AWS Site-to-Site VPN은 클라우드와 온프레미스 간 안전한 터널을 구축할 수 있는 주요 수단입니다. 그 중심에 있는 DH Group (Diffie-Hellman Group)은 키 교환 알고리즘의 보안 강도를 결정하는 중요한 설정 요소입니다.
이 글에서는 AWS에서 지원하는 DH Group의 목록과 각각의 암호화 알고리즘, 키 길이, 보안 수준까지 자세히 정리해보겠습니다.
DH Group이란?
Diffie-Hellman Group (DH Group)은 VPN 터널 생성 시, 통신 양측이 공유 비밀 키를 안전하게 교환하기 위해 사용하는 암호 키 교환 알고리즘입니다.
- 숫자가 높을수록 보안 강도가 높고, 계산 부하도 증가합니다.
- Phase 1 (IKE) 및 Phase 2 (IPSec) 양쪽에서 사용되며, 서로 동일한 그룹을 설정해야 연결이 성립됩니다.
AWS Site-to-Site VPN에서 지원하는 DH Group 목록
| 그룹 번호 | 키 길이 / 방식 | 알고리즘 유형 | 지원 단계 | 보안 수준 | 설명 |
|---|---|---|---|---|---|
| 2 | 1024-bit MODP | Modular Exponentiation | Phase 1/2 | 낮음 | 호환성 위해 최소 지원, 보안 취약점 존재 |
| 5 | 1536-bit MODP | Modular Exponentiation | Phase 2 only | 낮음~중간 | Phase 2에서만 사용 가능 |
| 14 | 2048-bit MODP | Modular Exponentiation | Phase 1/2 | 중간 | 기본적으로 권장되는 그룹 |
| 15 | 3072-bit MODP | Modular Exponentiation | Phase 1/2 | 높음 | 계산량은 많지만 보안 강도 우수 |
| 16 | 4096-bit MODP | Modular Exponentiation | Phase 1/2 | 매우 높음 | 고보안 환경 권장 |
| 17 | 224-bit ECP | Elliptic Curve | Phase 1/2 | 높음 | 계산 효율성 우수한 ECC |
| 18 | 256-bit ECP | Elliptic Curve | Phase 1/2 | 매우 높음 | ECC 기반으로 강력한 보안 |
| 19 | 256-bit ECP (NIST) | ECP over P-256 | Phase 1/2 | 매우 높음 | 최신 보안 환경에서 권장 |
| 20 | 384-bit ECP (NIST) | ECP over P-384 | Phase 1/2 | 최고 | 민감한 데이터 보호용 |
| 21 | 521-bit ECP (NIST) | ECP over P-521 | Phase 1/2 | 최고 | 가장 강력한 보안 수준 중 하나 |
| 22 | 1024-bit MODP (Custom Group) | Modular Exponentiation | Phase 1/2 | 낮음~중간 | 특별 환경용 |
| 23 | 2048-bit MODP (Custom Group) | Modular Exponentiation | Phase 1/2 | 중간 | 특별 환경용 |
| 24 | 2048-bit MODP (Custom Group) | Modular Exponentiation | Phase 1/2 | 중간 | 특별 환경용 |
🧠 MODP = Modular Exponentiation,
ECP = Elliptic Curve Prime field
연결 실패 시 확인 포인트
- 양쪽의 DH Group 설정이 일치하는가?
- 장비가 해당 그룹을 지원하는가? (예: Fortinet, Cisco ASA 등)
- Phase 1과 2에서 적절히 분리 설정되었는가?
- VPN 터널이 자주 끊긴다면 보안 수준과 계산 성능의 균형이 맞지 않을 수 있음
추천 설정 예시
| 환경 | 권장 DH Group |
|---|---|
| 일반 기업 환경 | 14, 15 |
| 고보안/금융 환경 | 19, 20, 21 |
| 구형 장비와 연동 | 2 (비권장) |
참고 문서
- AWS VPN 암호화 요구사항 (공식)
- Diffie-Hellman Key Exchange (Cloudflare)
- RFC 3526: More Modular Exponential (MODP) Groups
- RFC 5114: MODP and ECP Groups for IKE and IPSec
마무리
DH Group은 단순한 숫자 설정이 아닌, VPN 보안의 핵심입니다.
높은 보안이 요구되는 환경에서는 ECC 기반(ECP)의 고급 그룹을 사용하고,
성능이나 호환성에 제약이 있다면 Group 14 이상을 기본으로 고려하세요.