핵심 요약
데브시스터즈가 OpenVPN에서 WireGuard로 전환해 그룹별 접근 제어와 유저 고유 IP 로깅이 가능한 VPN 인프라를 설계했다.
주요 경험
- SSO 불편과 비용 이슈를 WireGuard 도입으로 해소하고 공개키 인증으로 Peer 배포를 간소화했다.
- 그룹별 인터페이스와 iproute2 기반 라우팅으로 사설망 접근을 엄격히 제어하고, throw/blackhole로 트래픽을 차단했다.
- 유저 IP를 부여하고 NAT 비활성화를 고려해 로그를 남기도록 AWS 설정과 Transit Gateway 중심 라우팅을 도입했다.
- Go로 서버를 구현하고 wgctrl-go, netlink, cilium/ebpf를 활용해 관리 도구와 패킷 처리 로직을 구축했다.
얻은 인사이트
- 로그 기반 보안 가시성이 크게 향상됐다.
- 리전 간 확장을 위한 Transit Gateway 전략의 중요성을 확인했다.
