SSH / VNC 가이드
2026년 4월 7일
2026 클라우드 Mac SSH 포트 포워딩 보안 정책: LocalForward, RemoteForward, SOCKS
MacLogin 보안팀
2026년 4월 7일
약 8분 읽기
SSH 포트 포워딩은 임대 Apple Silicon 클라우드 Mac에서 데이터베이스 대시보드, 내부 API, OpenClaw 게이트웨이 워크플로 뒤에 있는 보이지 않는 배관입니다. 동시에 공유 호스트에 실수로 구멍을 내는 가장 빠른 방법이기도 합니다. 이 2026 정책 템플릿은 보안·플랫폼 리드에게 의사결정 매트릭스, 구체적인 sshd_config 레버, 티켓 친화적 승인 경로를 제공해 엔지니어의 속도를 유지하면서 거버넌스를 우회하지 않도록 합니다.
홉 설계는 바스천 대 직접 SSH, 앱별 LocalForward 패턴은 SSH를 통한 OpenClaw 원격 게이트웨이, 포워드를 명명된 신원에 묶으려면 SSH 키 로테이션과 함께 보세요.
문서화된 포워딩 정책이 필요한 경우
- 보안 엔지니어: 빌드 Mac에
5432같은 포트가 갑자기 나타난 이유를 감사인에게 설명해야 할 때. - 플랫폼 리드: HK, JP, KR, SG, US 등에서 MacLogin 노드를 운영하며 계약직과 정규직 액세스가 섞일 때.
- 자동화 소유자:
0.0.0.0에 원시 리스너를 노출하지 않고 CI 웹훅이나 에이전트 게이트웨이를 연결할 때.
포워딩 모드 비교(2026)
| 모드 | 일반적 용도 | 위험 프로필 | 기본 입장 |
|---|---|---|---|
| -L LocalForward | 노트북에서 클라우드 루프백 서비스에 도달 | 중간—잘못된 바인딩이 LAN에 노출될 수 있음 | 티켓과 루프백 대상으로 허용 |
| -R RemoteForward | 노트북 서비스를 클라우드 측에 노출 | 높음—예기치 않은 인바운드 | 서명된 예외가 없으면 거부 |
| -D 동적 SOCKS | Mac을 통한 범용 이그레스 프록시 | 높음—DLP 사각지대 | 시간 제한 비상용만 |
설계 규칙: 포워드가 클라우드 Mac에서
127.0.0.1에서 끝나도록 우선하고, SSH가 아닌 클라이언트가 필요하면 엣지 TLS나 VPN을 추가하세요. HTTPS 경로는 웹훅 TLS 리버스 프록시 패턴을 따르세요.실제로 중요한 sshd 설정
런북에서 임대 호스트 구성 변경이 허용되면 위 매트릭스에 맞춰 다음 OpenSSH 지시어를 정렬하세요.
AllowTcpForwarding: 비상 계정은no. -L 스타일만 원하면local.PermitOpen: 목적지 화이트리스트(예127.0.0.1:18765). 공유 셸에서 인터넷 전체로 열지 마세요.GatewayPorts: 명시적으로 포워드를 게시하지 않는 한no. 임대 Mac에서 공개 바인딩은 드물게 정당화됩니다.
주의: 관리 셸을 닫기 전에 두 번째 세션에서 변경을 검증하세요. 키프얼라이브 문제 해결과 함께 써서 정책 조정이 네트워크 불안정으로 오인되지 않게 하세요.
5단계 승인 런북
- 티켓 필드: 엔지니어 ID, 소스 IP 범위, 대상 host:port, 모드(-L/-R/-D), 시간 창, 비즈니스 오너.
- 위험 표시: 데이터 등급(PII, 시크릿, 공개), 포워드가 기존 ZTNA를 우회하는지 여부.
- 동료 검토: RemoteForward나 SOCKS는 두 번째 플랫폼 엔지니어 ACK 필요.
- 구현: 승인된 포워드는 채팅의 임시 CLI가 아니라
~/.ssh/config블록에 기록. - 자동 만료: 기간 종료 시
Match User절이나 ACL 항목을 제거하도록 캘린더 알림.
FAQ
MacLogin이 sshd 정책을 대신 강제하나요? 신원과 터널 거버넌스는 여전히 고객 책임입니다. 연결 기준선은 도움말을 참고하고, sshd_config는 자체 변경 통제에 두세요.
새 노드는 어디에 두어야 하나요? 특정 리전을 전제로 포워드를 확장하기 전에 요금에서 RTT를 비교하세요.
