[Ncloud] NCP NACL에서 신규 기능인 로드밸런서 ACL로 전환 작업 가이드

안녕하세요.

 

최근 많은 기업 환경에서 보안 사고가 많이 발생하여 보안 이슈가 대두되고 있는 요즘입니다.

이번 시간에는 NACL에서 신규 기능인 로드밸런서 ACL로 전환 작업 가이드를 작성하도록 하겠습니다.

 

1. 개요

네이버 클라우드에서는 그동안 Load Balancer에 보안그룹(Security Group) 개념이 없어, 접근 통제를 위해 NACL을 이용한 구조를 짜야했습니다. 그러나 최근 Load Balancer 자체에 ACL(Access Control List) 기능이 새롭게 추가되면서, 보안 및 트래픽 통제 전략에 큰 변화가 생기게 되었습니다.

기존에는 NACL를 사용해야만 접근이 통제되었기 때문에 NCP 네트워크 구조를 잘 모르는 사용자분들은 초기에 예비 대역없이 크게 할당한다거나 로드밸런서에 접근 통제할 수 없는 것을 모르고 있었다거나 하는 경우 아키텍처 구성/보안상 큰 문제가 되었는데요.

 

네이버 클라우드에서도 로드밸런서에 접근 통제할 수 없는 것을 우회하는 방안으로 로드밸런서 서브넷 대역을 쪼개는 방법을 안내하곤 했습니다. NACL에 적용할 경우 모든 로드밸런서가 같은 정책을 적용받기 때문입니다.

2. 포스팅 배경

그동안 NCP Load Balancer는 보안 그룹을 직접 설정할 수 없다는 제약이 있었습니다. 이로 인해:

• Load Balancer 자체는 모든 IP에 오픈된 상태여서 악성 트래픽에 취약
• 접근 제어는 CDN, WAF, ACG 등 외부 구성 요소에 의존
• NACL(Network ACL)을 통한 제어는 서브넷 간 관계 복잡성 문제로 인해 관리가 까다로움

이러한 구조는 운영 시 불필요한 아키텍처 복잡성과 보안 리스크 증가를 초래했고, 특히 DDoS나 스캐닝 공격을 선제적으로 막기 어려운 점이 문제였습니다.

 

3. 기존 구조의 한계점

 

 

1. 로드밸런서가 공용 IP로 모든 트래픽 수신

2. 접근 제어는 WAF와 ACG에서만 가능

3. NACL로 차단 시, Subnet 단위의 적용 제약 발생 → 잘못 적용하면 정상 서비스까지 차단될 위험

 

4. 로드밸런서 ACL 기능 소개

 

1. Load Balancer에 직접 ACL 설정 가능

2. 허용/차단 조건을 IP/CIDR 단위로 정의 가능

3. 우선순위 기반 룰 적용 → 정교한 제어 가능

4. Inbound 트래픽 기준으로 동작

5. 리스너별로 ACL 적용 가능

 

이번에 추가된 ACL 기능으로 규칙에 따라 사용자의 로드밸런서 접근을 제어할 수 있게 되었고, IP/포트 기반으로 차단/허용 정책을 구성할 수 있게 되었습니다.

*기존 NACL과 다르게 IP 입력 갯수도 40개 -> 100개로 늘어났습니다.

 

로드밸런서 - [리스너 설정 변경] 선택

 

 

 

각 리스너에 ACL를 적용할 수 있어 ACL을 조금 더 정교하게 설정 가능합니다.

ACL 기능으로 인해 NACL 의존도가 제거되어 서브넷 구성에서 크게 유연성을 확보할 수 있습니다.

 

5. 전환 순서

1. NACL 구성

아마 NACL을 적용한 대부분의 기업 환경에서는 특정 LB 서브넷을 나누고 이렇게 차단 룰을 가장 우선순위 끝에 두고 화이트리스트 형태로 운영하는 방법을 채택하고 있을 것 같습니다. NACL에서 ACL로 전환 작업 간 NACL 룰을 먼저 지우시면 안 됩니다.

 

2. ACL 구성

ACL을 구성할 때는 이렇게 포트별로 ACL을 구성하는 것을 추천드립니다. 관리편의성과 룰 개수 제한으로 인한 잠재적인 문제를 해결할 수 있습니다. 기존 NACL과 동일한 룰을 적용합니다.

 

3. 로드밸런서 리스너에 ACL 적용

해당 로드밸런서 리스너에 맞는 ACL 룰을 적용합니다. ACL 선택 후 [적용] 선택

 

 

4. NACL 룰 제거

 

NACL에서 기존 룰을 제거하여 접근 차단 룰이 NACL에서 ACL로 넘어가도록 구성합니다.

 

5. 통신 테스트

기존 허용 룰에 적용되어 있던 서버와 차단 범위에 있는 서버에서 각각 해당 로드밸런서 엔드포인트를 직접 호출하면서 (curl) 통신이 되는지 테스트합니다.

 

6. 결론

이번에 네이버 클라우드 로드밸런서에 ACL 기능이 정식 추가됨에 따라, 그동안 아쉬웠던 보안 통제의 사각지대를 메울 수 있게 되었습니다.
기존에는 NACL이나 ACG, 또는 WAF에만 의존해야 했던 복잡한 구조를 단순화하면서도, 공격에 대한 민첩한 대응이 가능해졌다는 점에서 큰 의미가 있습니다.

보안성과 운영 유연성 모두를 강화할 수 있는 이번 기능 업데이트는, 특히 보안이 중요한 금융, 공공, 엔터프라이즈 환경에서 즉시 도입할 만한 가치가 있습니다.

 

감사합니다.