NAT 유형을 제대로 이해하면 디바이스가 온라인에서 통신하지 못하는 이유를 파악하는 데 큰 도움이 돼요. 영상 통화가 갑자기 끊기거나, 게임 로비에 접속이 안 되거나, 집에서는 잘 되던 VoIP 앱이 사무실에서 말썽을 부리는 경우 - 이 모든 문제의 근본 원인은 네트워크 주소 변환(NAT)에 있을 가능성이 높아요. NAT가 무엇을 하는지, 왜 여러 유형이 존재하는지, 각 유형이 실제로 어떤 제약을 만드는지 이해하면 불필요한 트러블슈팅 시간을 줄이고 네트워크 설정에 대해 더 현명한 결정을 내릴 수 있어요.
핵심 요약:
- 네트워크 주소 변환(NAT)은 여러 디바이스가 하나의 공인 IP 주소를 공유할 수 있게 해주지만, NAT 유형에 따라 연결 제한이 달라져요.
- 개방형, 보통형, 엄격형 NAT(콘솔 용어로는 Type 1, 2, 3)는 P2P 연결, 게임, 실시간 통신에 직접적인 영향을 미쳐요.
- 이중 NAT - 라우터 두 대를 직렬로 연결하는 구성 - 은 가정이나 소규모 사무실에서 원인을 알 수 없는 연결 오류를 일으키는 흔한 원인이에요.
- 각 NAT 유형에 대한 실질적인 해결 방법이 있어요. UPnP 활성화부터 DMZ 설정, ISP에 고정 IP 요청까지 다양한 방법이 있답니다.
네트워크 주소 변환이란?
인터넷에 연결하는 모든 디바이스에는 IP 주소가 필요해요. 문제는 전 세계 IPv4 주소 풀이 이미 고갈됐다는 거예요. RFC 1918 은 192.168.x.x, 10.x.x.x 같은 사설 IP 주소 범위를 정의해 어떤 로컬 네트워크에서든 재사용할 수 있도록 하는 방식으로 이 문제를 부분적으로 해결했어요. NAT 라우터는 사설 네트워크와 인터넷의 경계에 위치하며, 사설 주소를 ISP가 할당한 단일 공인 IP로 변환해요.
노트북이 웹 서버에 요청을 보낼 때, NAT 라우터는 패킷을 전달하기 전에 출발지 주소를 사설 IP(예: 192.168.1.50)에서 공인 IP로 변환해요. 응답이 돌아오면 라우터는 변환을 역으로 수행해 올바른 디바이스로 데이터를 전달해요. 인터넷 입장에서는 네트워크 내 모든 디바이스가 하나의 머신처럼 보이는 거예요.
이 방식은 우아하고 실용적이지만 한 가지 부작용이 있어요. 외부에서 먼저 시작하는 인바운드 연결의 경우, 라우터가 어떤 내부 디바이스로 보내야 할지 알 수 없다는 거예요. 아무도 요청하지 않은 패킷의 목적지를 라우터가 판단할 방법이 없죠. 바로 이 모호함을 각 NAT 유형이 서로 다른 방식으로 처리해요.
NAT 유형 상세 분석
게임 콘솔 관련 문서를 읽느냐, 네트워킹 이론을 공부하느냐에 따라 용어가 조금씩 다르지만 실제 동작 방식은 명확하게 대응돼요. 주요 NAT 유형이 실제로 어떻게 작동하는지 살펴볼게요.
Full Cone NAT (개방형 NAT / Type 1)
디바이스가 아웃바운드 연결을 한 번 열면, 라우터는 누가 보내든 상관없이 해당 공인 IP와 포트로 들어오는 모든 인바운드 패킷을 허용하는 매핑을 생성해요. 가장 허용 범위가 넓은 유형이에요. P2P 연결, 멀티플레이어 게임, 실시간 앱이 모두 문제없이 작동해요. 라우터 없이 모뎀에 직접 연결하거나 디바이스를 라우터의 DMZ에 배치할 때 흔히 나타나는 유형이에요.
Address-Restricted Cone NAT (보통형 NAT / Type 2)
내부 디바이스가 이미 통신한 적 있는 외부 IP 주소에서 오는 인바운드 패킷만 허용해요. 외부 포트는 상관없어요. 가정용 라우터에서 가장 흔한 NAT 유형으로, 보안과 연결성 사이의 합리적인 균형을 유지해요. 대부분의 온라인 게임과 영상 통화가 잘 작동하지만, 일부 P2P 시나리오에서는 추가 협상이 필요할 수 있어요.
Port-Restricted Cone NAT
내부 디바이스가 이전에 통신한 정확한 IP 주소와 포트 번호에서 오는 인바운드 패킷만 허용해요. Address-Restricted NAT보다 더 엄격한 유형이에요. 실시간 통신 도구는 STUN이나 TURN 릴레이 서버를 사용해 연결을 뚫지 않으면 제대로 작동하지 않을 수 있어요.
Symmetric NAT (엄격형 NAT / Type 3)
각 아웃바운드 연결마다 고유한 외부 포트 매핑이 생성되고, 내부 디바이스가 원래 통신한 정확한 목적지에서 오는 인바운드 패킷만 허용해요. Symmetric NAT 뒤에 있는 두 디바이스는 직접 P2P 연결을 맺을 수 없어요. 기업 방화벽이나 일부 ISP급 장비에서 흔히 볼 수 있는 유형이에요. 가장 안전하지만 실시간 애플리케이션에는 가장 불리해요.
| NAT 유형 | 콘솔 용어 | 인바운드 규칙 | P2P / 게임 |
|---|---|---|---|
| Full Cone | 개방형 / Type 1 | 모든 출발지 허용 | 매우 좋음 |
| Address-Restricted Cone | 보통형 / Type 2 | 알려진 IP만 허용 | 좋음 |
| Port-Restricted Cone | 보통형 / Type 2 | 알려진 IP + 포트만 허용 | 보통 |
| Symmetric | 엄격형 / Type 3 | 정확한 목적지만 허용 | 나쁨 |
포트 주소 변환과 그 역할
포트 주소 변환(PAT)은 NAT와 혼용되는 경우가 많지만 유용한 차이점이 있어요. 기본 NAT가 사설 IP 하나를 공인 IP 하나에 매핑하는 반면, PAT는 각 세션에 고유한 포트 번호를 부여해 여러 사설 IP를 단일 공인 IP에 매핑해요. 라우터가 노트북, 스마트폰, 스마트 TV의 트래픽을 동시에 처리할 때 실제로 PAT가 핵심 역할을 해요.
TV의 Netflix 스트리밍과 노트북의 브라우저 세션이 같은 공인 IP에서 오는 것처럼 보여도 라우터가 둘을 구별할 수 있는 이유가 바로 PAT 덕분이에요. 각 아웃바운드 연결은 변환 테이블에서 고유한 출발지 포트를 할당받아요. 응답이 도착하면 라우터는 목적지 포트를 기준으로 올바른 내부 디바이스에 매칭해요.
이것이 특정 포트 번호에 의존하는 애플리케이션이 NAT 라우터 뒤에서 오작동하는 이유이기도 해요. 두 디바이스가 모두 출발지 포트 5000을 사용하려 하면 라우터는 그 중 하나를 다른 포트로 재매핑해야 하는데, 수신 측 애플리케이션이 고정 포트를 기대하고 있다면 연결이 실패해요. SIP 기반 VoIP나 일부 구형 P2P 프로토콜에서 자주 발생하는 문제예요.
이중 NAT 문제
이중 NAT는 두 라우터가 직렬로 주소 변환을 수행할 때 발생해요. 대표적인 시나리오는 이래요. ISP가 제공하는 모뎀-라우터 복합 장치가 이미 NAT를 수행하고 있는데, 더 나은 Wi-Fi 커버리지나 세밀한 제어를 위해 자체 라우터를 추가로 연결하는 경우예요. 이렇게 되면 네트워크의 모든 디바이스가 인터넷에 도달하기 전에 두 겹의 NAT를 통과하게 돼요.
증상은 미묘하지만 상당히 불편해요. 내부 라우터에 설정한 포트 포워딩 규칙이 아무 효과가 없어요. 외부 라우터가 내부 라우터로 트래픽을 전달해야 한다는 사실을 모르기 때문이에요. UPnP가 일관성 없이 작동할 수 있어요. VPN 클라이언트가 터널 설정에 실패할 수 있어요. 게임 콘솔은 내부 라우터를 올바르게 설정해도 거의 항상 엄격형 또는 보통형 NAT로 표시돼요.
이중 NAT 여부는 라우터 관리자 패널에 표시된 WAN IP 주소와 실제 공인 IP를 비교해서 확인할 수 있어요. 두 값이 다르고 WAN IP가 사설 범위(10.x.x.x, 172.16-31.x.x, 192.168.x.x)에 속한다면 이중 NAT 환경에 있는 거예요. 저희 IP 조회 도구 를 사용해 실제 공인 IP를 확인하고 라우터에 표시된 WAN 주소와 비교해 보세요.
가장 깔끔한 해결책은 ISP 장치를 브리지 모드로 설정해 NAT 기능을 끄고 자체 라우터만 변환을 처리하도록 하는 거예요. ISP가 브리지 모드를 허용하지 않는다면, 내부 라우터를 외부 라우터의 DMZ에 배치해 인터넷으로의 직접 경로를 확보하는 방법도 있어요.
실전 예시 - 라우터 뒤의 게임 콘솔
PlayStation 5를 가정용 라우터에 연결한다고 가정해 볼게요. 라우터의 WAN IP는 203.0.113.45(ISP에서 할당한 실제 공인 IP)이고, 콘솔에는 사설 주소 192.168.1.10이 할당돼요.
멀티플레이어 게임을 실행하면 콘솔은 포트 3478로 198.51.100.22에 있는 게임의 매치메이킹 서버에 접속해요. 라우터는 PAT 항목을 생성해요. 내부 192.168.1.10:49152가 외부 203.0.113.45:49152로 매핑되는 거예요. 매치메이킹 서버가 응답하고 세션이 정상적으로 작동해요. 여기까지는 문제없어요.
이제 게임이 다른 플레이어와 직접 P2P 음성 채팅 연결을 시도해요. 상대방 콘솔이 203.0.113.45:49153으로 직접 패킷을 보내요. 라우터가 Address-Restricted Cone NAT를 사용한다면, 192.168.1.10이 상대방 IP와 이전에 통신한 적이 있는지 확인해요. 매치메이킹 서버가 둘을 연결해 줬다면 통신 기록이 있으므로 연결이 성공해요. 반면 라우터가 Symmetric NAT를 사용한다면, 각 아웃바운드 흐름마다 다른 외부 포트가 할당됐기 때문에 인바운드 패킷이 라우터에 기록이 없는 포트로 도착하게 되고, 라우터는 패킷을 버려요. 음성 채팅이 아무 오류 메시지 없이 실패하는 거예요.
이 경우 해결 방법은 UPnP를 활성화해 콘솔이 일관된 포트 매핑을 요청할 수 있도록 하거나, 콘솔에 고정 사설 IP를 설정하고 포트 포워딩 규칙을 추가하거나, 콘솔을 DMZ에 배치하는 것이에요. 각 방법의 장단점은 다음 섹션에서 다뤄요.
NAT 유형 개선을 위한 실천 방법
올바른 해결책은 구체적인 환경과 연결성을 위해 얼마나 많은 보안을 양보할 수 있는지에 따라 달라져요. 가장 실용적인 방법들을 덜 침습적인 순서로 정리했어요.
1. 라우터에서 UPnP 활성화하기
Universal Plug and Play를 사용하면 애플리케이션이 라우터에 포트 매핑을 자동으로 요청할 수 있어요. 대부분의 소비자용 라우터가 지원해요. 라우터 관리자 패널(보통 192.168.1.1 또는 192.168.0.1)에 로그인해서 고급 설정이나 WAN 설정에서 UPnP 옵션을 찾아 활성화하세요. 그런 다음 NAT 개선이 필요한 디바이스를 재부팅하고 다시 확인해 보세요. UPnP는 편리하지만 신뢰할 수 없는 디바이스가 있는 네트워크에서는 보안 위험이 있으니, 신뢰할 수 있는 가정 네트워크에서만 사용하세요.
2. 정적 포트 포워딩 설정하기
개선하려는 디바이스에 고정 사설 IP를 할당하고(라우터의 DHCP 예약 기능 활용), 필요한 외부 포트를 해당 디바이스의 내부 IP로 매핑하는 포트 포워딩 규칙을 만드세요. 어떤 포트가 열려 있는지 직접 제어할 수 있어 UPnP보다 더 안전해요. 필요한 포트 번호는 해당 애플리케이션의 공식 문서에서 확인하세요.
3. 이중 NAT 해결하기
앞서 설명한 것처럼, ISP 장치를 브리지 모드로 설정하거나 라우터를 ISP 장치의 DMZ에 배치하세요. 네트워크 의존성이 높은 도구를 평가하는 SaaS 구매 담당자라면, 여러 사무실 위치에서 제품이 일관성 없이 작동할 때 이중 NAT를 가장 먼저 확인해 보세요. 잘못된 라우팅 설정으로 인해 IP 주소가 차단 목록에 등록됐는지도 저희 IP 블랙리스트 확인 도구로 점검해 볼 수 있어요.
4. 고정 공인 IP 요청하기
ISP가 주기적으로 변경되는 동적 IP를 할당한다면 일관된 포트 포워딩이 깨질 수 있어요. 고정 공인 IP는 대부분의 ISP에서 소액의 월정액으로 제공하지만, 포트 포워딩을 안정적으로 유지하고 원격 접속 설정을 단순화해줘요. 인바운드 웹훅이나 API 콜백이 필요한 SaaS 도구를 운영하는 기업이라면 충분히 투자할 만한 가치가 있어요.
5. IPv6 도입 고려하기
IPv6는 모든 디바이스에 전 세계적으로 고유한 주소를 부여하기 때문에 NAT가 필요 없어요. IPv6 (RFC 8200) 은 ISP와 운영 체제에서 점점 더 많이 지원되고 있어요. ISP가 IPv6를 제공한다면 라우터에서 활성화해 듀얼 스택 네트워킹을 지원하는 애플리케이션의 NAT 관련 문제를 해결할 수 있어요. 현재 IP 버전과 연결 상태는 저희 IP 주소 도구로 확인해 보세요.
6. NAT 통과 기능을 갖춘 VPN 사용하기
WireGuard를 포함한 일부 VPN 프로토콜은 NAT 통과를 잘 처리하며, 엄격형 NAT 뒤의 디바이스에 더 개방적인 연결 경로를 제공할 수 있어요. 제한적인 NAT 환경의 가정 네트워크에서 기업 네트워크에 접속하는 원격 근무자에게 특히 유용해요. 다만 VPN을 추가하면 레이턴시가 증가하므로 실시간 애플리케이션에는 영향을 미칠 수 있어요. WireGuard 공식 문서 에서 NAT 통과 동작에 대한 자세한 내용을 확인할 수 있어요.
빠른 진단 팁: NAT 외에 IP 주소 자체가 연결 문제를 일으키는지 의심된다면, DNS 기반 차단 목록에 등록됐는지 확인해 보세요. 잘못 설정된 라우터나 ISP 공유 주소가 차단 목록에 올라가는 경우가 있어요. 단계별 해결 방법은 저희 IP 블랙리스트 제거 가이드 를 참고하세요.
마치며
NAT 유형은 단순한 추상적인 네트워킹 개념이 아니에요. 애플리케이션이 안정적으로 연결되는지, P2P 서비스가 얼마나 잘 작동하는지, 포트 포워딩 규칙이 실제로 효과가 있는지에 직접적이고 측정 가능한 영향을 미쳐요. Full Cone, Address-Restricted, Symmetric NAT의 차이를 이해하면 무작위로 라우터 설정을 바꾸는 대신 연결 문제를 체계적으로 진단할 수 있는 구체적인 프레임워크가 생겨요. 이중 NAT 시나리오 하나만으로도 인바운드 연결에 의존하는 SaaS 제품의 지원 티켓 중 상당수가 발생해요. 위의 진단 단계부터 시작해서 어떤 NAT 유형과 토폴로지를 사용하고 있는지 파악한 다음, 무작위로 설정을 변경하는 대신 정확한 해결책을 적용해 보세요.
공인 IP와 연결 정보를 즉시 확인해 보세요
실제 공인 IP 주소를 확인하고, 이중 NAT를 감지하고, 내 네트워크가 인터넷에 어떻게 보이는지 정확히 파악해 보세요 - 모두 무료 도구 하나로 가능해요.
무료 도구 사용해 보기 →
기본 NAT는 사설 IP 하나를 공인 IP 하나에 매핑해요. 포트 주소 변환(PAT)은 각 세션에 고유한 포트 번호를 할당해 여러 사설 IP를 단일 공인 IP에 매핑해요. 대부분의 가정용 라우터는 PAT를 사용하기 때문에 여러 디바이스가 충돌 없이 동시에 하나의 공인 IP를 공유할 수 있어요.
라우터 관리자 패널에 표시된 WAN IP와 실제 공인 IP(IP 조회 도구로 확인)를 비교해 보세요. 라우터의 WAN IP가 공인 IP와 일치하지 않고 사설 주소 범위(10.x.x.x, 172.16-31.x.x, 192.168.x.x)에 속한다면 이중 NAT 환경에 있는 거예요.
UPnP는 애플리케이션이 포트 매핑을 자동으로 요청할 수 있게 해줘서 엄격형 NAT를 보통형이나 개방형으로 바꿀 수 있어요. 단, NAT 레이어가 하나일 때만 효과가 있어요. 이중 NAT 환경이라면 내부 라우터의 UPnP는 도움이 안 돼요. 외부 라우터가 여전히 요청하지 않은 인바운드 트래픽을 차단하기 때문이에요.
Symmetric NAT는 각 아웃바운드 연결마다 고유한 외부 포트를 할당해요. 원격 피어가 관찰한 포트로 다시 연결을 시도하면 라우터에 일치하는 항목이 없어 패킷을 버려요. Symmetric NAT 뒤의 두 디바이스는 서로의 포트 할당을 예측할 수 없기 때문에 릴레이 서버 없이는 직접 P2P 연결이 불가능해요.
IPv6 트래픽에 한해서는 그렇게 볼 수 있어요. IPv6는 모든 디바이스에 전 세계적으로 고유한 주소를 제공해 주소 변환이 필요 없어요. 하지만 대부분의 네트워크는 IPv6와 함께 IPv4 트래픽도 여전히 처리하기 때문에, 대부분의 환경에서 인터넷이 완전히 전환되기까지는 몇 년이 더 걸릴 것으로 보여 IPv4 연결의 NAT 문제는 계속 남아 있어요.