클라우드 보안을 처음 배우는 사람은 흔히 IAM이 전부라고 생각한다. 권한만 잘 묶으면 안전하다는 믿음이다. 하지만 실제 침해 사고 보고서를 읽어보면 패턴이 다르다. 공격자는 거의 항상 "네트워크 도달 가능성(reachability)"을 먼저 확보한다. 노출된 RDP 포트, 인터넷에 열린 데이터베이스, 잘못 라우팅된 서브넷. IAM이 아무리 견고해도 공격 가능한 표면(attack surface)이 인터넷에 닿아 있으면 자격증명 탈취·취약점 익스플로잇의 첫 발판이 된다.
그래서 SCS-C03 시험은 도메인 3(Infrastructure Security, 약 20~22%)에서 네트워크를 "정책의 끝단"이 아니라 가장 바깥의 방어선으로 다룬다. 오늘은 VPC의 보안 설계를 본다. 서브넷을 어떻게 격리하는지, 라우팅 테이블이 왜 보이지 않는 보안 통제인지, 그리고 "이 리소스에 인터넷이 닿는가"라는 질문에 정확히 답하는 사고법을 정리한다.
VPC(Virtual Private Cloud)는 AWS 계정 안에서 논리적으로 격리된 가상 네트워크다. 핵심은 격리다. 다른 고객의 VPC와도, 같은 계정의 다른 VPC와도 기본적으로 트래픽이 흐르지 않는다. 명시적으로 Peering, Transit Gateway, VPC Endpoint를 연결하기 전까지는 완전한 사일로다.