IP를 넘어 URL까지: Google Cloud NGFW로 웹 보안의 차원을 높이세요.

해당 블로그의 원문은 2026년 4월 8일 Google Cloud 블로그(영문)에 게재되었습니다. 

클라우드 퍼스트(Cloud-first) 환경에서 기존의 IP 기반 방어 체계만으로는 더 이상 보안 경계(Perimeter)를 완벽히 보호할 수 없습니다. 서비스가 공유 인프라 및 콘텐츠 전송 네트워크(CDN)로 마이그레이션됨에 따라, 정적 IP 주소와 FQDN(정규화된 도메인 이름)에만 의존하는 방식은 보안 사각지대(Security gaps)를 발생시킬 수 있습니다.

단일 IP 주소가 여러 서비스를 호스팅할 수 있고 IP 주소 자체가 빈번하게 변경되는 환경을 고려하여, Cloud 차세대 방화벽(NGFW) Enterprise에 와일드카드(wildcard) 기능을 갖춘 도메인 필터링을 새롭게 도입합니다. 이 새로운 기능은 한층 강화된 보안과 세분화된 정책 제어(Granular policy controls)를 제공합니다.

도메인 및 SNI 필터링이 중요한 이유

Cloud NGFW URL 필터링 서비스는 퍼블릭 및 내부 네트워크에서 발생하는 위협으로부터 워크로드를 안전하게 보호하기 위해 HTTP 페이로드에 대한 심층 패킷 검사(Deep Inspection)를 수행합니다. 이 서비스는 보안 제어를 애플리케이션 계층(Application Layer)으로 격상시키며, 악성 도메인에 대한 액세스를 효과적으로 제한합니다. 

주요 사용 사례는 다음과 같습니다.

• 세분화된 이그레스 제어 (Granular egress control): 이 기능은 이그레스(아웃바운드) HTTP(S) 메시지에서 발견된 도메인 이름 및 SNI 정보를 기반으로 연결을 정밀하게 허용하거나 차단할 수 있도록 지원합니다. 레이어 7(L7) 헤더를 검사함으로써, 단일 IP가 여러 서비스를 호스팅할 때 비효율적인 기존의 IP 주소 및 FQDN 기반 필터링보다 훨씬 더 세밀한 제어력을 제공합니다.

• 복호화 없는 액세스 제어 (Control access without decrypting): 트래픽에 대한 전체 TLS 복호화(Decryption)를 수행하지 않으려는 조직의 경우에도, Cloud NGFW는 TLS 핸드셰이크 과정에서 제공되는 SNI 헤더를 기반으로 트래픽을 제어하여 보안 정책을 강제할 수 있습니다. 이를 통해 개인정보 보호 또는 규정 준수(Compliance) 목적으로 엔드투엔드(End-to-End) 암호화를 유지하면서도 효과적인 도메인 수준의 필터링이 가능해집니다.

• 운영 오버헤드 감소 (Reduced operational overhead): 도메인 기반 필터링을 구현하면 자주 변경되는 IP 주소 및 DNS 레코드를 추적하기 위해 소요되는 지속적인 유지보수 작업을 줄일 수 있습니다. 동적인 네트워크 속성 대신 안정적인 도메인 식별자에 집중함으로써, 보안 팀은 방화벽 룰베이스(Rulebases)를 업데이트하는 데 드는 수동 작업을 최소화할 수 있습니다.

• 유연한 매칭 (Flexible matching): 이 서비스는 URL 목록 내의 매처(Matcher) 문자열을 활용하며, 도메인 및 하위 도메인에 대한 기준을 정의하기 위해 제한된 와일드카드 도메인을 지원합니다. 예를 들어 *.example.com과 같은 와일드카드를 사용하면 단일 필터로 관련된 모든 하위 도메인을 포괄할 수 있어, 수천 개의 개별 FQDN 항목을 일일이 정의하는 것보다 훨씬 확장성(Scalable) 있는 솔루션을 제공합니다.

• 보안 강화 (Improved security): URL 필터링은 SNI 헤더 스푸핑(Spoofing)과 같은 정교한 공격 기법으로부터 시스템을 보호하여 전반적인 보안 태세(Security Posture)를 크게 향상시킵니다. 애플리케이션에 대한 액세스를 허용하기 전에 L7 헤더를 평가함으로써, Cloud NGFW는 공격자가 하위 레이어의 식별자를 단순 스푸핑하여 보안 통제를 우회하는 것을 원천적으로 차단합니다. 

Cloud NGFW URL 필터링 작동 방식

URL 필터링 서비스는 분산형 아키텍처(Distributed Architecture)를 사용하여 L7에서 트래픽을 검사하는 방식으로 작동합니다.

세 가지 간단한 단계만으로 URL 필터링을 시작할 수 있습니다.

1. Cloud NGFW 엔드포인트 배포: 

   1. 첫 번째 단계는 특정 영역(Zone)에 Cloud NGFW 엔드포인트를 생성하고 배포하는 것입니다. NGFW 엔드포인트는 조직 수준의 리소스입니다. 배포하기 전에 적절한 권한을 보유하고 있는지 확인하십시오.

   2. 엔드포인트가 배포되면 원하는 하나 이상의 VPC에 연결(associate)할 수 있습니다.

2. 보안 프로필 및 보안 프로필 그룹 생성: 

   1. URL 필터링 보안 프로필은 매처(Matcher) 문자열이 포함된 URL 필터와 그에 따른 작업(허용 또는 거부)을 정의합니다.

   2. 보안 프로필 그룹은 이러한 보안 프로필들을 담는 컨테이너 역할을 하며, 방화벽 정책 규칙에서 이를 참조합니다. 원하는 URL, 와일드카드 FQDN을 사용하여 URL 필터링 보안 프로필을 생성하고 이를 보안 프로필 그룹에 추가하십시오.

   3. 보안 프로필 그룹이 생성되면, 방화벽 정책에서 해당 보안 프로필 그룹을 참조해야 합니다.

3. 정책 강제 적용 (Policy enforcement): 

   1. apply_security_profile_group 작업을 사용하는 계층적(Hierarchical) 또는 글로벌 네트워크 방화벽 정책 규칙을 구성하고 보안 프로필 그룹의 이름을 지정하여 서비스를 활성화합니다.

방화벽 정책 규칙 구성에 대한 자세한 내용은 다음을 참조하십시오.

• 인바운드 계층적 방화벽 정책 규칙 생성

• 아웃바운드 계층적 방화벽 정책 규칙 생성

• 인바운드 글로벌 네트워크 방화벽 정책 규칙 생성

• 아웃바운드 글로벌 네트워크 방화벽 정책 규칙 생성

시작하기

Cloud NGFW URL 필터링을 시작하려면 문서 및 코드랩(Codelab)을 확인해 보시기 바랍니다.