안녕하세요, 인포그랩입니다. 2026년 3월, Teleport은 제로 트러스트 보안 플랫폼의 기능과 안정성을 한층 끌어올린 v18.7.0~v18.7.2 시리즈 업데이트를 발표했습니다. 이번 릴리즈 시리즈는 AWS 조직 수준 EC2 자동 검색, Windows CA 분리를 통한 보안 아키텍처 강화, 대규모 데이터베이스 프록시 성능 최적화, Kubernetes Operator 확장 등 총 9개의 신규 기능과 다수의 버그 수정 및 성능 개선을 담고 있습니다. 특히 v18.7.2에서는 대량의 데이터베이스가 등록된 클러스터에서 DB 프록시의 성능과 리소스 사용량이 크게 개선되었으며, Kubernetes Operator에 Access Monitoring Rule과 Session Summarizer 리소스 지원이 추가되어 GitOps 기반 운영의 범위가 확장되었습니다. Windows Desktop Access 환경에서는 전용 Windows CA 도입으로 인증서 관리 체계가 더욱 정교해졌고, VNet 관련 안정성 수정과 프록시 업그레이드 시 데스크톱 연결 오류 해결 등 실질적인 운영 안정성 개선이 이루어졌습니다.

한 눈에 보는 3월 릴리즈 하이라이트

  • AWS 조직 수준 EC2 자동 검색: 개별 계정별 설정 없이 AWS 조직 전체 또는 일부 계정의 EC2 인스턴스를 한 번에 등록할 수 있습니다.
  • Windows CA 분리(Split Windows CA): Windows Desktop Access 전용 CA가 도입되어 User CA와 독립적으로 관리 및 교체가 가능해졌습니다.
  • 대규모 DB 프록시 성능 최적화: 대량의 데이터베이스가 등록된 클러스터에서 DB 프록시의 성능이 개선되고 리소스 사용량이 감소했습니다.
  • Kubernetes Operator 확장: TeleportAccessMonitoringRuleV1과 Session Summarizer 리소스가 Kubernetes Operator에 추가되었습니다.
  • Managed Updates UI: 업데이터 설정 확인/관리 및 업데이트 롤아웃 진행 상황 모니터링을 위한 웹 UI 기능이 추가되었습니다.
  • 인벤토리(Inventory) UI: 클러스터에 연결된 모든 인스턴스와 봇을 한눈에 확인할 수 있는 새로운 웹 UI 페이지가 추가되었습니다.
  • VNet 및 프록시 업그레이드 안정성 수정: Leaf 클러스터 웹 앱 접근, Windows VNet 서비스 시작 실패, 프록시 업그레이드 시 데스크톱 연결 오류 등이 수정되었습니다.
  • 보안 강화: Scoped Token에 대한 서버 사이드 시크릿 난독화와 UpsertScopedToken RPC가 추가되었습니다.
  • Terraform 네이티브 EC2 자동 검색 설정: Terraform 모듈을 활용한 EC2 자동 검색 설정을 제품 내 UX에서 직접 구성할 수 있습니다.

3월 핵심 릴리즈 심층 분석

이번 v18.7.0~v18.7.2 시리즈에서 특히 주목할 만한 핵심 기능들을 자세히 살펴보겠습니다.

1) AWS 조직 수준 EC2 자동 검색

기존 Teleport의 EC2 자동 검색은 계정별로 개별 설정을 해야 했습니다. v18.7.0에서는 AWS 조직(Organization) 전체 또는 일부 계정을 대상으로 EC2 인스턴스를 한 번에 등록하는 조직 수준 자동 검색 기능이 추가되었습니다(#62302).

이 기능을 통해 수십 개의 AWS 계정을 운영하는 대규모 엔터프라이즈 환경에서도 별도의 계정별 설정 없이 EC2 인스턴스를 자동으로 검색하고 등록할 수 있습니다. EC2 인스턴스가 AWS 조직 멤버십을 기반으로 Teleport에 조인(join)하는 것도 지원됩니다. v18.7.2에서는 EC2 인스턴스 검색 실패 시 ssm.run 이벤트에 유용한 안내 메시지가 추가되어(#64273) 문제 진단이 더욱 수월해졌습니다. 향후 릴리즈에서는 RDS, EKS 등 다른 AWS 리소스 및 타 클라우드 제공자에 대한 조직 수준 검색도 확대될 예정입니다.

2) Windows CA 분리 (Split Windows CA)

이번 릴리즈 시리즈에서 가장 주목해야 할 보안 개선 사항입니다(#63547). Teleport는 Windows Desktop Access를 위한 사용자 인증서 발급을 기존 User CA에서 처리했으나, v18.7.0에서 전용 Windows CA를 별도로 분리하였습니다.

CA 분리를 통해 얻을 수 있는 주요 이점은 다음과 같습니다.

  • 독립적 교체(Rotation): Windows CA와 User CA를 각각 독립적으로 교체할 수 있어 인증서 관리 유연성이 향상됩니다.
  • 보안 강화: 용도에 특화된 CA를 도입함으로써 Teleport의 전반적인 보안 수준이 높아집니다.
  • 기존 신뢰 관계 유지: Windows CA는 초기에 User CA의 복사본으로 생성되므로 기존 신뢰 관계가 그대로 유지됩니다.

Windows CA는 CA 관련 명령을 처리하는 모든 CLI 및 시스템에서 최상위 CA 엔티티로 반영됩니다. 업그레이드 시 커맨드라인 도구와 Windows Desktop 에이전트를 모두 업데이트하는 것이 권장됩니다.

3) 대규모 데이터베이스 프록시 성능 최적화

v18.7.2에서 가장 실질적인 운영 개선 사항 중 하나입니다(#64311). 대량의 데이터베이스가 등록된 클러스터에서 DB 프록시의 성능이 개선되고 리소스 사용량이 감소했습니다. 수백~수천 개의 데이터베이스를 관리하는 대규모 엔터프라이즈 환경에서 Teleport의 DB 접근 프록시가 보다 효율적으로 동작하며, 메모리와 CPU 사용량이 줄어들어 인프라 비용 절감 효과도 기대할 수 있습니다.

4) Kubernetes Operator 리소스 확장

v18.7.2에서 Kubernetes Operator에 두 가지 중요한 리소스 지원이 추가되었습니다.

  • TeleportAccessMonitoringRuleV1 (#64368): Access Monitoring Rule을 Kubernetes CRD로 관리할 수 있게 되었습니다. GitOps 파이프라인에서 접근 모니터링 규칙을 선언적으로 관리할 수 있어 보안 정책의 일관성과 감사 가능성이 향상됩니다.
  • Session Summarizer 리소스 (#63884): 세션 요약 기능의 설정도 Kubernetes Operator를 통해 관리할 수 있게 되었습니다.

이를 통해 Teleport의 GitOps 기반 운영 범위가 확장되어 Infrastructure as Code(IaC) 방식의 관리가 더욱 포괄적으로 가능해졌습니다.

5) Scoped Token 보안 강화 및 관리 개선

v18.7.1에서 Scoped Token에 대한 서버 사이드 시크릿 난독화가 구현되고 UpsertScopedToken RPC가 추가되었습니다(#63902). v18.7.2에서는 tctl 리소스 명령에 scoped token 지원이 추가되고(#64040), scoped token 업데이트를 위한 tctl 지원과 개선된 RPC 처리가 도입되었습니다(#64345).

이 일련의 변경을 통해 Scoped Token의 보안 수준이 강화되고 관리 편의성이 향상되었습니다. 시크릿 값이 서버 사이드에서 난독화되어 API 응답을 통한 시크릿 노출 위험이 감소합니다.

세부 기능 개선 사항

핵심 기능 외에도 플랫폼 전반에 걸쳐 다양한 개선이 이루어졌습니다. 각 영역별로 주요 변경사항을 살펴보겠습니다.

CLI 개선 (tsh / tctl / tbot)

  1. tsh --trace kubectl 추적 지원 개선 (#63762)
  • tsh --trace kubectl 명령을 통한 추적(tracing) 지원이 개선되어 Kubernetes 접근 세션의 디버깅 및 모니터링 기능이 강화되었습니다.
  1. tsh status --client 클라이언트 전용 모드 (#63786)
  • tsh status 명령에 --client 플래그가 추가되어 서버 사이드 작업을 모두 건너뛰는 클라이언트 전용 모드로 실행할 수 있습니다. 네트워크 연결이 제한된 환경에서 로컬 상태를 빠르게 확인할 때 유용합니다.
  1. tctl recordings download 명령 추가 (#63726)
  • 스토리지 백엔드에 직접 접근하지 않고도 세션 레코딩을 로컬 파일로 다운로드할 수 있는 tctl recordings download 명령이 추가되었습니다. 감사 목적으로 세션 기록을 오프라인에서 검토해야 하는 경우 매우 편리합니다.
  1. tbot start no-op 헬퍼 추가 (MWI) (#63666)
  • Machine ID(MWI) 시나리오에서 아무 서비스도 시작하지 않는 tbot start no-op 헬퍼가 추가되어 봇 설정 테스트 및 초기화 워크플로우 구성이 용이해졌습니다.
  1. teleport backend clone 성능 및 UX 개선 (#63635)
  • 백엔드 클론 작업의 성능과 사용자 경험이 전반적으로 향상되었습니다.
  1. 원격 파일시스템(NFS, SMB) 성능 개선 (#63937)
  • 프로필 디렉토리가 NFS나 SMB 같은 원격 파일시스템에 위치한 경우 tshtctl의 성능이 개선되었습니다.

Terraform 제공자 및 IaC

  1. Summarizer 리소스 지원 추가 (#63534)
  • Teleport Terraform 제공자에 summarizer 리소스 지원이 추가되어 Infrastructure as Code(IaC) 방식으로 관리할 수 있는 리소스 범위가 확장되었습니다.
  1. Terraform 네이티브 EC2 자동 검색 설정 (#63004)
  • 단일 AWS 계정에서 Terraform 모듈을 활용한 EC2 자동 검색 구성이 제품 내 UX에서 직접 가능해졌습니다.

웹 UI 개선

  1. 인벤토리(Inventory) UI 추가
  • 클러스터에 연결된 모든 인스턴스와 봇의 전체 목록을 보여주는 새로운 인벤토리 페이지가 웹 UI에 추가되었습니다.
  1. Managed Updates UI 추가 (#63310)
  • 업데이터 설정 확인/관리 및 업데이트 롤아웃 진행 상황 실시간 모니터링이 가능한 웹 UI가 추가되었습니다.
  1. Entra ID 통합 상태 페이지
  • 설정된 Entra ID 통합의 현재 상태를 Teleport 웹 UI에서 바로 확인할 수 있는 전용 상태 페이지가 추가되었습니다.
  1. 메시지 오브 더 데이(MOTD) 레이아웃 개선 (#64213)
  • 웹 UI의 메시지 오브 더 데이 표시 레이아웃이 개선되었습니다.

Identity Security 및 세션 관리

  1. 세션 타임라인 뷰 (Identity Security)
  • 세션 플레이어에서 명령어(command) 단위의 세션 분석 기능을 포함한 향상된 타임라인 뷰가 제공됩니다. 보안 감사 및 이상 행동 탐지에 활용도가 높습니다.
  1. Windows Desktop 정적 레이블 지원 (#62452)
  • LDAP를 통해 자동 검색되는 Windows 데스크톱에 정적 레이블을 적용할 수 있게 되었습니다. 환경, 팀, 용도 등 원하는 기준으로 데스크톱을 분류하고 접근 제어 정책을 세밀하게 적용할 수 있습니다.
  1. Access Request 권한 상승 UX 개선 (AWS) (#63547)
  • AWS CLI 및 콘솔에 대한 상승된 접근 권한을 요청할 때 사용 가능한 특정 IAM 역할을 직접 확인하고 선택할 수 있게 되었습니다.

보안 수정사항

보안은 Teleport의 핵심입니다. 이번 v18.7.0~v18.7.2 시리즈에서는 인증서 관리 체계 개선과 토큰 보안 강화를 포함한 중요한 보안 변경 사항이 포함되었습니다.

Windows CA 분리를 통한 보안 강화

Split Windows CA 기능은 단순한 기능 추가를 넘어 Teleport의 보안 아키텍처를 개선하는 중요한 변경 사항입니다(#63547).

  • 변경 전: Windows Desktop Access 사용자 인증서를 User CA에서 발급
  • 변경 후: Windows Desktop Access 전용 Windows CA에서 발급

이 분리를 통해 Windows CA와 User CA의 교체 주기를 독립적으로 관리할 수 있으며, 각 CA의 용도가 명확히 구분되어 공격 표면이 줄어들고 보안 감사 투명성이 향상됩니다.

Scoped Token 시크릿 난독화

v18.7.1에서 GetScopedTokens RPC에 대한 서버 사이드 시크릿 난독화가 구현되었습니다(#63902). API 응답을 통한 시크릿 노출 위험을 차단하여 토큰 기반 인증의 보안 수준이 한 단계 향상되었습니다.

엔터프라이즈 보안 수정

  • Entra ID Access List 멤버십 보호 (v18.7.2): Entra ID에서 동기화된 Access List의 멤버십 수정을 방지하여 외부 IdP를 통해 관리되는 접근 권한의 무결성을 보장합니다.
  • Auth 서비스 패닉 방지 (v18.7.2): 존재하지 않는 플러그인에 접근할 때 Auth 서비스가 패닉 상태에 빠지는 잠재적 위험이 수정되었습니다.

보안 영향 범위:

  • Windows Desktop Access 인증서 발급 체계 변경
  • CA 교체(Rotation) 시 두 CA를 독립적으로 처리 가능
  • Scoped Token API 응답에서 시크릿 난독화 적용
  • 기존 Windows 데스크톱과의 신뢰 관계는 초기 마이그레이션 시 자동으로 유지됨

CA 교체를 수행하기 전에는 반드시 공식 Certificate Authority Rotation 가이드를 참조하시기 바랍니다.

주요 버그 수정 내역

안정성과 신뢰성을 높이기 위한 다양한 버그 수정이 v18.7.0~v18.7.2 시리즈 전반에 걸쳐 이루어졌습니다.

v18.7.0 버그 수정

  1. tsh kubectl 플래그 순서 오류 수정 (#63807)
  • kubectl 플래그가 위치 인수(positional argument) 앞에 오는 경우(예: tsh kubectl -n default get pod) tsh kubectl이 실패하던 문제를 수정했습니다.
  1. 동일 타임스탬프 감사 로그 순서 오류 수정 (#63613)
  • 동일한 타임스탬프를 가진 감사 로그가 웹 UI에서 잘못된 순서로 표시되던 문제를 수정했습니다.
  1. LDAP 검색 Windows 데스크톱 오류 삭제 문제 수정 (#62471)
  • LDAP를 통해 검색된 Windows 데스크톱이 오류로 인해 잘못 삭제될 수 있는 버그를 수정했습니다.
  1. Active Directory 사용자 조회 오류 캐싱 문제 수정 (#62471)
  • Active Directory 사용자 조회가 실패했을 때 오류가 캐싱되어 재시도가 이루어지지 않던 문제를 수정했습니다.
  1. 대용량 검색 인터벌 설정 시 Windows 데스크톱 만료 문제 수정 (#62471)
  • 검색 인터벌(discovery interval)이 크게 설정된 경우 자동 검색된 Windows 데스크톱이 만료되는 문제를 수정했습니다.

v18.7.1 버그 수정

  1. VNet 활성화 시 Leaf 클러스터 웹 앱 접근 오류 수정 (#63993)
  • VNet이 활성화된 환경에서 Leaf 클러스터의 웹 애플리케이션에 접근할 수 없는 문제를 수정했습니다.
  1. 데스크톱 세션 레코딩 화이트 스크린 오류 수정 (#63982)
  • 데스크톱 세션 레코딩 재생 시 플레이어 대신 화이트 스크린이 표시되고, 메타데이터 로딩 실패 시 요약(summary)이 보이지 않던 문제를 수정했습니다.
  1. 데이터베이스 세션 페이지 새로고침 리디렉션 오류 수정 (#63938)
  • 데이터베이스 세션 페이지를 새로고침하면 빈 페이지로 리디렉션되던 문제를 수정했습니다.

v18.7.2 버그 수정

  1. 프록시 업그레이드 시 데스크톱 연결 오류 수정 (#64258)
  • 프록시 업그레이드 과정에서 데스크톱 연결이 끊어지는 오류를 수정했습니다.
  1. UI 화이트 스크린 에러 표시 문제 수정 (#64246)
  • 웹 UI에서 오류 발생 시 화이트 스크린이 표시되는 문제를 수정했습니다.
  1. Windows VNet 서비스 업데이트 후 시작 실패 수정 (#64206)
  • Windows에서 VNet 서비스가 업데이트 이후 시작에 실패하는 문제를 수정했습니다.
  1. 만료된 Access Request에 대한 무한 감사 이벤트 수정 (#64180)
  • 만료된 Access Request에 대해 감사 이벤트가 무한히 생성되던 문제를 수정했습니다.
  1. 서버 검색 등록 실패 보고 수정 (#64007)
  • 서버 검색(discovery) 등록 실패 시 오류가 올바르게 보고되지 않던 문제를 수정했습니다.
  1. Discovery Service 장애 수정 (#63970)
  • Discovery Config와 AWS OIDC 등록 관련 Discovery Service가 정상 동작하지 않던 문제를 수정했습니다.
  1. Okta Assignment 리소스 삭제 시 오류 로그 및 메모리 누수 수정 (엔터프라이즈)
  • okta_assignment 리소스를 삭제할 때 발생하던 오류 로그와 메모리 누수 문제를 수정했습니다.

마이그레이션 및 운영 체크리스트

이번 업데이트를 적용할 때 반드시 확인해야 할 사항들을 정리했습니다. 운영 환경에 적용하기 전에 다음 체크리스트를 검토하시기 바랍니다.

  • [필수] Windows CA 마이그레이션 확인: Split Windows CA 변경으로 인해 커맨드라인 도구(tsh, tctl)와 Windows Desktop 에이전트를 모두 최신 버전으로 업데이트해야 합니다. Windows CA는 초기에 User CA의 복사본으로 생성되므로 기존 신뢰 관계는 자동으로 유지됩니다. 독립적인 키 재료(key material)가 필요한 경우 CA 교체(Rotation)를 수행하세요.
  • [필수] CA 교체 전 가이드 참조: CA 교체를 계획하는 경우 반드시 Certificate Authority Rotation 가이드를 먼저 확인하세요.
  • Windows Desktop 에이전트 업데이트: Split Windows CA 변경 사항이 올바르게 적용되도록 Windows Desktop 에이전트를 v18.7.2로 업데이트하세요.
  • VNet 환경 확인: v18.7.1의 VNet Leaf 클러스터 수정과 v18.7.2의 Windows VNet 서비스 수정이 포함되어 있으므로, VNet을 사용하는 환경에서는 v18.7.2로 업데이트하는 것이 권장됩니다.
  • AWS 조직 검색 설정 검토: AWS 조직 수준 EC2 자동 검색을 활용하려면 관련 IAM 권한이 AWS 조직 전체에 올바르게 구성되어 있는지 확인하세요.
  • 대규모 DB 클러스터 성능 확인: 대량의 데이터베이스가 등록된 클러스터에서는 v18.7.2의 DB 프록시 성능 개선 효과를 확인하세요.
  • 노드 업그레이드 순서 준수: Auth Server -> Proxy -> Node 순서로 업그레이드를 진행하세요.
  • 업그레이드 전 백업 수행: 업그레이드 전 데이터베이스 및 설정 파일 백업을 반드시 수행하세요.
  • Kubernetes Operator 업데이트: TeleportAccessMonitoringRuleV1 및 Session Summarizer 리소스를 활용하려면 Kubernetes Operator를 최신 버전으로 업데이트하세요.
  • Terraform 제공자 버전 업데이트: Summarizer 리소스 등 신규 기능을 활용하려면 Teleport Terraform 제공자를 최신 버전으로 업데이트하세요.

참조 링크 및 버전 정보

이번 업데이트에 대한 상세한 정보는 아래 공식 릴리즈 노트에서 확인하실 수 있습니다.

릴리즈 버전별 상세 정보

본 콘텐츠는 Teleport Release Note의 영문 원본을 한국어로 번역하고 재구성한 것으로 인포그랩은 Teleport의 한국 공식 파트너사입니다.

Teleport 구축부터 성공적인 제로 트러스트 보안까지 Teleport 공식 파트너사 인포그랩과 함께하세요!