[AWS] 폐쇄망에서 Amazon Q Developer 도입 가능한가요? – AWS Support 답변 분석 및 기술적 고려사항
✅ 도입 배경
AI 기반 코딩 도우미인 Amazon Q Developer는 개발자 생산성을 높이는 도구로 각광받고 있습니다.
특히 IDE(예: VSCode)에 플러그인으로 연동되어 자연어 질문을 기반으로 코드 작성, 수정, 설명 등을 제공하죠.
하지만 보안이 중요한 기업 환경, 특히 폐쇄망(Closed Network) 또는 망분리 환경에서는 이러한 도구의 도입이 쉽지 않습니다.
이번 글은 실제 AWS Support로부터 받은 공식 답변을 바탕으로, 폐쇄망 환경에서 Amazon Q Developer 도입 가능 여부를 정리한 내용입니다.
소프트웨어 개발용 생성형 AI 어시스턴트 – Amazon Q Developer – AWS
전체 소프트웨어 개발 수명 주기에 걸쳐 구축을 가속화하기 위해 Amazon Q 에이전트는 기능 구현, 문서화, 테스트, 검토, 코드 리팩터링부터 소프트웨어 업그레이드 수행에 이르기까지 다양한 태
aws.amazon.com
📌 폐쇄망 환경이란?
폐쇄망은 외부 인터넷과의 통신을 차단한 내부 네트워크 환경을 말합니다.
- 대부분 정부기관, 금융사, 보안이 중요한 기업에서 사용
- 외부와의 연결은 엄격한 방화벽, 프록시, 화이트리스트 기반의 예외 설정을 통해 제한적으로만 허용
📋 요약: AWS의 공식 답변 핵심
| 구분 | 내용 |
| ✅ 가능 여부 | 제한적 가능. 단, 일부 엔드포인트는 반드시 인터넷을 통해 접근해야 함 |
| 🔐 인증 방식 | 최초 로그인 시 oidc.region.amazonaws.com 접근 필요 |
| 🔄 토큰 갱신 | 인증 후에도 60분마다 인터넷을 통한 refresh 필요 |
| 📡 엔드포인트 설정 | 일부는 VPC Endpoint로 private 연결 가능, 일부는 인터넷 통신 필수 |
| ❌ 완전 폐쇄망 불가 | 인터넷이 완전히 차단된 환경에서는 초기 인증 및 유지 불가 |
📚 주요 기술 요소 개념 정리
1. eSIM처럼 인증도 '초기 통신'이 필요하다
- Amazon Q Developer는 SSO 기반의 인증 체계를 사용하는데,
- 이 과정에서 oidc.region.amazonaws.com와 같은 OIDC(OpenID Connect) 서버에 접근해야 합니다.
- 해당 URL은 VPC 인터페이스 엔드포인트로 대체 불가능, 반드시 인터넷 통신이 필요합니다.
2. VPC 인터페이스 엔드포인트(AWS PrivateLink)
- 일부 기능(q, codewhisperer 등)은 VPC Endpoint를 통해 private 통신이 가능하지만,
- 인증/토큰 갱신을 포함한 모든 기능이 private으로 해결되는 것은 아닙니다.
3. SSO 인증과 Token Refresh
- 인증 성공 후 생성된 자격 증명은 약 60분 간 유효
- 이후 ~/.aws/sso/cache에 저장된 정보를 통해 refresh 필요
- 인터넷 접근이 안되면 갱신 실패 → 다시 로그인 필요 → 실패 반복
🧪 테스트 결과 공유 (AWS 엔지니어)
"인터넷이 완전히 차단된 EC2에서 VSCode의 Amazon Q Plugin을 테스트한 결과,
인증 실패 및 토큰 갱신 오류가 발생했습니다."
실제 오류 로그 일부:
----------------------------------------
# 인터넷 액세스가 완전히 차단된 환경에서 VSCode의 Amazon Q Plugin 자격증명 과정에서의 에러 로그
2025-04-28 02:46:48.374 [error] API response (oidc.us-east-1.amazonaws.com /client/register): { name: 'TimeoutError' }
2025-04-28 02:46:53.406 [error] API response (oidc.us-east-1.amazonaws.com /client/register): { name: 'TimeoutError' }
2025-04-28 02:46:58.444 [error] API response (oidc.us-east-1.amazonaws.com /client/register): { name: 'TimeoutError' }
2025-04-28 02:46:58.449 [error] ssoSetup encountered an error: Error: Failed to connect to IAM Identity Center [FailedToConnect]
-> TimeoutError: Connection timed out after 5000 ms
2025-04-28 02:46:58.449 [error] webviewId="aws.amazonq.AmazonCommonAuth": Error: Webview error
-> Error: Webview backend command failed: "startCodeWhispererEnterpriseSetup()"
-> Error: Failed to connect to IAM Identity Center [FailedToConnect]
-> TimeoutError: Connection timed out after 5000 ms
----------------------------------------테스트 결론 요약
| 상황 | 결과 |
| 인증 전 인터넷 차단 | 실패 (사용 불가) |
| 인증 후 인터넷 차단 | 일시적 사용 가능 (토큰 만료 전까지) |
| 인증 후 60분 경과 | 갱신 실패 → 사용 중단 |
🔧 폐쇄망 내 도입 시 고려사항
✅ 가능
- 특정 URL만 예외적으로 허용하는 경우
- VPC 내에서 Amazon Q 관련 인터페이스 엔드포인트 구성 가능
- 인증은 인터넷 가능 구간에서 미리 수행 → 이후 제한된 사용 가능
❌ 불가능
- 완전히 인터넷 차단된 망에서 인증, 토큰 갱신 모두 불가
- 보안 규정상 해외 리전(S3 버킷 등)에 접근이 불가한 경우
(Amazon Q Developer 일부 기능은 us-east-1의 AWS S3 리소스를 사용)
📂 관련 문서 링크 (필독)
✍️ 결론: ‘반(半) 폐쇄망’ 수준에서만 활용 가능
Amazon Q Developer는 현대적 개발 환경을 지원하는 강력한 도구이지만,
폐쇄망에서의 완전한 도입은 현재 기준으로 불가능합니다.
- 인증 & 토큰 갱신은 인터넷 필요
- 일부 엔드포인트는 반드시 인터넷 접근 필요
- 보안규정상 외부 접속 불가한 경우 기능 차단 가능성 존재
따라서, 반폐쇄망 환경에서 예외 URL 허용 및 사전 인증 방식으로 제한적 도입은 가능하지만,
완전 폐쇄망 도입은 구조적 한계가 있으므로 대안 또는 별도의 인증 전략 검토가 필요합니다.
📌 추가 제안
- 사내 전용 개발환경에서 Q Developer를 사용하고 싶다면,
- Amazon SageMaker Studio + CodeWhisperer 조합으로 대체 가능성 탐색
- 또는 자체 프록시/미러링 서버 기반 인증 캐싱 구조 검토
🙋 블로그 독자 질문 받습니다!
이 글을 통해 Amazon Q Developer 도입에 대한 실질적 가이드를 얻으셨기를 바랍니다.
추가로 궁금한 점이 있다면 댓글 또는 이메일로 자유롭게 문의 주세요!
인프라 구축 문의
카카오채널 : @브랜드인사이트_
BRANDINSIGHT
안녕하세요, 브랜드인사이트입니다. 부정 동향 파악, 자동화 서비스, 인프라 구축 등을 제공합니다!
pf.kakao.com
공식 홈페이지 : 브랜드인사이트
브랜드인사이트 - AI 기반 브랜드 모니터링 솔루션
AI를 활용한 브랜드의 부정적 동향 파악 솔루션을 제공합니다.
brandinsight.co.kr