공용 인터넷은 위험하다, 우리만의 통로를 뚫자
클라우드 아키텍처를 설계하다 보면 서로 다른 VPC(Virtual Private Cloud) 간에 데이터를 주고받아야 할 일이 생깁니다. 예를 들어, A 회사의 웹 서버가 B 회사의 결제 시스템을 호출해야 하는 경우입니다. 이때 가장 쉬운 방법은 인터넷 게이트웨이를 통해 공용 인터넷망을 타는 것입니다.
하지만 이 방식은 보안 취약점(데이터 도청)과 네트워크 지연(Latency), 그리고 예측 불가능한 인터넷 품질이라는 위험을 안고 있습니다. 그래서 기업들은 AWS 내부 네트워크만 타는 '프라이빗 통신'을 선호합니다. 이때 등장하는 두 가지 대표 기술이 바로 VPC 피어링(Peering)과 AWS PrivateLink입니다.
비슷해 보이지만 용도와 작동 방식이 완전히 다른 이 두 기술, 언제 무엇을 써야 할까요?
VPC 피어링(Peering): 두 네트워크를 하나처럼
VPC 피어링은 가장 직관적이고 전통적인 방식입니다. 두 개의 VPC 사이에 다리를 놓아 마치 하나의 네트워크인 것처럼 통신하게 만듭니다.
작동 원리: 네트워크의 확장
물리적으로 떨어진 두 개의 공유기를 랜선으로 직접 연결했다고 상상해 보세요. 피어링이 맺어지면 A VPC의 모든 인스턴스는 B VPC의 모든 인스턴스와 IP 주소로 직접 통신할 수 있습니다. (물론 보안 그룹이나 라우팅 테이블로 제어는 가능합니다.)
장점
- 완전한 연결성: 모든 포트와 프로토콜에 대해 양방향 통신이 가능합니다.
- 비용 효율성: 연결 자체에 대한 시간당 요금이 없으며, 데이터 전송 요금만 발생합니다. (같은 가용 영역 내라면 더 저렴합니다.)
- 성능: 별도의 하드웨어를 거치지 않고 라우팅만 되므로 지연 시간이 거의 없습니다.
결정적 단점: IP 주소 충돌 (CIDR Overlap)
VPC 피어링을 하려면 두 VPC의 IP 대역(CIDR)이 절대 겹쳐서는 안 됩니다. 만약 A 회사도 10.0.0.0/16을 쓰고, B 회사도 10.0.0.0/16을 쓴다면? 피어링은 불가능합니다. 이미 구축된 네트워크의 IP를 싹 다 바꾸는 대공사를 하거나, 피어링을 포기해야 합니다. 또한, 수십 개의 VPC를 서로 연결하려면(Full Mesh) 관리가 기하급수적으로 복잡해집니다.
프라이빗 링크(PrivateLink): 필요한 서비스만 콕 집어서
PrivateLink는 네트워크를 합치는 것이 아니라, '서비스'를 빌려 쓰는 개념입니다. 기술적으로는 인터페이스 엔드포인트(Interface Endpoint)를 사용합니다.
작동 원리: 단방향 서비스 제공
B VPC(서비스 제공자)가 특정 애플리케이션(예: 결제 API)을 로드 밸런서(NLB)에 연결하여 노출하면, A VPC(서비스 사용자)는 자신의 VPC 내부에 생긴 가상의 네트워크 인터페이스(ENI)를 통해 접근합니다. A는 B의 전체 네트워크를 볼 수 없고, 오직 허용된 그 서비스 하나만 볼 수 있습니다.
장점
- IP 중복 해결: 두 VPC의 IP 대역이 똑같아도 전혀 상관없습니다. PrivateLink는 내부 IP를 통해 NAT(주소 변환)처럼 작동하기 때문입니다.
- 강력한 보안: 네트워크 전체를 개방하는 피어링과 달리, 특정 포트의 특정 서비스만 노출하므로 공격 표면(Attack Surface)이 최소화됩니다.
- 단방향성: 사용자는 제공자에게 접근할 수 있지만, 제공자는 사용자 내부로 들어올 수 없습니다. SaaS 기업들이 고객에게 서비스를 제공할 때 가장 선호하는 방식입니다.
결정적 단점: 비용과 제한
- 비용: VPC 피어링과 달리, PrivateLink는 엔드포인트 사용 시간당 요금 + 데이터 처리 요금이 이중으로 발생합니다. 트래픽이 많다면 꽤 비싼 솔루션이 될 수 있습니다.
- 단방향 통신: 기본적으로 단방향(Consumer → Provider)이므로, 양방향으로 자유롭게 통신해야 하는 구조에는 적합하지 않습니다.
비교 요약: 무엇이 다를까?
|
구분 |
VPC 피어링 (Peering) |
프라이빗 링크 (PrivateLink) |
|
연결 개념 |
네트워크 통합 (Bridge) |
서비스 공유 (Plug-in) |
|
IP 중복 |
허용 불가 (치명적 단점) |
허용 (가장 큰 장점) |
|
통신 방향 |
양방향 |
단방향 (Consumer → Provider) |
|
보안성 |
네트워크 레벨 제어 필요 |
서비스 레벨 격리 (더 안전함) |
|
비용 |
데이터 전송료만 발생 |
시간당 요금 + 데이터 처리료 |
|
주 용도 |
사내 시스템 간, DB 연동 |
SaaS 서비스 제공, 타사 연동 |
언제 무엇을 선택해야 할까?
아키텍처를 결정할 때 다음 기준을 따르세요.
VPC 피어링을 선택하세요
- 같은 회사 내부: IP 대역 관리가 가능하고, 서로 신뢰할 수 있는 팀 간의 통신일 때
- 대용량 데이터 전송: DB 복제나 로그 전송처럼 데이터 양이 많아 처리 비용이 걱정될 때
- 레거시 시스템: IP 기반의 복잡한 양방향 통신이 필요한 경우
PrivateLink를 선택하세요
- SaaS 서비스 제공/사용: 우리 회사 솔루션을 다른 회사 VPC에 안전하게 제공해야 할 때
- IP 대역 충돌: 인수합병 등으로 인해 IP가 겹치는 VPC끼리 통신해야 할 때
- 보안 규정 준수: 금융 데이터 등 특정 서비스 외에는 일절 접근을 차단해야 하는 경우
보안과 편의성의 균형 잡기
"무조건 최신 기술인 PrivateLink가 좋다"는 오해입니다. 비용 효율성과 자유도가 중요하다면 VPC 피어링이 정답이고, 보안 격리와 IP 충돌 해결이 최우선이라면 PrivateLink가 정답입니다.