서브넷으로 네트워크 공간을 분할한 뒤, 다음 과제는 트래픽의 흐름을 제어하는 것입니다. VPC의 라우팅 테이블은 모든 패킷이 어느 경로로 흘러야 하는지를 결정하는 교통 신호등입니다. 이 글에서는 라우팅 테이블의 작동 원리, 롱기스트 프리픽스 매치의 우선순위 규칙, 퍼블릭·프라이빗·데이터 서브넷의 라우팅 설계, 그리고 인바운드 트래픽을 검사 장비로 우회시키는 Ingress Routing을 살펴봅니다.
라우팅 테이블
라우팅의 기본 원리
라우팅 테이블(Route Table)은 패킷의 목적지 IP 주소를 보고 다음 홉(hop)을 결정하는 규칙의 집합이다. VPC를 생성하면 기본 라우팅 테이블(Main Route Table)이 자동으로 만들어지며, 명시적으로 다른 라우팅 테이블을 연결하지 않은 서브넷은 이 기본 테이블을 사용한다.
모든 VPC 라우팅 테이블에는 반드시 다음 경로가 포함된다.
| 목적지 | 타겟 | 의미 |
|---|---|---|
10.0.0.0/16 (VPC CIDR) | local | VPC 내부 통신은 로컬 라우터가 처리 |
이 local 경로는 삭제하거나 수정할 수 없다. VPC 안의 모든 서브넷은 이 경로를 통해 서로 직접 통신할 수 있으며, 이것이 VPC가 하나의 논리적 네트워크로 동작하는 기반이다.
라우팅 테이블당 기본 경로 한도는 50개이며, AWS Support를 통해 최대 1,000개까지 확장할 수 있다. VPC 피어링이나 트랜짓 게이트웨이를 다수 연결하거나, 게이트웨이 엔드포인트의 프리픽스 목록이 많은 경로를 차지하는 대규모 환경에서는 이 한도에 주의해야 한다. 프리픽스 목록은 항목 수만큼 라우팅 테이블의 경로 한도를 소비하므로, S3 프리픽스 목록 하나가 수십 개의 경로를 점유할 수 있다.
롱기스트 프리픽스 매치
AWS VPC 라우팅의 대원칙은 롱기스트 프리픽스 매치(Longest Prefix Match)다. 라우팅 테이블에 여러 경로가 매칭될 경우, 가장 구체적인(서브넷 마스크가 긴) 경로가 우선순위를 갖는다.
예를 들어, 라우팅 테이블에 다음 두 경로가 있다고 하자.
| 목적지 | 타겟 |
|---|---|
10.0.0.0/16 | local |
10.0.1.0/24 | eni-abc123 |
목적지가 10.0.1.5인 패킷은 두 경로 모두에 매칭되지만, /24가 /16보다 더 구체적이므로 eni-abc123으로 전달된다. 이 원리를 활용하면 특정 서브넷의 트래픽만 가상 방화벽이나 검사 장비로 우회시키는 트래픽 엔지니어링이 가능하다.
퍼블릭 vs 프라이빗 라우팅
서브넷이 퍼블릭인지 프라이빗인지는 해당 서브넷에 연결된 라우팅 테이블의 기본 경로(0.0.0.0/0)가 어디를 가리키느냐로 결정된다.
퍼블릭 서브넷 라우팅 테이블
| 목적지 | 타겟 |
|---|---|
10.0.0.0/16 | local |
0.0.0.0/0 | igw-xxxxxxxx (인터넷 게이트웨이) |
프라이빗 서브넷 라우팅 테이블
| 목적지 | 타겟 |
|---|---|
10.0.0.0/16 | local |
0.0.0.0/0 | nat-xxxxxxxx (NAT Gateway) |
데이터 서브넷 라우팅 테이블
| 목적지 | 타겟 |
|---|---|
10.0.0.0/16 | local |
pl-xxxxxxxx (S3 Prefix List) | vpce-xxxxxxxx (게이트웨이 엔드포인트) |
데이터 서브넷에는 0.0.0.0/0 경로가 아예 없다. 인터넷으로의 경로 자체가 존재하지 않으므로, 라우팅 레벨에서 인터넷 접근이 차단된다. S3 같은 AWS 서비스에 접근할 때는 게이트웨이 엔드포인트를 사용하여 인터넷을 완전히 우회한다.
Ingress Routing
인바운드 트래픽 검사
VPC Ingress Routing은 인터넷 게이트웨이나 VGW(Virtual Private Gateway)를 통해 들어오는 인바운드 트래픽을 특정 EC2 인스턴스(방화벽, IDS/IPS 어플라이언스 등)로 우회시키는 기능이다. 기존에는 인바운드 트래픽이 라우팅 테이블의 local 경로에 따라 곧바로 대상 서브넷에 도달했지만, Ingress Routing을 활성화하면 IGW에 별도의 라우팅 테이블을 연결하여 트래픽의 첫 번째 홉을 네트워크 어플라이언스로 지정할 수 있다.
이 패턴은 금융·의료 등 규제 산업에서 모든 인바운드 트래픽을 서드파티 가상 방화벽으로 검사해야 하는 컴플라이언스 요건을 충족하는 데 필수적이다. AWS Gateway Load Balancer와 결합하면 어플라이언스의 수평 확장과 고가용성까지 확보할 수 있다.
출처
- Amazon Web Services (2026) Configure route tables. Available at: https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html
- Amazon Web Services (2026) Connect to the internet using an internet gateway. Available at: https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
- Amazon Web Services (2026) Gateway Load Balancer. Available at: https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/introduction.html