집을 지을 때 가장 먼저 하는 일이 울타리를 치고 대문을 다는 것이듯, 클라우드 서버도 마찬가지입니다. 아무나 내 서버에 들어오지 못하게 하고, 허락된 사람만 안전하게 다닐 수 있는 길을 만드는 법을 알아보겠습니다.

1. [개념편] 클라우드 속 나만의 요새, VPC (Virtual Private Cloud)

VPC는 구글 클라우드라는 거대한 대지 위에 나만이 사용할 수 있도록 울타리를 친 **'가상 네트워크 공간'**입니다.

• 완벽한 고립: 같은 구글 클라우드를 써도 다른 사용자의 네트워크와는 완전히 분리되어 있어 안전합니다.
• 서브넷(Subnet): 울타리 안을 거실, 안방, 창고처럼 구역을 나누는 것입니다. 예를 들어 '웹 서버 구역'과 '데이터베이스 구역'을 나누어 관리할 수 있습니다.
• 비유: 호텔 전체가 구글 클라우드라면, VPC는 내가 예약한 '객실'과 같습니다. 복도(공용 망)와는 분리된 나만의 사적인 공간이죠.

2. [구성요소편] 문지기의 신분증 검사, 방화벽(Firewall)

네트워크 공간을 만들었다면, 이제 누가 들어오고 나갈지 결정해야 합니다. 이 역할을 하는 것이 방화벽입니다.

• 인그레스(Ingress): 외부에서 내 서버로 '들어오는' 트래픽입니다. (예: 고객이 쇼핑몰에 접속)
• 이그레스(Egress): 내 서버에서 외부로 '나가는' 트래픽입니다. (예: 서버가 업데이트 파일을 내려받음)
• 규칙의 핵심: 기본적으로 모든 외부 접속은 '차단'하고, 꼭 필요한 포트(웹 서비스용 80, 443 등)만 골라서 '허용'하는 것이 철칙입니다.

3. [2025 최신 트렌드] 더 똑똑해진 '네트워크 방화벽 정책'

2025년 현재, 구글 클라우드는 기존의 단순한 방화벽 규칙을 넘어 Cloud NGFW(차세대 방화벽) 기반의 정책을 권장하고 있습니다.

• 계층적 정책: 회사 전체, 부서별, 프로젝트별로 보안 규칙을 한꺼번에 적용할 수 있습니다. 관리자가 실수로 보안 구멍을 만드는 것을 방지합니다.
• 보안 태그(Secure Tags): 예전에는 서버 이름이나 IP로 규칙을 정했지만, 이제는 'IAM(권한 관리)'과 연동된 태그를 사용합니다. "인사팀 전용 태그가 붙은 서버만 접근 허용" 같은 정밀한 제어가 가능해졌습니다.
• FQDN 필터링: IP 주소가 아니라 api.google.com 같은 도메인 주소를 기반으로 접속을 차단하거나 허용할 수 있어 관리가 훨씬 편해졌습니다.

4. [실전편] 보안 사고를 막는 3가지 필수 수칙

블로그 독자들이 실무에서 바로 적용할 수 있는 보안 팁입니다.

1. 관리자 포트(22, 3389)를 세상에 열지 마세요: SSH(리눅스)나 RDP(윈도우) 접속 포트를 0.0.0.0/0(모든 사람)에게 열어두는 것은 대문을 열어두고 외출하는 것과 같습니다. 특정 IP에서만 접속하게 제한하세요.
2. 외부 IP를 최소화하세요: 모든 서버에 공인 IP를 줄 필요가 없습니다. 내부에서만 통신하는 서버는 사설 IP만 부여하고, 외부 업데이트가 필요할 땐 Cloud NAT를 사용하여 보안을 강화하세요.
3. 기본(Default) 네트워크 삭제를 고려하세요: 프로젝트 생성 시 자동으로 만들어지는 'default' 네트워크에는 기본 허용 규칙이 많습니다. 보안이 중요하다면 나만의 커스텀 VPC를 만들어 처음부터 꼼꼼하게 설정하는 것이 좋습니다.

💡 요약: 보안은 기술이 아니라 '습관'입니다

네트워크 보안의 핵심은 **"최소 권한의 원칙"**입니다. 꼭 필요한 길만 열어주고 나머지는 모두 닫는 습관이 내 소중한 서비스와 고객 데이터를 지키는 가장 확실한 방법입니다.

네 번째 시리즈에서는 서버의 생명선인 네트워크 보안을 다뤘습니다. "내 서버가 왜 안전한가?"에 대한 확신을 줄 수 있는 내용입니다.