AI 요약
AWS VPC 내부 통신을 TLS로 암호화해야 하는지에 대한 기술적 검증 기사입니다. VPC는 SDN(소프트웨어 정의 네트워크) 기반이므로 전통적인 수동적 도청은 불가능하지만, ALB(Application Load Balancer)를 경유하는 구간은 Nitro의 기본 암호화 대상에서 제외됩니다. 결론적으로 VPC 내 TLS 도입은 보안 향상보다는 규제 준수와 비용 문제로 귀결되며, 4가지 선택지(HTTP 유지, 자체 서명 HTTPS, AWS Private CA, VPC encryption controls)를 제시합니다.
핵심 포인트
- VPC 내 SDN 구조에서는 ARP 스푸핑이 불가능하고, 프로미스캐스트 모드로도 타인 트래픽을 볼 수 없음
- Nitro 시스템의 전송 중 암호화는 ALB, Transit Gateway 등 가상 네트워크 장비를 경유할 경우 적용되지 않음
- TLS 도입으로 실질적으로 방어 가능한 위협은 구성 변경 권한 탈취나 AWS 외부 통신으로 제한됨
- 선택지: (a) HTTP 유지(무료, ADR 필요), (b) 자체 서명 HTTPS(무료), (c) AWS Private CA(월 $400), (d) VPC encryption controls(월 $151.2~)
향후 전망
- VPC encryption controls(2026년 신규 옵션) 도입으로 네트워크 계층 암호화 선택지 확대
- 규제 준수 요구가 강화됨에 따라 기업들은 비용과 보안 사이의 균형을 맞추는 ADR(아키텍처 결정 기록) 작성이 중요해질 전망
