티스토리 뷰
AWS에서 Private Subnet의 인스턴스가 인터넷에 나가려면 NAT가 필요하고, 트래픽을 검사하려면 방화벽이 필요합니다.
보통은 NAT Gateway와 방화벽을 각각 구성하고 각각 비용을 지불합니다.
그런데 AWS 문서를 보다 보면 이런 문구가 하나 보입니다.
"Network Firewall과 NAT Gateway를 같은 service chain에 두면 NAT Gateway 비용이 면제된다."
"진짜로 NAT Gateway가 공짜?"
그래서 실제 구조와 비용을 조금 더 자세히 파봤습니다.
이번 글에서는 AWS Network Firewall과 NAT Gateway를 함께 사용했을 때 NAT Gateway 비용이 면제되는 구조와 함께, 각 서비스가 어떤 역할을 하는지, 그리고 대체 가능한 옵션은 무엇인지 정리해보겠습니다.
📍 잠깐, NAT Gateway와 NAT Instance는 다릅니다
본론에 들어가기 전에 헷갈리기 쉬운 부분부터 정리하고 가겠습니다.
| 구분 | NAT Gateway | NAT Instance |
| 관리 | AWS 완전관리형 | 직접 EC2 관리 (패치, 모니터링) |
| 고가용성 | AZ 내 자동 이중화 | 직접 구성 필요 (ASG 등) |
| 대역폭 | 최대 100 Gbps 자동 확장 | 인스턴스 타입에 따라 제한 |
| 비용 | $0.059/시간 + $0.059/GB (서울) | EC2 인스턴스 비용 (예: t3.micro $0.0104/시간) |
| Network Firewall 할인 | ✅ 적용됨 | ❌ 적용 안 됨 |
NAT Instance는 비용이 저렴하다는 장점이 있어 작은 서비스나 테스트 환경에서는 많이 사용됩니다.
하지만 이번 글에서 이야기하는 NAT Gateway 비용 면제 혜택은 NAT Gateway에만 적용됩니다.
즉, 이미 Network Firewall을 사용하는 환경이라면 NAT Instance 대신 NAT Gateway를 쓰는 것이 오히려 더 유리할 수도 있습니다.
📍 각 서비스는 왜 쓸까?
AWS Network Firewall
AWS Network Firewall은 VPC 레벨에서 동작하는 관리형 방화벽 서비스입니다.
대표적인 기능은 다음과 같습니다.
- Layer 3~7 트래픽 검사 (IP, 포트, 도메인, 콘텐츠 기반 필터링)
- Suricata 기반 IPS / IDS 룰 지원
- TLS 복호화 검사 (Advanced Inspection)
- 악성 도메인 및 IP 차단
한마디로 정리하면,
"이 VPC에서 나가는 트래픽 중 위험한 건 막겠다."
라는 목적의 서비스입니다.
NAT Gateway
NAT Gateway는 Private Subnet의 리소스가 인터넷과 통신할 수 있도록 해주는 서비스입니다.
대표적인 사용 사례는 다음과 같습니다.
- EC2에서 외부 API 호출
- 패키지 다운로드 (
apt,yum,npm등) - 외부 서비스와 통신
하지만 외부에서 내부로 직접 접근하는 것은 막습니다.
즉,
"인터넷은 나가게 하되, 들어오는 건 막겠다."
라는 역할을 합니다.
📍 둘 다 쓰면 뭐가 좋은데? — NAT Gateway 비용 면제
여기가 이 글의 핵심입니다.
AWS 공식 문서에는 다음과 같이 명시되어 있습니다.
"If you create a NAT gateway and place it next to your AWS Network Firewall in a service chain within your AWS account, standard NAT gateway per-hour and data processing usage charges are waived."
— AWS Network Firewall Pricing
즉, Network Firewall과 NAT Gateway를 같은 네트워크 경로에 배치하면 NAT Gateway 비용이 자동 면제됩니다.
| 항목 | 원래 비용 (서울 리전) | Network Firewall과 함께 사용 시 |
| NAT Gateway 시간당 | $0.059/시간 | $0 (면제) |
| NAT Gateway 데이터 처리 | $0.059/GB | $0 (면제) |
면제 조건
다음 조건을 충족해야 합니다.
- NAT Gateway와 Network Firewall이 같은 리전
- NAT Gateway가 Network Firewall endpoint와 같은 네트워크 경로
- 1:1 기준 적용
즉,
Firewall Endpoint 시간 = NAT Gateway 시간
Firewall 처리량 = NAT Gateway 처리량 이어야 합니다.
AWS Network Firewall 가격 인하 공지 (2026.02)
📍 실제로 얼마나 아끼는 건데? — 서울 리전 기준 계산
시나리오
- 2개 AZ 배포
- 월 5TB 아웃바운드 트래픽
Network Firewall + NAT Gateway (할인 미적용)
| 항목 | 계산 | 월 비용 |
|---|---|---|
| Network Firewall 엔드포인트 | $0.395 × 2 AZ × 720시간 | $568.80 |
| Network Firewall 데이터 처리 | $0.065 × 5,000 GB | $325.00 |
| NAT Gateway 시간당 | $0.059 × 2 AZ × 720시간 | $84.96 |
| NAT Gateway 데이터 처리 | $0.059 × 5,000 GB | $295.00 |
| 합계 | $1,273.76 |
Network Firewall + NAT Gateway (할인 적용)
| 항목 | 계산 | 월 비용 |
|---|---|---|
| Network Firewall 엔드포인트 | $0.395 × 2 AZ × 720시간 | $568.80 |
| Network Firewall 데이터 처리 | $0.065 × 5,000 GB | $325.00 |
| NAT Gateway 시간당 | $0 (면제) | |
| NAT Gateway 데이터 처리 | $0 (면제) | |
| 합계 | $893.80 |
즉, 월 $379.96 절감 (약 30% 비용 감소)
트래픽이 많을수록 절감 효과는 더 커집니다.
📍 그럼 NAT Instance는 언제 쓰는 게 맞아?
NAT Gateway가 무료가 되는 것은 이미 Network Firewall을 사용하고 있을 때 이야기입니다.
Network Firewall을 사용하지 않는 환경에서는 NAT Gateway 비용이 그대로 발생합니다.
그래서 상황에 따라 NAT Instance를 선택하기도 합니다.
| 상황 | 추천 |
| Network Firewall 사용 중 | NAT Gateway |
| Network Firewall 미사용 + 트래픽 적음 | NAT Instance |
| Network Firewall 미사용 + 트래픽 많음 | NAT Gateway |
| 개발 / 테스트 환경 | NAT Instance |
특히 작은 프로젝트에서는 NAT Gateway 비용이 생각보다 부담이 될 수 있습니다.
📍 Network Firewall 안 쓰면 뭘로 대체해?
Network Firewall은 강력한 서비스지만 모든 환경에서 반드시 필요한 것은 아닙니다.
| 대안 | 보호 수준 | 비용 | 특징 |
| Security Group + NACL | L3/L4 | 무료 | 기본 방화벽 |
| AWS WAF | L7 | 요청 기반 과금 | 웹 트래픽 보호 |
| VPC Endpoint | - | 무료 | NAT 우회 가능 |
| 3rd Party Firewall | L3~L7 | 라이선스 + EC2 | Fortinet / Palo Alto |
실전 팁
S3, DynamoDB 같은 AWS 서비스 접근은 Gateway VPC Endpoint를 사용하면 NAT Gateway를 아예 거치지 않습니다.
- NAT 비용 없음
- Network Firewall 여부와 무관
이라서 항상 추천하는 구성입니다.
📍 NAT Gateway 안 쓰면 뭘로 대체해?
| 대안 | 비용 | 장단점 |
| NAT Instance | 약 $7.49/월 | 약 $7.49/월 |
| VPC Endpoint (Gateway) | 무료 | S3, DynamoDB 전용 |
| VPC Endpoint (Interface) | 시간 + GB 과금 | 특정 AWS 서비스 전용 |
📍 결론
정리하면 다음과 같습니다.
- Network Firewall + NAT Gateway 사용 시 NAT Gateway 비용 전액 면제
- 이 혜택은 NAT Gateway만 해당
- Network Firewall을 이미 사용한다면 NAT Gateway가 사실상 무료
- Network Firewall이 없다면 NAT Instance도 여전히 유효한 선택
Network Firewall을 쓰고 있다면 NAT Gateway는 고민할 필요가 없다.
관리형 서비스이기 때문에 운영 부담도 줄어들고, 고가용성 구성도 따로 고민할 필요가 없습니다.
감사합니다.
- 참고 링크
AWS Network Firewall Pricing
https://aws.amazon.com/network-firewall/pricing/ - NAT Gateway vs NAT Instance 비교 - AWS 공식문서
https://aws.amazon.com/vpc/pricing/ - Network Firewall 아키텍처 가이드 (IGW + NAT GW)
https://repost.aws/knowledge-center/network-firewall-set-up-with-nat-gateway - AWS 공식 블로그 - Network Firewall 배포 모델
https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/ - AWS re:Post - Network Firewall + NAT Gateway 설정 가이드
https://docs.aws.amazon.com/network-firewall/latest/developerguide/arch-igw-ngw.html - Amazon VPC Pricing (NAT Gateway)
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-comparison.html - AWS Network Firewall 가격 인하 공지 (2026.02)
https://aws.amazon.com/about-aws/whats-new/2026/02/aws-network-firewall-new-price-reduction/
'인프라 > AWS' 카테고리의 다른 글
| EC2 AMI 와 Snapshot 의 차이,, 근데 비용을 곁들인.. (0) | 2023.08.05 |
|---|---|
| AWS S3 URL 다운로드 제한을 IP로 할 수 있을까? (1) | 2023.03.26 |
| AWS Lambda로 RDS 와 외부 인터넷 접근하기 (0) | 2023.02.24 |
| [AWS] Billing 에 관하여.. (0) | 2022.05.17 |
| slowquery log - slack으로 알람 (0) | 2022.04.25 |
- Total
- Today
- Yesterday
- 요금
- 라우터
- Docker
- aws
- Spring Boot
- s3
- 3Way Handshake
- 프로토콜
- 스프링
- 회고
- 삽질
- 개발자
- 네트워크
- spring
- 계층
- 자바
- ec2
- 스위치
- 프로그래머스
- 개발
- SpringBoot
- lambda
- rds
- osi7계층
- dto
- tcp
- 라우팅
- 초보
- 회고록
- java
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |