요약: AWS 네트워크의 심장, VPC의 모든 것을 파헤칩니다. 리전과 가용 영역부터 서브넷, 라우팅, 그리고 면접 단골 질문인 보안 그룹과 NACL의 차이점까지, 현업 전문가가 실무 관점에서 완벽하게 정리해 드립니다. 이 글 하나로 AWS 네트워크의 기초를 확실하게 다지세요.
안녕하세요! 👋 IT 업계의 베테랑 네트워크/보안 전문가, 여러분의 멘토입니다.
오늘은 클라우드 시대를 살아가는 모든 IT인, 특히 네트워크와 보안 엔지니어로 성장하고 싶은 후배님들과 학생분들을 위해 AWS 네트워크의 심장이라 할 수 있는 VPC(Virtual Private Cloud) 와 그 구성 요소에 대해 깊이 있게, 그리고 아주 쉽게! 설명해 드리고자 합니다.
이 글 하나만 제대로 정독하셔도 "아, AWS 네트워크가 이렇게 돌아가는구나!" 하고 무릎을 탁! 치시게 될 거예요. 그럼, AWS 네트워크의 지도를 함께 펼쳐볼까요? 🗺️
Chapter 1. 모든 것의 시작: AWS 글로벌 인프라 🌍
AWS 클라우드는 눈에 보이지 않는 마법이 아니라, 전 세계에 촘촘하게 깔린 거대한 물리적 데이터 센터들의 집합체입니다. 이 기본 구조를 이해하는 것이 모든 것의 첫걸음이죠.
1-1. 우리가 사용하는 AWS는 어디에 있을까? (리전 & 가용 영역)
리전 (Region) 🏙️
개념: AWS 서비스가 제공되는 가장 큰 지리적 단위입니다. "한국(서울) 리전", "미국(버지니아 북부) 리전"처럼 국가나 도시 단위로 나뉩니다. 각 리전은 다른 리전과 완벽하게 독립적으로 운영됩니다.
실생활 예시: 우리가 해외 직구를 할 때, 미국 아마존과 일본 아마존이 완전히 별개의 사이트인 것과 같아요. 어느 나라에서 주문하느냐에 따라 배송 속도(네트워크 지연)와 배송비(서비스 요금)가 달라지죠.
💡 초보자 실무 Tip: 서비스를 제공할 사용자와 가장 가까운 리전을 선택하는 것이 기본입니다. 그래야 응답 속도(Latency)가 빠릅니다. 또한, GDPR(유럽 개인정보보호법)이나 국내법처럼 데이터가 특정 지역에 반드시 저장되어야 하는 '데이터 주권(Data Sovereignty)' 규정을 지키기 위해 특정 리전을 선택해야만 하는 경우도 있습니다.
가용 영역 (Availability Zone, AZ) 🏢
개념: 하나의 리전은 2개 이상의 가용 영역으로 구성됩니다. 각 AZ는 물리적으로 분리된 하나 이상의 데이터 센터 집합이며, 지진이나 화재 같은 재난이 발생해도 서로 영향을 받지 않도록 설계되었습니다. 이 AZ들은 매우 빠른 속도의 전용 네트워크로 연결되어 있습니다.
실생활 예시: 서울 리전에 A, B, C라는 3개의 AZ가 있다면, 각각 강남, 마포, 판교에 위치한 독립적인 데이터 센터라고 생각할 수 있습니다. 한 곳에 불이 나도 다른 곳은 안전하죠.
💡 엔지니어링 핵심: 고가용성(High Availability) 확보가 핵심입니다. 예를 들어, 웹 서버를 A 가용 영역과 B 가용 영역에 각각 하나씩 띄워두고 로드 밸런서로 연결하면, A 가용 영역 전체에 장애가 발생해도 B 가용 영역의 웹 서버가 서비스를 계속 이어나갈 수 있습니다. 이것이 바로 AWS를 이용한 장애 복구 설계의 기본입니다!
1-2. 어떻게 더 빠르게 콘텐츠를 받을까? (엣지 로케이션)
엣지 로케이션 (Edge Location) 🏪
개념: 동영상이나 이미지 같은 대용량 콘텐츠를 사용자에게 더 빠르게 전송하기 위한 전 세계 주요 도시에 위치한 작은 거점(캐시 서버)입니다.
실생활 예시: 온라인 쇼핑몰의 본사 물류창고(리전)에서 직접 배송하는 것보다, 우리 동네 물류 허브(엣지 로케이션)를 거쳐 배송하는 것이 훨씬 빠른 것과 같은 원리입니다.
주요 서비스:
Amazon CloudFront (CDN): 여러분이 유튜브를 볼 때, 영상 데이터는 미국에 있는 서버가 아니라, 한국 어딘가에 있는 엣지 로케이션에서 오기 때문에 버퍼링 없이 볼 수 있는 겁니다.
AWS WAF, Shield (보안): 사용자와 가장 가까운 엣지 로케이션 단에서 디도스(DDoS) 공격 같은 외부 위협을 1차로 방어해 줍니다.
1-3. 우리 회사와 AWS를 전용선으로! (DX 로케이션)
DX 로케이션 (Direct Connect Location) 🛣️
개념: 고객의 자체 데이터 센터(온프레미스)와 AWS 리전을 일반 인터넷이 아닌, 빠르고 안정적인 전용선으로 연결하기 위한 물리적인 연결 지점입니다.
실생활 예시: 꽉 막히는 일반 국도(인터넷) 대신, 우리 회사만 쓰는 뻥 뚫린 전용 고속도로(Direct Connect)를 AWS 데이터센터까지 개통하는 것과 같습니다.
💡 실무 Tip: 금융, 공공기관처럼 보안이 매우 중요하거나, 대용량 데이터를 AWS로 지속적으로 이전해야 하는 하이브리드 클라우드 환경에서 주로 사용됩니다. 속도와 안정성, 보안을 모두 잡는 최고의 방법이죠.
Chapter 2. 나만의 프라이빗 공간 만들기: VPC 🏠
이제 AWS의 땅(인프라)이 어떻게 생겼는지 알았으니, 그 위에 우리 집(VPC)을 지어볼 시간입니다.
2-1. VPC, 그게 대체 뭔가요? (VPC 개념과 IP 주소)
VPC (Virtual Private Cloud)
개념: AWS 클라우드 내에 논리적으로 완전히 분리된 사용자만의 가상 네트워크 공간입니다.
실생활 예시: 거대한 '아마존 아파트 단지(AWS)' 안에, 다른 세대와는 완전히 독립된 '우리 집(VPC)'을 분양받는 것과 같습니다. 우리 집 내부는 마음대로 꾸밀 수 있죠.
IP 주소 할당 (CIDR): 집을 지으려면 주소가 필요하듯, VPC를 만들 때 가장 먼저 이 네트워크 공간에서 사용할 IP 주소 범위를 정해야 합니다. 이때 사용하는 표기법이 CIDR(사이더, Classless Inter-Domain Routing)입니다.
10.0.0.0/16: 약 65,536개의 IP 주소를 사용할 수 있는 가장 큰 VPC 대역입니다. (2^(32-16) = 65,536)
192.168.1.0/24: 256개의 IP 주소를 사용할 수 있는 일반적인 대역입니다. (2^(32-24) = 256)
192.168.1.0/28: 16개의 IP 주소만 사용하는 가장 작은 VPC 대역입니다. (2^(32-28) = 16)
2-2. 공간 나누기: 서브넷 (퍼블릭 vs 프라이빗)
서브넷 (Subnet)
개념: VPC라는 큰 공간을 '안방', '거실', '화장실'처럼 용도에 맞게 더 작은 네트워크 단위로 쪼갠 것입니다.
각 서브넷은 반드시 하나의 가용 영역(AZ) 안에만 만들어져야 합니다. 다른 AZ에 걸쳐서 만들 수는 없습니다.
실생활 예시: '우리 집(VPC)' 안에 '외부 손님용 거실(퍼블릭 서브넷)'과 '가족 전용 안방(프라이빗 서브넷)'을 나누는 것과 같아요.
퍼블릭 서브넷 (Public Subnet) 🌐
특징: 인터넷과 직접 통신할 수 있는 '창문'이 열려있는 공간입니다. 기술적으로는 인터넷 게이트웨이(IGW)로 향하는 경로가 라우팅 테이블에 설정된 서브넷을 말합니다.
용도: 외부에 공개되어야 하는 웹 서버, API 서버, 로드 밸런서 등을 배치합니다.
프라이빗 서브넷 (Private Subnet) 🔒
특징: 인터넷과 직접 통신할 수 없는 '창문'이 없는 폐쇄된 공간입니다.
용도: 보안이 중요한 데이터베이스(DB) 서버, 내부 로직을 처리하는 애플리케이션 서버(WAS) 등 외부 노출을 최소화해야 하는 자원을 배치합니다. 외부 인터넷 접근이 필요할 경우, NAT 게이트웨이라는 특별한 통로를 이용해야 합니다.
2-3. 인스턴스의 신분증: IP 주소의 종류와 특징
EC2 인스턴스(가상 서버)는 필요에 따라 여러 종류의 IP 주소를 가질 수 있습니다.
프라이빗 IP (Private IP): VPC 내부에서만 통신할 때 사용하는 내부 IP 주소입니다. 인스턴스를 중지(Stop)했다가 다시 시작(Start)해도 이 IP는 변하지 않습니다.
퍼블릭 IP (Public IP): 인터넷을 통해 인스턴스에 접근할 때 사용하는 외부 IP 주소입니다. 인스턴스를 중지했다가 다시 시작하면 이 IP는 변경될 수 있습니다!
탄력적 IP (Elastic IP, EIP): 고정된 퍼블릭 IP 주소입니다. 인스턴스를 중지/재시작해도 절대 변하지 않아, 외부에 서비스하는 서버의 대표 주소로 사용하기에 적합합니다.
💡 실무 꿀팁 🍯: EIP는 인스턴스에 연결해서 '사용 중'일 때는 무료지만, 할당만 받아놓고 사용하지 않으면 과금됩니다! 안 쓰는 EIP는 즉시 반납하는 습관을 들이세요!
⭐ 잠깐! 서브넷의 예약된 IP 주소
각 서브넷을 만들면, AWS가 관리 목적으로 5개의 IP를 미리 예약해둡니다. 그래서 우리가 실제로 사용할 수 있는 IP 개수는 (전체 IP 개수 - 5)가 됩니다. 예를 들어, 10.0.1.0/24 서브넷(256개 IP)을 만들었다면:
10.0.1.1: VPC 라우터 주소 (내부 게이트웨이)
10.0.1.2: AWS DNS 서버 주소
10.0.1.3: 미래 사용을 위해 예약
10.0.1.255: 브로드캐스트 주소 (VPC에서는 사용하지 않음)
2-4. 가상의 랜카드: 탄력적 네트워크 인터페이스 (ENI)
개념: EC2 인스턴스에 부착하는 가상의 네트워크 카드(랜카드)입니다. 모든 인스턴스는 기본적으로 하나(eth0)의 ENI를 가지고 생성됩니다.
활용 예시:
하나의 인스턴스에 여러 개의 IP 주소(프라이빗/EIP)를 할당하고 싶을 때
관리용 네트워크와 서비스용 네트워크 트래픽을 물리적으로 분리하고 싶을 때
네트워크 보안 솔루션(방화벽, IDS/IPS 등)을 인스턴스 형태로 구성하여 트래픽을 검사할 때 (인라인 구성)
Chapter 3. 트래픽을 지휘하고 통제하라: VPC 네트워크 & 보안 🛡️
집을 짓고 방을 나눴으니, 이제 누가 드나들 수 있는지 규칙을 정하고, 집안의 물건들이 제자리를 찾아가도록 길을 안내해야 합니다.
3-1. 자동으로 IP를 나눠주는 비서 (DHCP 옵션 세트 & AWS DNS)
DHCP 옵션 세트: 인스턴스가 부팅될 때 IP주소, DNS 서버 주소 같은 네트워크 설정을 자동으로 받아가도록 하는 설정 값들의 모음입니다.
AWS 제공 DNS (Amazon Provided DNS): VPC 내 인스턴스들이 도메인 이름을 IP 주소로 변환하기 위해 사용하는 기본 DNS 서버입니다. 이 DNS 서버의 주소는 여러분이 만든 VPC의 네트워크 대역에서 두 번째 주소(.2)를 사용합니다.
💡 실무 꿀팁 🍯: db.internal-service.local 처럼 VPC 내부에서만 사용하는 도메인(Private Hosted Zone)을 쓰려면, 반드시 이 AWS 제공 DNS를 사용해야 합니다. 특별한 이유 없이 외부 DNS 서버로 변경하면 내부 서비스 간 통신에 문제가 생길 수 있으니 주의하세요!
3-2. 우리 집 현관문 지킴이: 보안 그룹 (Security Group)
역할: 인스턴스(정확히는 ENI) 레벨에서 작동하는 가상 방화벽입니다. 인스턴스로 들어오고 나가는 트래픽을 제어합니다.
핵심 특징: Stateful (상태 기반)
이것이 가장 중요한 특징입니다! 안으로 들어오는(Inbound) 트래픽을 허용하면, 그에 대한 응답으로 나가는(Outbound) 트래픽은 별도의 규칙 없이 자동으로 허용됩니다.
실생활 예시: 아파트 현관문 도어락과 같아요. 내가 초대한 손님(Inbound 허용)이 들어왔다면, 그 손님이 나갈 때(Outbound)는 따로 검사하지 않고 문을 열어주는 것과 같습니다.
규칙: 오직 허용(Allow) 규칙만 설정할 수 있습니다. 규칙에 없는 모든 트래픽은 기본적으로 거부(Deny)됩니다.
3-3. 우리 동네 입구 경비원: 네트워크 ACL (NACL)
역할: 서브넷 레벨에서 작동하는 방화벽입니다. 서브넷으로 들어오고 나가는 모든 트래픽에 대한 1차 검문소 역할을 합니다.
핵심 특징: Stateless (비상태 기반)
보안 그룹과 달리, 이전에 어떤 통신이 있었는지 기억하지 못합니다. 따라서 안으로 들어오는(Inbound) 트래픽을 허용했더라도, 밖으로 나가는(Outbound) 응답 트래픽도 반드시 별도의 규칙으로 허용해줘야 합니다.
실생활 예시: 아파트 단지 정문 경비원과 같아요. 들어올 때도 신분증 검사(Inbound 규칙), 나갈 때도 신분증 검사(Outbound 규칙)를 각각 하는 셈이죠.
규칙: 허용(Allow) 규칙과 거부(Deny) 규칙을 모두 사용할 수 있습니다. 규칙은 번호가 낮은 순서대로 적용됩니다.
⭐ [중요] 보안 그룹 vs 네트워크 ACL: 완벽 비교 분석!
이 둘의 차이점은 면접에서도 자주 물어보는 단골 질문입니다! 확실히 정리해두세요.
| 구분 | 보안 그룹 (Security Group) | 네트워크 ACL (NACL) |
|---|---|---|
| 적용 단위 | 인스턴스 (ENI) | 서브넷 |
| 상태 기억 | Stateful (상태 기반) ✅ | Stateless (비상태 기반) ❌ |
| 규칙 종류 | 허용(Allow) 규칙만 가능 | 허용(Allow) 및 거부(Deny) 규칙 모두 가능 |
| 기본 규칙 | 모든 Inbound 거부, 모든 Outbound 허용 | 모든 Inbound/Outbound 허용 (Default NACL) |
| 규칙 평가 | 모든 규칙을 평가함 | 번호 순서대로 평가 후 일치하면 즉시 적용 |
| 주요 용도 | 개별 인스턴스에 대한 세밀한 접근 제어 | 서브넷 전체에 대한 포괄적인 보안 (블랙리스트 등) |
실무에서의 활용법
보통은 보안 그룹(SG)을 메인으로 사용하여 정교한 접근 제어를 하고, 네트워크 ACL(NACL)은 보조적인 수단으로 사용합니다. NACL은 최전방 방어선, SG는 개별 자원을 지키는 정밀 방어선으로 역할 분담을 하는 것이 일반적입니다.
3-4. 네트워크의 내비게이션: 라우팅 테이블
역할: VPC 내의 트래픽이 목적지를 찾아갈 수 있도록 길을 안내하는 "네트워크 내비게이션 지도"입니다. 각 서브넷은 하나의 라우팅 테이블과 연결되어, 그 지도의 안내에 따라 트래픽을 전달합니다.
라우팅 경로의 우선순위 (⭐ 중요!)
로컬 경로 (Local Route) 최우선: 목적지가 같은 VPC 내부에 있는 트래픽은 다른 어떤 규칙보다 무조건 우선하여 VPC 내부에서 처리됩니다. (이것은 전통적인 네트워크의 'Longest Prefix Match' 규칙보다 우선하는 AWS만의 특징입니다!)
가장 구체적인 경로 (Longest Prefix Match): 그 외의 트래픽은 목적지 IP와 가장 길게 일치하는 경로를 따릅니다. (예: 172.16.0.0/24 가 172.16.0.0/16 보다 우선)
주요 목적지 (Next Hop)
라우팅 테이블은 "이 목적지로 가려면, 이쪽 문으로 나가세요"라고 알려줍니다. 이 '문'에 해당하는 것이 Next Hop 입니다.
Internet Gateway (IGW): 인터넷 세상으로 나가는 문
NAT Gateway: 프라이빗 서브넷의 인스턴스들이 인터넷으로 나갈 때 사용하는 문
Virtual Private Gateway (VGW): 우리 회사 데이터 센터(온프레미스)로 가는 문
Peering Connection: 친구네 VPC로 놀러 가는 문
Transit Gateway (TGW): 여러 VPC와 온프레미스를 한번에 연결하는 중앙 환승 터미널
Gateway Endpoint: S3나 DynamoDB 같은 AWS 서비스로 직접 가는 비밀 통로
🚀 마치며: 꾸준한 실습이 최고의 스승!
지금까지 AWS 네트워크의 핵심 개념들을 하나하나 짚어봤습니다. 처음에는 용어도 많고 복잡해 보일 수 있지만, 오늘 배운 내용들을 바탕으로 실제 AWS 관리 콘솔에 접속해서 직접 VPC를 만들어보는 것 만큼 좋은 공부는 없습니다.
✅ VPC를 직접 만들고, 서브넷을 퍼블릭과 프라이빗으로 나눠보세요.
✅ 각 서브넷에 EC2 인스턴스를 하나씩 띄우고, 보안 그룹을 설정해서 서로 ping 통신이 되는지 확인해보세요.
✅ 라우팅 테이블을 바꿔보면서 인터넷 연결을 끊었다 붙였다 해보세요!
이런 실습 경험들이 쌓여 여러분을 더 유능한 엔지니어로 만들어 줄 겁니다. 이 글이 여러분의 AWS 학습 여정에 훌륭한 나침반이 되기를 바랍니다!
📖 Appendix 1: 핵심 용어 정리
Region (리전): AWS 서비스가 제공되는 독립적인 지리적 영역.
AZ (가용 영역): 리전 내에 존재하는, 물리적으로 분리된 데이터 센터 집합.
VPC (Virtual Private Cloud): AWS 클라우드 내의 논리적으로 격리된 사용자 전용 가상 네트워크.
Subnet (서브넷): VPC 내의 IP 주소 범위를 더 작게 나눈 단위.
CIDR (Classless Inter-Domain Routing): IP 주소 범위를 표현하는 표기법.
IGW (Internet Gateway): VPC와 인터넷 간의 통신을 가능하게 하는 게이트웨이.
NAT Gateway: 프라이빗 서브넷의 인스턴스가 인터넷으로 나가는 통신을 가능하게 하는 게이트웨이.
Security Group (보안 그룹): 인스턴스 레벨의 상태 기반(Stateful) 방화벽.
NACL (Network ACL): 서브넷 레벨의 비상태 기반(Stateless) 방화벽.
Routing Table (라우팅 테이블): 네트워크 트래픽의 경로를 지정하는 규칙의 집합.
EIP (Elastic IP): 고정된 공인 IP 주소.
🤔 Appendix 2: 현업에서 자주 묻는 질문 (FAQ)
Q1. 그냥 기본(Default) VPC를 쓰면 안 되나요?
A: 학습용은 괜찮지만, 실제 서비스는 보안, 확장성, 관리를 위해 서비스 용도에 맞게 설계한 커스텀 VPC 사용이 표준입니다. 기본 VPC는 보안에 취약할 수 있습니다.
Q2. 보안 그룹(SG)과 네트워크 ACL(NACL) 중 뭘 써야 할지 헷갈려요.
A: 우선순위는 보안 그룹입니다. 대부분의 제어는 SG로 해결 가능하며 관리가 편리합니다. NACL은 특정 IP 대역 차단 등 서브넷 전체에 대한 강력한 통제가 필요할 때 사용하는 보조 보안 계층입니다.
Q3. 탄력적 IP(EIP)를 인스턴스에 연결하지 않고 그냥 두면 왜 요금이 나오나요?
A: AWS는 부족한 IPv4 주소 자원의 낭비를 막기 위해, 사용하지 않고 방치되는 공인 IP에 요금을 부과합니다. 사용하지 않는 EIP는 즉시 반납하는 것이 비용 절약의 지름길입니다.
Q4. 대칭 경로(Symmetric Routing)가 왜 중요한가요?
A: 요청과 응답 트래픽이 서로 다른 길로 다니면(비대칭 경로), 중간의 방화벽 같은 상태 기반 보안 장비가 정상 통신을 차단할 수 있습니다. 안정적인 네트워크 구성을 위해 요청과 응답이 같은 길로 다니도록(대칭 경로) 라우팅을 설계하는 것이 매우 중요합니다.
더 상세한 내용은 Youtube채널(@NetworkingClass)을 참고해서 공부하실 수 있습니다.
아래 동영상을 참고하시면 내용을 이해하시는 데 더욱 도움이 될 것입니다.
댓글
댓글 쓰기