Internet Gateway(IGW)와 NAT Gateway 에 대한 이해

요즘 공유기 안써본 사람은 없을 겁니다. 내가 설치하지 않았어도 집에 인터넷이라고 불리우는 회선 하나라도 들어온다면 통신사에서 제공했든, 내가 직접 구입했든...공유기(외국에서는 라우터라고 부릅니다)를 어떻게든 써봤을 겁니다.

이런 환경에서 인터넷을 하다보면, IP 의 개념을  아는 사람들도 하나의 착각 아닌 착각을 하게 됩니다.

내 IP 는 xxx.xxx.xxx.xxx 이야. 내 공유기나 그 안의 장비(PC, 휴대폰)들도 같은 IP 를 쓰고, 외부에서도 이 IP 로 나를 인식할꺼야

틀린 말은 아닙니다.

 

그런데, 이게 AWS 등의 대형 CSP 등을 쓰게 되면 이야기가 달라집니다.

VPC(Virtual Private Cloud)라는 개념이 있습니다. 일반적인 공유기 기준으로 하면, 공유기 안의 네트워크 환경이라고 보면 됩니다.

그리고 IGW(Internet Gateway)라는 개념이 있습니다. 쉽게 말해 공유기 외부에서 공유기 내부로 통신이 들어갈 수 있도록 하는 통로입니다. 이를 Inbound라고 부르기도 합니다.

마지막으로 NAT Gateway(혹은 NAT Instance)라는 개념이 있습니다. NAT를 CSP에서 관리하는 서비스일 경우 NAT Gateway, 하나의 가상장비를 내가 생성해서 처리하면 NAT Instance로 용어가 나뉘어 있을 수 있습니다. 쉽게 말해 공유기 내부에서 외부로 통신이 나갈 수 있도록 하는 통로입니다. 이를 Outbound라고 부르기도 합니다.

 

여기서 알 수 있듯이 우리가 집에서 쓰는 공유기는 IGW 와 NAT Gateway가 동일한 IP 를 가지고 있고, 동일한 통로를 이용한다고 생각해도 무방합니다.

하지만, 대형 시스템에서는 이 두 가지가 별도로 존재합니다. 그래서 외부에서 우리 장비에 접속할 때 보이는 IP 와 우리가 외부로 요청할 때의 IP 가 다릅니다! IP도 자원이기 때문에 AWS 같은 곳에서 각각 IP 를 부여하면서 이를 고정하기 위해서는 당연히 비용이 발생합니다. 그래서 내가 IGW를 통해서 접속할 때 nslookup 등으로 IP 를 조회하면 Inbound에 대한 부분을 확인하기 때문에 IGW를 위한 IP 만 검색됩니다. 이 IP만 믿고 우리 서버에 접속하는 것 역시 같은 IP로 차단하면 당연히 안됩니다.

 

결론적으로,

대형 시스템에서는 IP 가 들어올 때 다르고 나갈 때 다르다

입니다.

물론, 이렇게 나누는 이유는 일반적으로 VPC 내부는 Public(DMZ)와 Private 영역을 Subnet으로 나누고 쓰는 경우가 있고, IGW는 Public에, NAT Gateway는 Private에 연결하여 사용하기 때문입니다.