DMS 흐름으로 본 계층 보안의 이유

웹에서 어떤 요청이 들어온다는 건 단순한 일이 아니다. 이 요청이 누구로부터 왔는지, 정상적인 경로를 통해 왔는지, 그 안에 담긴 내용이 안전한지를 모두 확인해야 하기 때문이다. 이번에 하나의 요청이 서버로 도달하기까지 거치는 보안 계층들을 살펴보고, AWS의 Database Migration Service(DMS) 사례를 통해 왜 네트워크 보안만으로는 충분하지 않으며, SSL과 같은 상위 계층 보안이 필수적인지를 정리해보려 한다.

여러 층으로 나뉘어져 있는 보안

요청이 네트워크를 통해 시스템에 도달할 때, 보안은 하나의 레이어가 아닌 여러 단계로 분산되어 작동한다.

 

1. 네트워크 보안 (IP, 포트 기반 접근 제어)

• 방화벽, 보안 그룹, 네트워크 ACL은 IP 주소나 포트를 기준으로 누가 접근할 수 있는지를 판단한다.
  예) “3306 포트는 내부 IP에서만 열어두자”
• 하지만 이 방식은 접근 시도자의 신원을 검증하지 않으며 통신 중 데이터가 유출되는 것은 막지 못한다.

2. SSL 보안 (데이터 자체 보호)

• SSL/TLS는 요청이 서버로 도달했을 때, 통신 내용을 암호화하여 중간 노출·조작을 방지한다.
• 또한 서버의 신원을 인증(Certificate Authority)하여 위장된 서버와의 통신을 방지한다.

즉, “접근을 허용할지”를 판단하는 네트워크 보안에 더해, “안전하게 대화할 수 있는가”를 보장하는 SSL 보안이 필요하다.

 

DMS의 예시로 보는 계층별 보안 흐름

AWS DMS(Database Migration Service)는 온프레미스 데이터베이스(MySQL 등)의 데이터를 Amazon S3 등으로 실시간 복제할 수 있게 해주는 서비스이다. 아래와 같은 흐름으로 마이그레이션이 이루어진다. 

 

On-Premises DB
   ↓ (SSL)
AWS DMS Endpoint
   ↓
AWS DMS (복제 작업 수행)
   ↓
Amazon S3

 

이 과정에서 보안을 적용할 수 있는 위치는 크게 2곳이다:

 

온프레미스 DB → DMS Endpoint	SSL (L5~L7)	데이터 전송을 암호화, 서버 신원 검증
네트워크 경로	보안 그룹, VPC 설정 등 (L3~L4)	접근 제어 (IP/포트 단위)

 

DMS는 AWS 내부와 외부(온프레미스)를 연결해야 하므로, 인터넷이나 VPN 같은 신뢰하기 어려운 네트워크 경로를 사용할 수 있다. 이때 네트워크 보안만으로는 도청, 패킷 변조, 중간자 공격(MITM)을 막을 수 없다. 따라서, 통신 내용을 암호화할 수 있는 SSL 설정이 필수다.

 

 

 

보안은 "이중"이 아니라 "다중"으로 설계되어야 한다. 그 중에서도 SSL은 물리적 네트워크 보안이 닿지 않는 영역까지 보호해주는 핵심 계층이다.