043. OSA — 오픈 보안 아키텍처 (Open Security Architecture)

핵심 인사이트

1. OSA(Open Security Architecture)는 보안 아키텍처 패턴과 컨트롤을 무료로 제공하는 오픈소스 커뮤니티 프레임워크로 — 특정 보안 제품이 아닌 기술 중립적 보안 설계 원칙을 제공하여 보안 아키텍트가 복잡한 시스템을 체계적으로 설계할 수 있게 한다.
2. OSA의 핵심은 보안 패턴(Security Pattern) 카탈로그 — "DMZ 패턴", "다중 계층 방어(Defense in Depth) 패턴", "ID Federation 패턴"처럼 반복적인 보안 문제에 검증된 해결책을 패턴 형식으로 제공하여 설계 오류를 줄이고 재사용성을 높인다.
3. OSA는 SABSA, TOGAF, ISO 27001 같은 주요 엔터프라이즈 보안 프레임워크와 상호 보완적으로 사용되며 — 추상적인 프레임워크의 구체적 구현 지침을 제공하는 "How-to" 레이어 역할을 한다.

Ⅰ. OSA 개요와 목적

OSA (Open Security Architecture):
  설립: 2004년 (커뮤니티 기반)
  목적: 보안 아키텍처 패턴의 무료 공유
  특징:
    벤더 중립적 (특정 제품 추천 없음)
    실용적 (이론보다 구현 가이드 중심)
    커뮤니티 기반 (지속적 업데이트)
  웹사이트: opensecurityarchitecture.org

OSA의 주요 제공물:

1. 보안 패턴 카탈로그:
   기업 보안, 클라우드, 모바일, IoT 등 영역별 패턴
   
2. 컨트롤 카탈로그:
   ISO 27001, NIST, PCI-DSS 컨트롤 매핑
   
3. 아키텍처 컴포넌트 정의:
   방화벽, IDS/IPS, VPN, SIEM 역할 정의
   
4. 위협 모델링 가이드

보안 아키텍처의 필요성:
  단순 제품 도입의 한계:
    방화벽 구매 → 어디에 어떻게 배치?
    SIEM 구매 → 어떤 로그를 수집?
    → 아키텍처 없이 제품만으론 보안 불완전
  
  OSA 접근법:
    먼저 아키텍처 패턴 선택
    → 해당 패턴에 맞는 제품/컨트롤 적용

📢 섹션 요약 비유: OSA는 건축 설계 도면집 — 집을 짓기 전 "평수별 표준 도면(패턴)"을 제공해서 매번 새로 설계하지 않고 검증된 도면을 활용.

Ⅱ. OSA 핵심 보안 패턴

1. DMZ 패턴 (Demilitarized Zone):

  인터넷 ─── [외부 방화벽] ─── DMZ ─── [내부 방화벽] ─── 내부망
                                |
                           웹 서버
                           메일 서버
                           DNS 서버
  
  원칙:
    DMZ의 서버는 직접 내부망 접근 불가
    내부망은 DMZ를 통해서만 외부 접근
    각 방화벽은 별도 벤더 (이중 방어)

2. Defense in Depth (심층 방어):
  
  물리 보안 → 네트워크 → 호스트 → 앱 → 데이터
  
  각 레이어가 독립적으로 방어
  하나 뚫려도 다음 레이어가 방어
  
  예:
    방화벽 → IDS/IPS → WAF → 앱 보안 → DB 암호화

3. Identity Federation 패턴:
  
  사용자 → IdP (Identity Provider) → SP (Service Provider)
  
  SSO(Single Sign-On) 구현
  SAML 2.0, OAuth 2.0, OIDC

4. Zero Trust 패턴:
  
  "신뢰하지 않고, 항상 검증"
  
  모든 요청 = 재인증/재인가
  네트워크 위치 기반 신뢰 없음
  마이크로 세그멘테이션

5. Secure Cloud Access 패턴:
  
  온프레미스 ─── CASB ─── SaaS/IaaS
             (Cloud Access Security Broker)
  
  가시성, 데이터 보안, 위협 방어

📢 섹션 요약 비유: 보안 패턴은 검증된 방어 공식 — "DMZ 패턴"은 군사 비무장 지대처럼, 내부와 외부 사이에 완충지대를 만드는 방어 레이아웃.

Ⅲ. OSA와 주요 프레임워크 관계

보안 프레임워크 계층:

전략 레이어:
  SABSA (Sherwood Applied Business Security Architecture)
  → 비즈니스 요구사항 → 보안 아키텍처 매핑
  → 6계층 아키텍처 프레임워크

표준 레이어:
  ISO/IEC 27001: 정보보호 관리 시스템 (ISMS)
  → 무엇을 해야 하는지 (컨트롤 목록)
  
  NIST CSF: 식별/보호/탐지/대응/복구
  
  PCI-DSS: 카드 결제 보안 요구사항

구현 레이어:
  OSA: 실제 아키텍처 패턴과 컴포넌트
  → "어떻게 구현하는지" 상세 가이드

OSA + ISO 27001 매핑 예시:

ISO 27001 컨트롤         | OSA 패턴/컴포넌트
------------------------+---------------------------
A.13.1.1 네트워크 통제  | DMZ 패턴, 방화벽 구성
A.9.4.2 보안 접속       | Zero Trust, MFA 패턴
A.10.1.1 암호화 정책    | 암호화 컴포넌트 가이드

TOGAF 통합:
  TOGAF는 엔터프라이즈 아키텍처 (비즈니스/데이터/앱/기술)
  OSA는 보안 아키텍처 뷰 추가
  → TOGAF ADM의 Security Architecture 도메인

📢 섹션 요약 비유: OSA는 ISO 27001의 요리책 — ISO는 "균형 잡힌 식단이 필요합니다(컨트롤)"라고 말하고, OSA는 "이렇게 요리하세요(패턴)"를 알려줘요.

Ⅳ. OSA 아키텍처 컴포넌트

OSA 주요 보안 컴포넌트:

경계 보안 (Perimeter Security):
  방화벽 (Firewall):
    패킷 필터링, 상태 기반 인스펙션
    NG방화벽: DPI, 앱 인식
    
  IDS/IPS (침입 탐지/차단):
    시그니처 기반, 행동 기반
    
  WAF (Web Application Firewall):
    OWASP Top 10 방어

접근 제어:
  NAC (Network Access Control):
    장치 인증, 건강 검사, 격리
    
  IAM (Identity and Access Management):
    디렉토리 서비스, SSO, MFA
    
  PAM (Privileged Access Management):
    특권 계정 관리, 세션 녹화

모니터링/대응:
  SIEM (Security Info and Event Management):
    로그 수집, 상관 분석, 경보
    
  SOC (Security Operations Center):
    24/7 모니터링 운영
    
  SOAR (Security Orchestration):
    자동화 대응 플레이북

데이터 보안:
  DLP (Data Loss Prevention):
    데이터 유출 방지
    
  암호화 (Encryption):
    전송 중: TLS 1.3
    저장 중: AES-256
    키 관리: HSM

📢 섹션 요약 비유: OSA 컴포넌트는 경비 팀 역할 분담 — 정문 경비(방화벽), 순찰대(IDS), 감시 카메라(SIEM), 특수 요원(PAM), 모두 역할이 다르고 협력해요.

Ⅴ. 실무 시나리오 — 금융기관 보안 아키텍처

은행 인터넷 뱅킹 보안 아키텍처 설계 (OSA 적용):

비즈니스 요구사항:
  인터넷 뱅킹 서비스
  금융감독원 전자금융감독규정 준수
  PCI-DSS Level 1 인증

OSA 패턴 선택:
  1. DMZ 패턴 (필수)
  2. Defense in Depth (필수)
  3. Zero Trust (내부 네트워크)
  4. Identity Federation (기업 고객 SSO)

아키텍처 설계:

  인터넷
    │
  [L4 스위치 / DDoS 방어 (Akamai)]
    │
  [외부 방화벽 (NG-FW)]
    │
  ────── DMZ ──────
  [WAF]  [웹 서버 클러스터]  [CDN]
  ─────────────────
    │
  [내부 방화벽]
    │
  [앱 서버] ─── [DB 서버 (암호화)]
    │
  [SIEM] ← 모든 레이어 로그 수집

컴플라이언스 매핑:
  전자금융감독규정 제14조 (접근통제):
    → OSA 접근 제어 컴포넌트 (NAC, IAM, PAM)
    
  전자금융감독규정 제16조 (암호화):
    → OSA 암호화 컴포넌트 (TLS, AES-256, HSM)

위협 시나리오:
  DDoS: Akamai CDN/방어 → 1Tbps 이상 흡수
  SQL Injection: WAF → OWASP A03 차단
  내부자 위협: SIEM + PAM 세션 녹화 → 탐지
  피싱: 이메일 보안 게이트웨이 + 사용자 교육

📢 섹션 요약 비유: OSA 기반 금융 보안 아키텍처는 금고 설계 — 금고문(방화벽), 감시 카메라(SIEM), 이중 잠금(MFA), 특수 금고(HSM), 경보 시스템(IDS) 모두 통합 설계.

📌 관련 개념 맵

OSA (Open Security Architecture)
+-- 핵심 제공물
|   +-- 보안 패턴 카탈로그
|   +-- 컨트롤 매핑
|   +-- 아키텍처 컴포넌트
+-- 주요 패턴
|   +-- DMZ
|   +-- Defense in Depth
|   +-- Zero Trust
|   +-- Identity Federation
+-- 프레임워크 관계
|   +-- ISO 27001 (컨트롤 요구사항)
|   +-- SABSA (전략 레이어)
|   +-- TOGAF (엔터프라이즈 아키텍처)

📈 관련 키워드 및 발전 흐름도

[초기 네트워크 보안 (1990s)]
방화벽 단일 경계 모델
DMZ 개념 등장
      |
      v
[보안 아키텍처 프레임워크 (2000s)]
SABSA (1996), TOGAF 확산
OSA 커뮤니티 설립 (2004)
      |
      v
[클라우드/모바일 보안 패턴 (2010s)]
OSA 클라우드 보안 패턴 추가
BYOD, 모바일 패턴
      |
      v
[Zero Trust 모델 (2010, Forrester)]
경계 모델 해체, 항상 검증
NIST SP 800-207 Zero Trust 표준화
      |
      v
[현재: AI 기반 보안 아키텍처]
AI/ML 기반 위협 탐지 패턴
SASE (Secure Access Service Edge)
XDR (eXtended Detection & Response)

👶 어린이를 위한 3줄 비유 설명

1. OSA는 보안 건축 도면집 — 안전한 건물 짓는 표준 도면처럼, 안전한 IT 시스템 만드는 표준 패턴을 무료로 제공해요!
2. DMZ 패턴은 군사 비무장 지대 개념 — 인터넷과 내부망 사이에 완충 구역을 만들어 외부 공격이 직접 내부에 닿지 않게 해요.
3. ISO 27001이 "무엇을 해야 하나"라면 OSA는 "어떻게 하나" — 규정과 실천 방법을 함께 써야 진짜 보안이 돼요!