[NCloud 1기] ACG와 Network ACL

네이버클라우드 아카데미를 들으면서 흥미로웠던 개념 중 하나가

바로 ACG(Access Control Group) 와 Network ACL이었다.
처음엔 “둘 다 방화벽 아니야?” 정도로만 생각했는데,

실제로 VPC 실습을 하다 보니 구조도와 역할이 완전히 다르다는 걸 깨달았다.

이 글은 그때의 혼란을 나처럼 처음 배우는 사람도 단번에 이해할 수 있도록 정리해보는 글이다.

---

1. 먼저, 전체 구조를 보면

ACG와 ACL이 각각 어디에 붙는지부터 이해해야 한다.

 

 

이 그림을 보면 역할이 아주 명확하게 나뉜다.

• ACG는 Server에 부착됨
  정확히는 서버의 NIC(Network Interface Card) 단위에 적용
• ACL은 Subnet 경계에 부착됨
  즉, "서브넷에 들어오고 나가는 문"을 지키는 보안장치

즉,
ACG = 서버 앞 문,
ACL = 아파트 단지 정문
이렇게 기억하면 이해가 쉽다.

---

2. ACG(Access Control Group)는 무엇인가?

실습 과정에서 WEB, WAS 서버 만들 때 가장 많이 다룬 게 바로 ACG였다.
서버 만들자마자 항상 "인바운드 22, 80, 443 허용" 같은 설정을 해줬던 그것.

✔ 서버 단위에 적용되는 '보안 그룹'

ACG는 서버 NIC 단위로 붙기 때문에,
서버마다 서로 다른 ACG를 적용할 수 있고,

WEB/WAS/DB 같은 계층별 정책 분리가 아주 용이하다.

✔ 특징 1: Allow만 지원한다

ACG는 허용(Allow) 규칙만 작성할 수 있다.
특정 트래픽을 차단하고 싶다면 “허용하지 않으면 자동 차단”이라는 동작으로 해결된다.

✔ 특징 2: Stateful

이게 아주 중요한데,
들어오는 규칙(인바운드)만 허용해도 응답 패킷은 자동 허용된다.

예를 들어

• 인바운드: 80 포트 허용
• 아웃바운드: 규칙 없어도 됨

왜냐면 ACG는 상태를 기억하고

"아 이건 들어온 요청에 대한 응답이구나" 하고 자동으로 통과시켜주기 때문이다.

✔ 특징 3: 모든 규칙을 합산해서 평가

ACG는 여러 개를 NIC에 붙일 수 있고, 그 모든 규칙을 OR 조건으로 묶어 판단한다.

---

3. Network ACL은 무엇인가?

ACL은 ACG보다 더 하단(네트워크 깊숙한 곳)에 적용되는 규칙이다.
VPC 안의 Subnet 경계에 붙어서,

말 그대로 "서브넷으로 들어오거나 나가는 모든 트래픽"을 필터링한다.

 

그림을 보면 NACL이 아파트 1층 정문, ACG가 강의장 입구처럼 표현된다.
이 비유가 아주 직관적이다.

✔ 특징 1: Subnet 단위로 적용

서브넷 전체에 적용되기 때문에,

같은 Subnet에 있는 모든 서버가 동일한 ACL 정책을 공유한다.

✔ 특징 2: Allow, Deny 둘 다 존재

ACG와의 가장 큰 차이점이다.
특정 트래픽을 “명시적으로 거부”하고 싶다면 ACL에서 처리한다.

✔ 특징 3: Stateless

이것도 중요하다.
Stateful이 아니기 때문에,

• 인바운드에서 허용하더라도
• 아웃바운드 규칙에 응답 패킷을 허용하는 규칙이 없으면 차단됨

즉, "들어오는 규칙 + 나가는 규칙을 모두" 세팅해야 한다.

✔ 특징 4: 규칙 우선순위(priority)가 있다

번호가 낮을수록 먼저 평가된다.
AWS의 NACL과 완전히 같은 구조.

---

4. ACG vs ACL 요약 비교

구분	ACG	Network ACL
적용 범위	Server NIC	Subnet
규칙 종류	Allow만	Allow + Deny
동작 방식	Stateful	Stateless
평가 방식	모든 규칙 병합	우선순위 기반
사용 목적	계층별 서버 접근 제어	Subnet 단위 보안 경계