Site-to-Site VPN

AWS Site-to-Site VPN은 인터넷을 통해 IPSec(Internet Protocol Security)¹ 암호화 터널을 연결한다. 구축이 빠르고(수 분 내) 비용이 저렴하지만, 인터넷 품질에 따라 성능 변동성이 있다.

VPN의 대역폭은 터널당 최대 1.25Gbps이며, 두 개의 터널이 활성-대기active-standby 또는 활성-활성active-active 구성으로 고가용성을 제공한다. Accelerated VPN 기능을 사용하면 AWS Global Accelerator 네트워크를 이용하여 인터넷 구간의 지연과 지터를 줄일 수 있다.

Direct Connect (DX)

다이렉트 연결(DX)는 전용 물리 회선을 통해 AWS와 직접 연결하는 서비스다. 인터넷을 거치지 않으므로 일관된 성능과 낮은 지연 시간을 보장하며, 대용량 데이터 전송 시 비용 절감 효과가 크다.

DX는 전용dedicated 연결과 호스팅hosted 연결 두 가지 유형을 제공한다. 전용 연결은 AWS Direct Connect 로케이션에서 물리적 포트(1G/10G/100G)를 단독으로 점유하며, 호스팅 연결은 AWS 파트너를 통해 50Mbps~10Gbps 범위의 대역폭을 유연하게 선택할 수 있다. 10Gbps 이상의 전용 연결에서는 MACsec 암호화를 활성화할 수 있으며, LAG(Link Aggregation Group)³를 구성하여 여러 물리 포트를 하나의 논리적 연결로 묶어 대역폭을 확장할 수 있다.

일반적인 권장 패턴은 다이렉트 연결를 주 연결로 사용하고, Site-to-Site VPN을 백업으로 구성하는 것이다. DX 회선에 장애가 발생하면 VPN으로 자동 전환failover되어 연결 가용성을 확보할 수 있다. 프로덕션 환경에서는 서로 다른 DX 로케이션에 두 개의 독립된 DX 연결을 구성하는 이중화resiliency 패턴이 권장되며, AWS는 이를 위한 Resiliency Toolkit을 제공한다.

VPN과 DX의 TGW 통합

트랜짓 게이트웨이는 VPN과 DX를 모두 수용할 수 있다. 온프레미스에서 트랜짓 게이트웨이로 연결하면, 트랜짓 게이트웨이에 연결된 모든 VPC에 자동으로 도달할 수 있다. 이는 VPC마다 별도의 VPN을 설정하던 과거 방식과 비교해 관리 복잡성을 획기적으로 줄여준다.

---

출처

• Amazon Web Services (2026) AWS Site-to-Site VPN. Available at: https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
• Amazon Web Services (2026) AWS Direct Connect. Available at: https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html

Footnotes

1. IP 패킷을 암호화하고 인증하는 프로토콜 모음이다. 터널 모드에서는 원본 IP 패킷 전체를 암호화하여 새로운 IP 헤더로 감싸므로, VPN 통신의 기밀성과 무결성을 보장한다. ↩

2. 이더넷 프레임 수준에서 암호화를 제공하는 IEEE 802.1AE 표준이다. 다이렉트 연결의 물리적 연결 구간을 암호화하여, 전용 회선이더라도 데이터가 도청될 수 없도록 보장한다. ↩

3. LAG(Link Aggregation Group) — 여러 개의 물리적 네트워크 연결을 하나의 논리적 연결로 묶어 대역폭을 확장하고 장애 복원력을 높이는 기술이다. DX에서는 최대 4개의 포트를 하나의 LAG로 구성할 수 있다. ↩