CGNAT(캐리어급 NAT)란 무엇인가?

게임 서버 설정은 완벽합니다. 포트 포워딩도 정확히 구성했습니다. 방화벽 규칙도 모두 설정했습니다. 그런데 아무도 접속을 못 합니다. CGNAT에 온 것을 환영합니다 — 당신과 당신이 사용하고 있다고 생각했던 인터넷 사이에 놓인 보이지 않는 벽입니다.

CGNAT란?

캐리어급 NAT는 라우터가 관여하기도 전에 발생하는 NAT입니다. ISP가 자체 인프라에서 운영하며, 가정 네트워크와 공용 인터넷 사이에 자리합니다. 전통적인 NAT는 라우터에서 작동하며 기기들에 사설 IP를 부여합니다. 반면 CGNAT는 ISP 측에서 작동하며 라우터 자체에 사설 IP를 부여합니다.

이로 인해 NAT444 — 삼중 주소 변환 구조 — 가 만들어집니다. 노트북은 사설 IP(192.168.x.x)를 가집니다. 라우터도 사설 IP(100.64.x.x)를 가집니다. ISP 장비만이 실제 공용 주소를 다룹니다.

라우터는 자신이 공용 IP를 가지고 있다고 생각합니다. 하지만 그렇지 않습니다.

ISP가 CGNAT를 사용하는 이유

IPv4 주소는 몇 년 전에 이미 고갈되었습니다. "부족해지고 있는" 것이 아니라 — 실제로 고갈된 겁니다. 전 세계 주소 풀이 소진되었습니다. 하지만 수십억 개의 새로운 기기들은 계속해서 쏟아지고 있습니다.

CGNAT를 이용하면 ISP는 단 하나의 공용 IP 주소로 수백 명의 고객에게 서비스를 제공할 수 있습니다. 고객 10만 명에게 공용 IP 10만 개가 필요한 대신, 1,000개만으로도 가능해집니다. 이는 단순한 기술적 편의가 아닙니다 — 2차 시장에서 IPv4 주소 한 개에 50달러 이상을 지불해야 하는 상황에서의 경제적 생존입니다.

지금은 거의 어디서나 CGNAT를 볼 수 있습니다:

• 이동통신사: 셀룰러 데이터에서 사실상 보편적으로 사용
• 고정 무선: T-Mobile Home Internet, Verizon 5G Home
• 위성: 스타링크 및 경쟁사들
• 저가 ISP: 비싼 IPv4 블록을 구매하지 않고 성장하려는 모든 곳

숨겨진 주소 공간: 100.64.0.0/10

CGNAT는 기존 사설 주소(10.x.x.x, 192.168.x.x)와 구별되는 자체 IP 범위가 필요했습니다. RFC 6598은 이 목적을 위해 100.64.0.0/10을 지정했습니다 — 100.64.0.0부터 100.127.255.255까지의 주소입니다.

이것을 "공유 주소 공간"이라고 합니다. 공용도 아니고, 그렇다고 완전한 사설도 아닙니다. ISP는 이 주소들을 고객 라우터의 WAN 쪽에 할당합니다. 라우터의 외부 IP가 100.64에서 100.127 사이로 시작한다면, CGNAT 뒤에 있는 것입니다.

RFC는 /10 범위를 지정했는데, 이는 400만 개 이상의 주소에 해당합니다 — 지구상 최대 도시권인 도쿄 수도권을 감당할 수 있는 규모로 설계된 것입니다. CGNAT는 도시권 규모로 운영됩니다.

CGNAT 탐지 방법

WAN IP 확인

라우터에 로그인합니다(대부분 192.168.1.1 또는 192.168.0.1). WAN 또는 인터넷 IP 주소를 찾습니다. 100.64.0.0에서 100.127.255.255 사이에 해당한다면, CGNAT 뒤에 있는 것이 확실합니다.

IP 비교

whatismyip.com에 접속해 공용 IP를 확인합니다. 라우터의 WAN IP와 비교해 보세요. 다르다면? 라우터와 인터넷 사이에 NAT가 하나 더 있는 겁니다.

트레이스라우트 실행

tracert -4 google.com

라우터 이후 처음 몇 개의 홉을 살펴봅니다. 100.64.x.x 주소가 보인다면? ISP의 CGNAT 인프라입니다.

포트 포워딩 테스트

라우터에서 포트 포워딩을 설정합니다. 온라인 포트 검사 도구로 테스트해 보세요. 완벽하게 설정했는데도 포트가 닫혀 있다고 나온다면? CGNAT가 인바운드 연결을 막고 있는 겁니다.

CGNAT가 망가뜨리는 것들

포트 포워딩

고유한 공용 IP가 없습니다. 안정적인 포트 매핑도 없습니다. 라우터의 포트 포워딩 규칙은 로컬에서는 작동하다가 ISP 장비에 이르면 효력을 잃습니다. 수백 명의 고객이 같은 공용 IP와 포트 범위를 나눠 씁니다.

이 때문에 다음이 모두 막힙니다:

• 셀프 호스팅: 웹 서버, 게임 서버, 원격 데스크톱
• P2P: 비트토렌트, 분산 애플리케이션
• 게임: 엄격한 NAT 유형, 로비 호스팅 불가
• 원격 접속: VPN 서버, 외부에서의 SSH
• IoT: 외부 접속이 필요한 스마트 홈 기기

공유 IP 평판

수백에서 수천 명의 낯선 사람들과 공용 IP를 함께 씁니다. 공유 IP의 누군가가 스팸을 뿌리거나 공격을 시작하면, 그 IP 전체가 블랙리스트에 오릅니다.

피해는 모든 사람에게 번집니다:

• 다른 사람의 행동 때문에 웹사이트에서 차단됩니다
• CAPTCHA가 끊임없이 나타납니다
• 이메일 서버가 메시지를 거부합니다
• 서비스들이 집단적으로 속도 제한을 적용합니다

당신의 IP 평판은 집단 처벌과 다름없습니다.

애플리케이션 비호환성

NAT444는 수십 년에 걸쳐 소프트웨어에 내재된 전제들을 무너뜨립니다:

• VPN 프로토콜은 이중 NAT 환경에서 어려움을 겪습니다
• 게임 콘솔은 엄격한 NAT를 감지하고, 다른 플레이어와 연결되지 않습니다
• 화상 통화는 직접 연결 대신 중계 서버를 거쳐 전달됩니다
• 암호화폐 노드는 인바운드 연결을 받을 수 없습니다

로그 요건

CGNAT를 운영하는 ISP는 모든 것을 기록해야 합니다. 모든 연결, 모든 포트, 모든 타임스탬프를요. 수사 기관이 공유 IP까지 남용 행위를 추적했을 때, ISP는 이렇게 답해야 합니다: "그 IP를 사용하던 고객 500명 중 실제로 책임 있는 사람이 누구인지 확인해 드리겠습니다."

로그는 방대하고, 상세하며, 영구적으로 보관됩니다.

해결 방법

전용 공용 IP 요청

일부 ISP는 월 5~15달러에 전용 공용 IP를 제공합니다. CGNAT를 완전히 벗어날 수 있는 방법입니다. ISP의 기업용 플랜을 확인하거나 고객 센터에 문의하세요. 이 옵션이 있다면 적극 활용하세요.

IPv6 사용

ISP가 IPv6를 제공한다면, 가능한 모든 곳에서 활성화하세요. IPv6는 NAT 자체를 없애 버립니다 — 모든 기기가 전역으로 라우팅 가능한 주소를 직접 받습니다. 단, 양쪽 모두 IPv6를 지원해야 하며, 인터넷은 아직 전환 과정 중에 있습니다.

포트 포워딩이 지원되는 VPN

AirVPN이나 Mullvad 같은 서비스는 포트 포워딩을 지원하는 VPN을 제공합니다. VPN이 공용 IP를 부여하고 특정 포트를 연결로 포워딩해 줍니다.

역방향 터널

Tailscale, ZeroTier, Cloudflare Tunnel, Pinggy — 이 도구들은 네트워크에서 서버로 향하는 아웃바운드 연결을 만듭니다. 인바운드 트래픽은 이렇게 구축된 터널을 통해 되돌아옵니다. 연결을 아웃바운드로 시작하기 때문에 CGNAT가 차단하지 못합니다.

VPS를 릴레이로 활용

공용 IP가 있는 월 5달러짜리 VPS를 빌립니다. 가정 네트워크로 트래픽을 전달하는 역방향 프록시로 구성합니다. 완전한 제어권, 완전한 책임.

CGNAT는 계속 확산되고 있습니다

IPv6 도입이 급격히 가속화되지 않는 한, IPv4 부족이 심화될수록 CGNAT는 더욱 광범위하게 퍼질 것입니다. 모바일 네트워크는 거의 100% CGNAT입니다. 고정 무선과 위성 서비스 제공업체는 기본값으로 사용합니다. 케이블과 DSL 제공업체들도 가정용 고객에게 점점 더 많이 적용하고 있습니다.

인터넷은 어떤 컴퓨터든 다른 컴퓨터와 통신할 수 있도록 설계되었습니다. CGNAT는 우리가 IPv4에서는 그 꿈이 끝났음을 인정한 순간입니다.

CGNAT에 관해 자주 묻는 질문

라우터만 봐도 CGNAT 뒤에 있는지 알 수 있나요?

네. 라우터의 WAN IP 주소를 확인하세요. 100.64.0.0–100.127.255.255 범위에 해당하면 CGNAT 뒤에 있는 겁니다. 다른 사설 범위(10.x.x.x 또는 192.168.x.x)라면 ISP 네트워크에서 뭔가 특이한 상황이 발생하고 있는 것입니다. whatismyip.com에 표시된 IP와 일치한다면, 실제 공용 IP를 가진 겁니다.

CGNAT가 인터넷 속도에 영향을 주나요?

직접적으로는 아닙니다. NAT 변환 자체가 추가하는 지연은 무시할 수 있는 수준입니다. 하지만 CGNAT는 느린 것처럼 느껴지는 연결 문제를 일으킬 수 있습니다 — 연결 실패, 타임아웃, 직접 연결 대신 더 느린 중계 서버로의 전환이 그 예입니다.

ISP는 CGNAT 대신 왜 IPv6를 주지 않나요?

많은 ISP가 CGNAT와 함께 IPv6를 제공합니다. 문제는 IPv6가 양쪽 모두 지원해야만 작동한다는 점입니다. ISP가 IPv6를 제공해도, 여전히 가동 중인 수백만 개의 IPv4 전용 서버와 서비스에 연결하는 데는 도움이 되지 않습니다. CGNAT는 인터넷이 서서히 전환되는 동안 IPv4 고갈 문제를 당장 해결하는 방법입니다.

"비즈니스" 플랜에 가입하면 CGNAT에서 벗어날 수 있나요?

많은 경우 그렇습니다. 비즈니스 플랜은 표준 기능이나 저렴한 추가 옵션으로 고정 공용 IP를 포함하는 경우가 많습니다. 실제로 사업을 하지 않더라도, 안정적인 포트 포워딩을 위해 월 1~2만 원 정도의 추가 비용을 내는 것이 충분히 가치 있을 수 있습니다.

출처

• RFC 6598 - IANA-Reserved IPv4 Prefix for Shared Address Space
• One IP Address, Many Users: Detecting CGNAT to Reduce Collateral Effects | Cloudflare