │     │
 │     │                         │ 6. RADIUS Access-Accept │     │
 │     │                         │◀────────────────────────┤     │
 │     │ 7. EAP-Success          │                         │     │
 │     │◀────────────────────────┤ 포트 잠금 해제 (통신 시작)  │     │
 │                                                               │
 └───────────────────────────────────────────────────────────────┘

3. 대표적인 EAP 확장 방식 (EAP Methods)

EAP-MD5: CHAP와 비슷한 해시 인증 (보안성 낮음).
EAP-TLS: 클라이언트와 서버 양방향 모두 X.509 디지털 인증서를 요구하는 가장 강력한 보안 (구축 비용 높음).
PEAP / EAP-TTLS: 서버 쪽에만 인증서를 설치하여 암호화된 TLS 터널을 뚫은 뒤, 그 안전한 터널 안에서 클라이언트의 ID/PW를 검증하는 방식 (기업 환경에서 가장 널리 쓰임).

📢 섹션 요약 비유: 무선 랜(AP) 환경에서 EAP는 **"통역사(AP)를 낀 대화"**와 같습니다. AP는 클라이언트와 인증 서버 사이에서 무슨 말(어떤 인증 방식)이 오가는지 이해하지 못한 채, 오직 양쪽의 편지만 전달해 주다가 서버가 "이 사람 통과!"라고 외치면 그때 문을 열어주는 수동적인 중계자 역할을 합니다.