Search
🔰

Security Group | 아웃바운드 규칙, 왜 0.0.0.0/0을 피해야 할까?

Date
2025/12/29
Category
Infra
Tag
AWS
Network
Security
목차

 개념

아웃바운드(Outbound) 규칙은 내 서버(인스턴스)에서 외부로 나가는 트래픽을 제어하는 정책이다. 보통 클라우드 입문서나 튜토리얼을 보면 인바운드(Inbound)는 80, 443, 22 포트 등으로 엄격하게 제한하지만, 아웃바운드는 편의상 **모든 트래픽 허용(All traffic, 0.0.0.0/0)**으로 설정하는 경우가 대부분이다.
하지만 운영 환경, 특히 보안이 중요한 엔터프라이즈 환경에서 0.0.0.0/0 설정은 잠재적인 보안 홀이 될 수 있다. 그렇다면 아웃바운드 트래픽을 제한해야 하는 이유는 무엇이며, 구체적으로 어떤 상황에서 설정해야 할까?

 Inbound vs Outbound : 비대칭의 위험

보안 그룹(Security Group)은 기본적으로 Stateful하다. 즉, 인바운드 규칙에서 허용된 트래픽에 대한 응답은 아웃바운드 규칙과 상관없이 자동으로 허용된다. 따라서 아웃바운드 규칙을 0.0.0.0/0으로 열어둔다는 것은, **"내가 요청해서 나가는 트래픽"**에 대해 아무런 제약을 두지 않겠다는 의미가 된다.

Inbound 제한의 한계

외부 공격자가 내부로 들어오는 것을 막는 것이 주 목적이다.
하지만 이미 내부 서버가 침해당했을 경우(Compromised), 공격자가 내부에서 외부로 데이터를 유출하는 것을 막을 수 없다.

Outbound 개방의 위험성

C2 서버 통신: 해커가 심어둔 악성코드가 외부의 C2(Command & Control) 서버로 접속하여 추가 명령을 받거나 백도어를 열 수 있다.
데이터 유출: DB나 중요 파일이 탈취되었을 때, 공격자가 자신의 외부 서버로 데이터를 전송하는 경로가 된다.

 아웃바운드 제한이 필수적인 경우 (Use Cases)

그렇다면 실무에서는 언제 아웃바운드를 제한할까? 단순히 보안을 강화하는 것을 넘어, 아키텍처 관점에서 통제가 필요한 특수한 경우들이 있다.

1. Compliance & Regulation (규정 준수)

금융(PCI-DSS), 의료(HIPAA), 공공(ISMS-P) 등 민감한 데이터를 다루는 산업군은 규제에 따라 엄격한 Egress Filtering을 요구한다. 내부 시스템이 허가되지 않은 외부 네트워크와 통신하는 것 자체가 컴플라이언스 위반이 될 수 있다.

2. Private Subnet의 완전한 격리

외부 인터넷 통신이 전혀 필요 없는 DB 서버나 백엔드 로직 서버의 경우다.
업데이트 서버: OS 패치나 라이브러리 설치를 위해 외부 리포지토리(Ubuntu Archive, PyPI 등) 접근이 필요하다면, 해당 IP 대역이나 도메인(AWS Network Firewall 등 활용)만 허용한다.
S3/DynamoDB 접근: 인터넷 게이트웨이를 타지 않고, VPC Endpoint(Gateway/Interface)를 통해서만 AWS 서비스에 접근하도록 강제할 때 아웃바운드를 내부 대역으로 제한한다.

3. 리버스 쉘(Reverse Shell) 방지

공격자가 웹 취약점 등을 통해 서버 장악에 성공했을 때, 가장 먼저 시도하는 것이 리버스 쉘 연결이다. 공격자의 서버(외부)로 쉘 연결을 시도하는데, 아웃바운드가 막혀 있다면 이 연결 시도 자체가 차단되어 2차 피해를 막을 수 있다.

4. 서드파티 API 통신 제어

애플리케이션이 결제 모듈, SMS 발송 등 특정 서드파티 API와만 통신해야 한다면, 0.0.0.0/0 대신 해당 벤더사의 IP 대역만 화이트리스트로 등록한다. 이는 애플리케이션의 오작동이나 개발자의 실수로 엉뚱한 외부 서버에 요청을 보내는 것을 방지하는 안전장치 역할도 한다.

 왜 그럼에도 0.0.0.0/0을 쓸까? (Trade-off)

이처럼 아웃바운드 제한은 보안상 매우 유익하지만, 실무에서 적용하기 까다로운 이유가 있다.
관리 복잡성: 외부 서비스(예: Github, Slack, Google API)의 IP 주소는 수시로 변경된다. 이를 Security Group IP 규칙으로 일일이 관리하는 것은 운영 비용을 기하급수적으로 높인다.
장애 포인트: "왜 갑자기 빌드가 안 되죠?"라고 물었을 때, 아웃바운드 규칙이 업데이트된 외부 IP를 막고 있는 경우가 빈번하다.

 결론: 심층 방어(Defense in Depth)의 시작

결론적으로, 아웃바운드 설정은 **'신뢰할 수 있는 대상에게만 문을 열어주는 것'**이다. 모든 문을 열어두는 0.0.0.0/0은 편리하지만, 집 안에 들어온 도둑이 훔친 물건을 들고 유유히 뒷문으로 나가는 것을 방치하는 것과 같다.
물론 IP 기반의 Security Group만으로는 관리가 어렵다. 때문에 성숙한 조직에서는 AWS Network Firewall이나 NAT Gateway, Squid Proxy 등을 활용해 도메인 기반의 필터링을 수행하기도 한다. 하지만 가장 기초적인 수준에서 "우리 서버가 불필요하게 인터넷 전체와 통신할 필요가 있는가?"를 고민하고, 최소한의 잠금장치가 안전한 인프라 구축의 첫걸음이 될 것이다.

 참고 (References)

Security group rules - Amazon Virtual Private Cloud
Use Amazon VPC to launch AWS resources into a virtual network that is a logically isolated section of the AWS cloud.
https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html
Amazon EC2 security groups for your EC2 instances - Amazon Elastic Compute Cloud
Use Amazon EC2 to configure, launch, and manage virtual servers in the AWS cloud.
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html
Restricting a VPC’s outbound traffic - AWS Prescriptive Guidance
Best practices and tools for securing and monitoring outbound network traffic when using Amazon Virtual Private Cloud (Amazon VPC).
https://docs.aws.amazon.com/prescriptive-guidance/latest/secure-outbound-network-traffic/restricting-outbound-traffic.html
이전 게시물
다음 게시물