보안 그룹(Security Group)과 네트워크 ACL(NACL)의 핵심 차이

 

보안 그룹(Security Group)과 네트워크 ACL(NACL)의 핵심 차이

🔐 보안 그룹 (Security Group)

• 인스턴스 단위에서 동작하는 가상 방화벽입니다.
• Elastic Network Interface(ENI)에 적용되며, 하나의 인스턴스에 여러 개의 보안 그룹을 연결할 수 있습니다.
• 규칙은 허용(Allow)만 지정할 수 있고, 거부(Deny) 규칙은 없습니다.
• 상태 저장(Stateful)이므로, 인바운드 요청을 허용하면 해당 요청의 아웃바운드 응답은 자동으로 허용됩니다.
• 보통 포트, 프로토콜, 출발지(Source), 목적지를 지정해 접근을 허용하는 방식입니다.

👉 쉽게 말해, 인스턴스 문 앞을 지키는 경비원과 같아서 "누가 들어올 수 있는가"만 정하고, 들어온 사람은 나갈 때 따로 확인하지 않습니다.

---

🛡️ 네트워크 ACL (NACL)

• 서브넷 단위에서 적용되는 네트워크 방화벽입니다.
• VPC 안에서 서브넷을 만들 때 함께 설정하며, 각 서브넷은 반드시 하나의 NACL에 연결됩니다.
• 규칙은 허용(Allow)과 거부(Deny) 모두 지정할 수 있습니다.
• 비상태성(Stateless)이므로, 인바운드 요청을 허용하더라도 아웃바운드 응답을 별도로 허용 규칙에 넣어야 합니다.
• 규칙은 번호 순서(1번부터 차례대로)로 검사되며, 기본적으로는 모든 트래픽을 차단하는 상태에서 시작합니다.

👉 비유하자면, 아파트 단지 입구의 경비실과 같아서 "들어오는 길"과 "나가는 길"을 모두 따로 관리해야 합니다.

---

📊 비교 요약

구분	보안 그룹 (Security Group)	네트워크 ACL (NACL)
적용 단위	인스턴스(ENI)	서브넷
규칙	허용(Allow)만 가능	허용(Allow) + 거부(Deny)
상태 관리	상태 저장 (Stateful)	비상태성 (Stateless)
기본 설정	모든 트래픽 차단 후 허용만 지정	모든 트래픽 차단 후 허용/거부 지정
관리 범위	인스턴스별 세부 제어	서브넷 전체 제어

---

✅ 정리하면,

• 보안 그룹은 세밀하고 단순하게 인스턴스를 보호하는 도구,
• NACL은 넓은 범위에서 허용·거부를 명확히 제어하는 도구라고 이해하시면 됩니다.