Day 1에서 NAT Gateway가 데이터 유출 경로가 될 수 있다고 했다. App Tier가 S3에서 객체를 읽으려면 보통 NAT를 통해 인터넷으로 나간다. 그런데 NAT는 아웃바운드를 폭넓게 허용한다 — S3로 가든, 공격자의 서버로 가든 구분하지 못한다. 침해된 인스턴스가 탈취한 자격증명으로 회사 데이터를 외부 S3 버킷으로 빼낼 때, NAT는 그걸 막지 못한다.
VPC 엔드포인트는 이 문제를 근본적으로 푼다. AWS 서비스(S3, DynamoDB, KMS, Secrets Manager 등)에 인터넷을 거치지 않고 AWS 백본 내부에서 사설로 연결한다. 인터넷 경로를 아예 제거할 수 있으니, 데이터가 빠져나갈 길 자체가 사라진다. 게다가 엔드포인트 정책으로 "우리 회사 버킷에만, 우리 조직 계정만" 같은 제약을 걸 수 있다. 오늘은 두 종류의 엔드포인트, PrivateLink, 그리고 엔드포인트 정책으로 유출을 봉쇄하는 설계를 본다. SCS-C03 도메인 3의 정점이다.