Octelium - 오픈 소스 Teleport, Cloudflare, Tailscale, Ngrok 대체제

• Octelium은 원격 액세스 VPN, ZTNA, API/AI 게이트웨이 등을 통합 지원하는 차세대 오픈 소스 자체 호스팅 플랫폼
• 자체 호스팅 및 단일 테넌트로 모든 내부·공개 자원에 대한 정체성 기반, 응용계층(레이어 7) 보안 접속 제공
• 비밀 없는(secret-less) 접근, 세분화 정책 기반 제어, 중앙 관리 및 감사 등 최신 보안 요구 충족 기능 포함
• 기존 Kubernetes, OpenVPN, Tailscale, Cloudflare Access 등 다양한 상용/오픈 소스 솔루션과 경쟁 우위 제공 및 대체 가능
• 오픈 소스 모델을 채택하고 상용 기능 지원 및 라이선싱으로 사업 기반을 마련하며, 풀 기능 자체 호스팅 제공에 중점 둠

Octelium 프로젝트 중요성 및 개요

• Octelium은 Teleport, Cloudflare, Tailscale, Ngrok과 같은 상용 솔루션을 대체할 수 있는 차세대 오픈 소스 통합 Zero Trust 자체 호스팅 보안 접속 플랫폼임.
• 기존 오픈 소스/상용 솔루션 대비 전체 기능을 손상 없이 자체적으로 호스팅 가능, 추가 비용·벤더 종속에서 자유로운 것이 큰 장점임.

Octelium이란 무엇인가

• Octelium은 정체성 기반·레이어 7 알고리듬을 적용한 통합 접속 관리 플랫폼
• 원격 액세스 VPN(OpenVPN Access Server, Twingate, Tailscale 등)의 대안이면서 ZTNA, BeyondCorp(Google BeyondCorp, Cloudflare Access, Teleport 등), ngrok(리버스 프록시), API/AI 게이트웨이, 자가 PaaS 인프라, Kubernetes 인그레스 대체, Homelab 인프라 등 다양한 역할에 대응함
• 사용자(사람, 워크로드 모두)·조직·애플리케이션 접근을 위해 WireGuard/QUIC 터널 기반의 클라이언트 방식과 BeyondCorp 방식의 클라이언트 없는 브라우저 접근 모두 지원함
• 정책을 코드로 정의하는 policy-as-code 및 세부 컨텍스트·정체성 기반 보안·비밀 없는 인증 및 권한 부여가 핵심임

주요 사용 사례

• 현대적 원격 액세스 VPN: WireGuard/QUIC 기반, 동적·정체성 인식·응용 계층 보안
• 통합 ZTNA/BeyondCorp 접근 구성
• 자체 호스팅 안전 터널/리버스 프록시(ngrok, Cloudflare Tunnel 대체)
• 자체 호스팅 PaaS(컨테이너 앱 배포·확장·익명 공개 호스팅)
• API 게이트웨이(Kong Gateway, Apigee 대체)
• AI 게이트웨이(LLM 프로바이더 연결·정체성 기반 제어)
• 통합 비밀 없는 SaaS API 접근
• MCP/A2A(모델 컨텍스트 및 에이전트 간 표준) 게이트웨이 인프라 제공
• Kubernetes 인그레스/로드밸런서 고도화 대체
• Homelab(개인 자원·IoT·클라우드 등 통합 안전 원격 관리)

주요 특징

현대적 통합 아키텍처

• 모든 자원(내부/NAT 뒤, 공개)·모든 사용자(사람/워크로드)에 대응하는 정체성 인식, 응용 계층 단위 제어
• VPN 기반 원격 접속과 BeyondCorp 클라이언트 없는 접근 모두 제공
• Kubernetes 상에 동작, 수평 확장·가용성 자동 내장

동적 비밀 없는(secret-less) 접근

• HTTP/gRPC API, 웹앱, SSH, Kubernetes, PostgreSQL/MySQL 등 다수 앱/DB에 비밀 키 관리·공유 없이 안전한 접근 지원
• mTLS 등도 PKI/인증서 공유 없이 접근 가능

컨텍스트 인식·정체성 기반·레이어 7 접근 제어

• 중앙 모듈형, 컴포저블 정책 시스템(ABAC) 내장
• CEL, OPA 등 정책 언어 지원, 모든 요청 단위 세밀한 제어 가능

동적 라우팅/구성

• 정책 기반 동일한 자원에 대해 각기 다른 상위 컨텍스트·계정·조건부 라우팅 가능

지속적 강력 인증

• OpenID Connect, SAML2.0 등 표준 IdP 연동
• 워크로드는 OIDC 토큰으로 무비밀 인증
• NIST 인증수준·MFA·피싱 방지(Passkey, Yubikey 등) 지원

응용 계층 심층 가시성 및 감사

• OpenTelemetry 통합, 모든 요청 실시간 로그화 및 외부 OTLP 수집기로 전송

서버리스 SSH 및 컨테이너 앱 배포

• 루트 권한 필요 없이 컨테이너·IoT·비SSH 호스트에도 SSH 접근
• PaaS와 유사한 컨테이너 앱 배포·확장·보안 접근 지원

중앙집중적 선언적 관리 및 코딩 가능

• Kubernetes처럼 선언적으로 관리, 단일 명령/코드로 클러스터 상태 재현 가능
• octeliumctl CLI 및 gRPC API로 DevOps/GitOps 친화적 운영

네트워크 변경 불필요 및 VPN 고질적 문제 해소

• 업스트림 자원이 Octelium 존재 자체를 알 필요 없으며, 포트 개방 없이 NAT 뒤에서 안전하게 서비스 운영 가능
• 고유 듀얼스택 프라이빗 IP, 프라이빗 DNS 등 설정 자동화

완전한 오픈 소스, 자체 호스팅·벤더 종속 없음

• 전체 소스 공개, 상용 버전 기능 제한·Vendor Lock-in 없음
• 단일 노드 미니 클러스터부터 대형 클라우드까지 확장적 구성 지원

라이선스 및 지원

• 클라이언트 소스는 Apache 2.0, 클러스터는 AGPLv3
• 상용 라이선스 및 엔터프라이즈 지원, 외부 기여는 현재 제한됨
• 공식 문서, Discord, Slack, 이메일, Reddit 등 커뮤니티 지원

자주 묻는 질문 중 주요 항목 요약

• 현재 Public Beta 단계, 내부 개발 장기 진행 이후 오픈소스 전환함
• 한 명의 개발자(George Badawi)가 주도, VC나 외부 자본 없이 자체 운영 중임
• VPN 역할 가능하지만, 근본적으로 정체성 인식 프록시 기반의 ZTA를 지향
• 실제 "오픈 소스같지 않은" 제약이나 상용 강제 없고 자체 호스팅·풀기능 제공이 설계 목표임
• 비즈니스 모델은 기술지원, 상용 라이선스, 엔터프라이즈 부가 기능(예: SIEM 연동, Vault 백엔드, EDR) 등에서 파생