Internet Gateway

동작 원리

인터넷 게이트웨이(Internet Gateway)는 VPC와 인터넷 사이의 논리적 관문이다. 물리적 라우터와 달리 인터넷 게이트웨이는 수평적으로 확장되는 고가용성 서비스로, 단일 실패 지점이 없으며 대역폭 제한도 사실상 존재하지 않는다.

인터넷 게이트웨이의 핵심 기능은 퍼블릭 IP를 가진 인스턴스에 대한 1:1 정적 NAT(Network Address Translation)¹다. 인스턴스는 VPC 내부에서 프라이빗 IP만 알고 있지만, 인터넷 게이트웨이가 이를 퍼블릭 IP로 변환하여 인터넷과 통신한다.

인스턴스가 인터넷과 통신하려면 두 가지 조건이 충족되어야 한다.

1. 인스턴스에 퍼블릭 IP 또는 탄력적 IP(Elastic IP)가 할당되어 있어야 한다.
2. 해당 서브넷의 라우팅 테이블에 0.0.0.0/0에서 인터넷 게이트웨이로 향하는 경로가 존재해야 한다.

두 조건 중 하나라도 빠지면 인터넷 통신은 불가능하다.

인터넷 게이트웨이의 특성

인터넷 게이트웨이는 VPC당 하나만 연결할 수 있으며, 추가 비용이 발생하지 않는다. 인터넷 게이트웨이 자체는 트래픽을 필터링하지 않으며, 트래픽 제어는 전적으로 보안 그룹과 NACL의 책임이다. 인터넷 게이트웨이는 IPv4와 IPv6 트래픽을 모두 처리한다.

Egress-only Internet Gateway (IPv6)

IPv6 환경의 특수성

IPv6 환경에서는 모든 주소가 글로벌 유니캐스트 주소이기 때문에 NAT 없이도 인터넷과 직접 통신할 수 있다. 그러나 외부에서 시작되는 접근을 차단해야 한다는 프라이빗 서브넷의 보안 요구사항은 여전히 필요하다.

이를 위해 AWS는 Egress-only Internet Gateway를 제공한다. 이 게이트웨이는 상태 저장 방화벽(stateful firewall)처럼 동작하여, 내부에서 시작된 통신의 응답 트래픽만 허용하고 외부에서 시작된 연결 시도는 차단한다.

Egress-only IGW는 추가 비용이 없으므로, IPv6 도입 시 NAT 게이트웨이 비용을 완전히 제거할 수 있다. 이것이 IPv6 전환의 가장 직접적인 경제적 이점 중 하나다.

듀얼 스택 전환 전략

IPv4에서 IPv6로의 즉시 전환은 현실적으로 어렵다. 대부분의 조직은 VPC에 IPv4와 IPv6 CIDR을 모두 할당하는 듀얼 스택 아키텍처를 중간 단계로 채택한다. 외부 통신 시 IPv6를 우선 사용하도록 설정하면, NAT 게이트웨이를 거치지 않고 Egress-only IGW를 통해 통신하므로 데이터 처리 비용을 절감할 수 있다.

2024년부터 AWS는 퍼블릭 IPv4 주소에 시간당 $0.005(월 약$3.6)를 부과하기 시작했으므로, IPv6 전환의 경제적 동기는 더욱 강해지고 있다.

---

출처

• Amazon Web Services (2026) Connect to the internet using an internet gateway. Available at: https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
• Amazon Web Services (2026) Enable outbound IPv6 traffic using an egress-only internet gateway. Available at: https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html
• Amazon Web Services (2024) New — AWS public IPv4 address charge. Available at: https://aws.amazon.com/blogs/aws/new-aws-public-ipv4-address-charge-public-ip-insights/

Footnotes

1. 사설 IP 주소를 공인 IP 주소로, 또는 그 반대로 변환하는 기술이다. 1:1 정적 NAT는 하나의 사설 IP가 하나의 고정된 공인 IP에 매핑되는 방식이다. ↩