대부분의 웹 서비스는 Cloudflare 같은 외부 보안 게이트웨이에 의존한다.
그러나 이는 '보안을 위탁할' 뿐, '보안을 직접 검증할' 수는 없다.

해당 서버(glitter.kr)는 이 구조적 한계를 넘어서기 위해

모든 계층의 신뢰를 스스로 증명하는 자율 인프라를 구축했다.

 

과연 당신이라면 Cloudflare를 버릴 수 있겠는가?
위탁이 아닌, 자율 검증으로 신뢰를 완성해 보자.

 . . .

 

glitter.kr을 메인 DNS로 운영하는 '해당 서버' 인프라는,
운영자가 직접 제어 가능한 모든 계층에서 '완전 자율 보안'을 지향한다.
즉, “해당 서버(이하, 서버) 자체가 운영의 주체”로서
네임서버부터 웹, 메일(SMTP 분산/릴레이)까지 모든 계층을 직접 보호·검증한다.

 

※ 1. 개요
서버는 외부 DNS 프록시나 클라우드 게이트웨이를 사용하지 않고,
직접 서명된 DNSSEC 체계와 DANE/TLSA 기반 종단간 암호화를 구현한 자율 보안 인프라이다.
이 구조는 루트부터 웹/앱까지의 신뢰 경로(Trust Chain)가 끊김 없이 이어지는 형태로 설계되었다.

 

※ 2. DNS 보안 구조
- 직접 운영 네임서버: ns1~ns5.glitter.kr 모두 자체 BIND 인스턴스, 지리적 분산 리전.
- DNSSEC 적용: KSK/ZSK 분리, 자동 재서명(sign-glitter.sh)으로 주기적 검증.
- DANE/TLSA 연계: Postfix용 _25._tcp.mail.glitter.kr TLSA 레코드 자동 생성 및 서명 배포.
= 결과:  .kr TLD가 서명되어 있는 한,

  루트 > .kr > glitter.kr 까지 완전한 신뢰 체인이 유지되어,
  검증 가능한 리졸버 환경에서는 외부 캐시나 프록시로 인한 응답 변조 위험을 현저히 낮춘다.

 

※ 3. 네트워크 계층 , 클라이언트와 서버 간 직접 TLS 협상
- CDN/WAF 프록시 미사용 (Cloudflare, AWS, Akamai 등 일체 배제).
- Nginx에서 TLS 세션을 종료하고,

  내부는 127.0.0.1 전용으로 FastAPI에 연결되므로 외부 복호화 구간이 없다.
- 보안 헤더 완비: HSTS(Preload), CSP, COOP/CORP, Referrer-Policy 등.
- Let’s Encrypt 인증서 자동 갱신·배포 파이프라인.
= 결과: TLS 세션이 클라이언트와 서버 간 직접 협상되므로,
   MITM(중간자 공격) 가능성을 사실상 제거한다.

 

※ 4. 메일 계층 - DANE 기반 보안 SMTP
- Postfix + Dovecot 조합.
- SPF, DKIM, DMARC, MTA-STS, TLSRPT 완비.
- DANE(SMTP-TLSA) 활성화로 제3자 인증기관 의존 최소화.
- 메일 송신(SMTP) 구조 : 3계층 다중 중계 릴레이
  메인 MX(KR:1) > 허브(SG:1) > 릴레이 서버(DE:1, US:1)
= 결과: 전송 경로가 투명하며, 모든 메일이 DNSSEC 기반 암호화 신뢰 체인으로 보호된다.

 

※ 5. 애플리케이션 계층 , 프로세스 격리 및 내부 통신 보호
- 각 vHost는 독립 FastAPI/Uvicorn 인스턴스로 실행.
- systemd 보안 옵션(NoNewPrivileges, RestrictNamespaces 등)으로 권한 최소화.
- 내부 통신은 127.0.0.1 전용 바인딩, 외부 접근 완전 차단.
= 결과: 서비스 간 격리가 유지되고, 내부 트래픽이 안전하게 보호됨.

 

※ 6. Captcha 보안 모듈
- 서버 자체 FastAPI 기반 캡차 서비스(captcha.glitter.kr)를 운용한다.
- 생성/검증 API는 완전한 내부 루프에서 동작하며 
  외부 프록시나 클라우드 API 의존이 없다.
- DNSSEC/DANE 검증이 지원되는 환경에서는

  요청/응답 전 구간이 DNSSEC/DANE-TLS 체인 안에서 암호화되어, 
  MITM 및 위탁형 인증 위조 위험이 구조적으로 차단된다.
- 각 서비스(PHP, FastAPI 등)는 PHP 클라이언트(`glitter_captcha_client.php`)와 
  Guard(`glitter_captcha_guard.php`)를 통해 직접 검증하며, 실패 시 즉시 차단 처리한다.
- 토큰은 HMAC-SHA256 서명 구조로 위변조가 현실적으로 매우 어렵고 TTL(120초) 이후 자동 폐기된다.
- 클라이언트 IP 단위 Rate Limit 및 App-Key 기반 권한 검증이 적용되어 
  봇 남용과 API 오용을 실시간으로 차단한다.
- 이 모듈은 서버 보안 헤더 정책(CSP, HSTS, COOP/CORP 등)을 공유하여 
  인프라 전반과 톤앤매너가 일관된다.
= 결과: 이는 외부 captcha 서비스(예: reCAPTCHA) 없이 
   완전 내부 신뢰 구조로 운용되는 자율 보안 검증 체계 완성의 일환이다.

 

※ 7. 운영
- journald + nginx + systemd 로그 통합 관리.
- DNSSEC 서명 및 인증서 갱신 자동화 파이프라인 구축.
 ＊의뢰 도메인의 TLD가 DNSSEC 서명 지원 가능한 경우에 한함.

 

※ 요약 ※
서버는 “프록시 없는 완전 자율형 보안 인프라”로서,
상용 DNS·CDN 환경에 의존하지 않고, 독립적으로 높은 수준의 자율 신뢰 체계를 갖추고 있다.
🔹 No Proxy / No External WAF / Full Self-Verification
🔹 Full DNSSEC + DANE + MTA-STS Trust Chain
🔹 Self-Managed, Self-Verified Infrastructure

보안의 핵심은 “위임이 없는 직접 제어”이다.
서버는 그 원칙을 실현한다.

 

※ 붙임)

> 위 실현의 기저에는 서버단 보안 설정이 필수이어야 한다.

> 자가 물리 서버(on-premises server) 환경, 의뢰 환영합니다.  - 💫glitter gim

 

---

📘 관련 자료: 자율보안 인프라 구축 기술 백서 (v1.1)