인터넷 위에 암호화 터널을 올리는 VPN은 1990년대 후반부터 기업 네트워킹의 핵심이었다. AWS가 2011년 Site-to-Site VPN을 출시했을 때 대부분의 기업은 이미 IPsec 기반 VPN에 익숙했다. 그러나 AWS의 VPN은 단순한 IP 터널 그 이상이다. TGW와 결합한 ECMP로 대역폭을 선형으로 확장하고, Global Accelerator와 연동해 전 세계 어디서든 낮은 지연을 보장하며, BGP로 온프레미스 라우팅 변경을 자동으로 반영한다. 오늘은 Site-to-Site VPN의 내부 동작 원리부터 ECMP를 활용한 대역폭 확장, Accelerated VPN, Client VPN의 인증 흐름까지 SAP-C02 수준의 깊이로 다룬다.
AWS Site-to-Site VPN은 IPsec(IP Security) 프로토콜을 기반으로 한다. IPsec은 RFC 4301이 정의하는 L3 보안 프로토콜 스위트로, 두 가지 핵심 구성 요소가 있다.
AH(Authentication Header, RFC 4302): 패킷의 무결성과 인증을 보장하지만 암호화는 하지 않는다. 패킷 내용이 변조되지 않았음을 보장하지만 내용은 평문이다.
ESP(Encapsulating Security Payload, RFC 4303): 패킷을 암호화하고 무결성을 보장한다. AWS VPN은 ESP를 사용한다.
IPsec은 두 가지 모드로 동작한다