1. Bibliotecă
  2. IP 주소
  3. 주소 변환

포트 포워딩의 작동 원리

Actualizat acum 1 lună

당신의 라우터는 단방향 거울입니다. 내부 기기들은 밖을 볼 수 있습니다. 하지만 외부에서는 안을 들여다볼 수 없습니다.

포트 포워딩은 이 거울의 특정 부분을 투명하게 만듭니다. 어느 부분을 투명하게 할지는 당신이 정합니다. 그러면 외부 트래픽이 사설 네트워크 안의 특정 기기에 도달할 수 있게 됩니다. 덕분에 침실에서 게임 서버를 운영하거나, 다른 대륙에서 보안 카메라를 확인하거나, 여행 중에 집 컴퓨터에 원격으로 접속할 수 있습니다.

하지만 투명하다는 건 모두에게 투명하다는 뜻입니다—반갑든 반갑지 않든.

포트 포워딩이 실제로 하는 일

NAT(Network Address Translation)는 수십 개의 기기가 하나의 공인 IP 주소를 공유할 수 있게 해줍니다. 라우터는 각 외부 연결을 시작한 내부 기기를 기억하기 때문에, 응답이 올바른 기기로 돌아올 수 있습니다.

이것은 웹 브라우징, 스트리밍, 다운로드—기기가 먼저 연결을 시작하는 활동들—에는 완벽하게 작동합니다. 하지만 NAT는 단방향입니다. 인터넷에서 아무도 요청하지 않은 트래픽이 들어오면—내부 기기가 먼저 요청하지 않은 연결—라우터는 어디로 보내야 할지 알 수 없습니다. 아무도 이 연결을 요청하지 않았습니다. 패킷은 버려집니다.

포트 포워딩은 이 기본 동작을 재정의하는 상시 규칙을 만듭니다:

  1. 외부 기기가 특정 포트(예: 8080)로 공인 IP에 요청을 보냅니다
  2. 라우터가 포트 포워딩 규칙에서 일치하는 항목을 확인합니다
  3. 규칙이 있으면, 라우터가 패킷을 지정된 내부 기기로 전달합니다
  4. 내부 기기가 응답하면, 라우터가 반대 방향으로 주소를 변환합니다

포트 포워딩이 없으면 2단계에서 일치하는 항목을 찾지 못해 패킷이 버려집니다. 포트 포워딩을 설정하면 라우터에게 이렇게 알려주는 것입니다: "8080 포트의 트래픽은 항상 192.168.1.50으로 보내라."

포트 포워딩의 구조

모든 포트 포워딩 규칙은 세 가지 요소로 이루어집니다:

외부 포트 — 들어오는 연결을 받는 라우터 공인 인터페이스의 포트

내부 IP 주소 — 트래픽을 받을 기기의 사설 IP

내부 포트 — 해당 기기에서 서비스가 수신 대기하는 포트

예시:

외부 포트: 8080 → 내부 IP: 192.168.1.50, 내부 포트: 80

외부 포트와 내부 포트가 반드시 일치할 필요는 없습니다. 이 덕분에 하나의 공인 IP 뒤에 여러 서버를 운영할 수 있습니다:

외부 8080 → 192.168.1.50:80 (개발 서버)
외부 8081 → 192.168.1.51:80 (스테이징 서버)
외부 8082 → 192.168.1.52:80 (운영 서버)

중요: 내부 기기에는 고정 IP가 필요합니다. DHCP가 주소를 바꾸면, 포워딩 규칙이 엉뚱한 곳—또는 아무 곳도 아닌 곳—을 가리키게 됩니다. 대부분의 라우터에서는 MAC 주소를 기반으로 IP를 예약할 수 있습니다.

포트 포워딩이 필요한 경우

게임 서버 — 멀티플레이어 게임을 호스팅하려면 다른 플레이어의 접속 요청을 받아야 합니다.

보안 카메라 — 원격으로 영상을 보려면 외부 트래픽이 카메라 기기에 도달해야 합니다.

홈 서버 — 웹 서버, 파일 서버, Plex, 그 밖에 외부 접근이 필요한 모든 자체 운영 서비스.

원격 데스크톱 — 원격 접속을 위한 RDP(포트 3389), VNC(포트 5900), SSH(포트 22).

P2P 애플리케이션 — BitTorrent와 화상 회의는 릴레이 서버보다 직접 연결에서 더 잘 작동합니다.

공통 패턴: 외부 트래픽이 라우터 안쪽의 기기에 먼저 연결을 시작해야 할 때마다 포트 포워딩이 필요합니다.

보안 트레이드오프

NAT는 기본적으로 요청하지 않은 모든 인바운드 연결을 차단합니다. 네트워크의 공격 표면은 최소화됩니다—의도적으로 노출하지 않는 서비스에 대해서는 사실상 없다고 봐도 됩니다.

포트 포워딩은 이 상황을 바꿉니다. 특정 포트에 대한 외부 연결을 명시적으로 허용하는 것입니다. 해당 포트에서 수신 대기하는 서비스에 취약점이 있다면, 공격자는 인터넷에서 직접 이를 노릴 수 있습니다.

필요한 것만 포워딩하세요. 열린 포트 하나하나가 모두 노출입니다. 더 이상 필요하지 않으면 닫으세요.

서비스를 최신 상태로 유지하세요. 알려진 취약점이 있는 오래된 소프트웨어는 인터넷에 노출되는 순간 위험 요소가 됩니다.

강력한 인증을 사용하세요. 많은 카메라와 IoT 기기는 공개적으로 알려진 기본 자격 증명을 그대로 사용하며, 이는 적극적으로 악용되고 있습니다.

VPN을 고려해 보세요. 파일, 데스크톱, 카메라에 대한 원격 접속이라면 VPN 서버가 더 나은 보안을 제공합니다. VPN 포트 하나만 포워딩하면 나머지는 모두 터널 뒤에 안전하게 보호됩니다.

DMZ 모드는 절대 사용하지 마세요. DMZ는 모든 포트를 단일 기기로 전달하여 NAT의 보호 장벽을 완전히 허물어버립니다.

변화는 근본적입니다: 이제 NAT 뒤에 숨는 것이 아닙니다. 인터넷에 직접 노출된 서비스를 운영하는 것입니다. 그에 맞게 관리하세요.

UPnP: 편의성의 대가

UPnP(Universal Plug and Play)를 사용하면 애플리케이션이 자동으로 포트 포워딩 규칙을 만들 수 있습니다. 게임을 시작하면, 필요한 포트를 열어달라고 라우터에 요청합니다. 라우터는 사용자 개입 없이 알아서 처리합니다.

편의성은 분명합니다. 게이머는 라우터 설정을 건드릴 필요가 없습니다. 화상 회의는 그냥 됩니다.

보안 비용도 분명합니다. UPnP에는 인증이 없습니다. 네트워크에 있는 모든 기기의 포트 포워딩 요청을 신뢰합니다. 네트워크의 기기에 악성코드가 감염되면, UPnP를 이용해 당신도 모르는 사이에 포트를 열고 외부 접근 통로를 만들 수 있습니다—라우터는 정중하게 요청하는 기기라면 무엇이든 따릅니다.

미국 국토안보부는 UPnP를 비활성화할 것을 권고합니다1.

권장 사항: UPnP를 비활성화하세요. 포트 포워딩은 수동으로 설정하세요. 이렇게 하면 무엇이 외부에 노출되는지 직접 통제할 수 있습니다.

흔히 겪는 문제

이중 NAT — 두 라우터가 연속으로 NAT를 수행하는 경우입니다(보통 ISP 게이트웨이와 개인 라우터). 두 곳 모두 설정해야 하기 때문에 포트 포워딩이 제대로 작동하지 않습니다. 해결책: ISP 게이트웨이를 브리지 모드로 전환하여 순수 모뎀으로만 동작하게 합니다.

CGNAT — 일부 ISP는 통신사급 NAT를 사용하여 하나의 공인 IP를 여러 고객이 공유합니다. 이 경우 당신의 "공인" IP는 진짜 공인 IP가 아니며 포트 포워딩이 작동하지 않습니다2. 해결책: ISP에 전용 공인 IP를 요청하거나, 역방향 터널 서비스를 이용하세요.

ISP 포트 차단 — 많은 ISP가 가정용 연결에서 포트 25, 80, 443을 차단합니다. 표준 포트가 작동하지 않으면 비표준 포트(8080, 8443)를 시도해 보세요.

방화벽 충돌 — 대상 기기의 소프트웨어 방화벽이 포트 포워딩 설정이 올바르더라도 연결을 막을 수 있습니다. 해당 포트에 대한 예외 규칙을 추가하세요.

프로토콜 불일치 — 서비스마다 TCP가 필요한 것도 있고, UDP가 필요한 것도 있으며, 둘 다 필요한 것도 있습니다. 게임 서버는 대개 둘 다 필요하고, 웹 서버는 일반적으로 TCP만 필요합니다.

NAT 루프백 — 같은 네트워크 안에서 공인 IP에 연결하는 방식으로는 포트 포워딩을 테스트하기 어렵습니다. 대부분의 라우터가 이를 지원하지 않기 때문입니다. 모바일 네트워크에서 테스트하거나, 온라인 포트 확인 도구를 이용하세요.

결정

포트 포워딩은 무언가를 외부에서 접근 가능하게 만드는 결정입니다.

NAT의 단방향 거울에는 존재 이유가 있습니다. 투명하게 만드는 지점마다 인터넷에서 당신의 사설 공간 안 기기로 통하는 영구적인 경로가 생깁니다. 그 기기는 인터넷 공격에 노출된 표면의 일부가 됩니다.

무엇을 노출하는지 파악하세요. 최신 상태로 유지하세요. 강력한 인증을 사용하세요. 더 이상 필요하지 않은 포트는 닫으세요.

포트 포워딩에 관해 자주 묻는 질문

포트 포워딩은 안전한가요?

포트 포워딩은 도구입니다—안전성은 무엇을 노출하고 어떻게 보안을 유지하느냐에 달려 있습니다. 올바르게 설정되고 정기적으로 업데이트된 서비스에 강력한 인증까지 갖춰져 있다면 안전하게 노출할 수 있습니다. 기본 자격 증명을 그대로 사용하는 오래된 서비스는 공격자를 스스로 초대하는 것과 같습니다.

포트 포워딩과 VPN은 어떻게 다른가요?

포트 포워딩은 특정 서비스를 인터넷에 직접 노출합니다. VPN은 원격 기기가 마치 로컬 네트워크에 있는 것처럼 동작하게 하는 암호화된 터널을 만듭니다. 대부분의 원격 접속 용도에는 VPN이 더 안전합니다. 서비스마다 포트를 하나씩 열어줄 필요 없이 VPN 포트 하나만 노출하면 되기 때문입니다.

같은 네트워크 안에서 포트 포워딩을 테스트할 수 없는 이유는 무엇인가요?

이것을 NAT 루프백 또는 헤어핀 NAT라고 합니다. 내부 네트워크에서 공인 IP에 접속하면, 대부분의 라우터는 트래픽을 내부 기기로 다시 보내는 방법을 알지 못합니다. 외부 네트워크(모바일)에서 테스트하거나 온라인 포트 확인 도구를 사용하세요.

게임을 위해 포트를 포워딩해야 하나요?

클라이언트로 게임을 즐기는 경우라면 보통 필요 없습니다—NAT가 외부로 나가는 연결을 잘 처리합니다. 다른 사람들이 접속하는 게임 서버를 직접 운영하는 경우라면 필요합니다. 일부 게임은 UPnP를 통해 이를 자동으로 처리하지만, 수동 포워딩이 더 안정적이고 안전합니다.

포트를 포워딩했는데 수신 대기하는 서비스가 없으면 어떻게 되나요?

연결 시도가 실패합니다. 라우터는 패킷을 내부 IP로 전달하지만, 해당 포트에서 수신 대기하는 서비스가 없으면 기기가 연결을 거부합니다. 특별히 해롭지는 않지만 포워딩 규칙이 낭비됩니다.

출처

Anterior

CGNAT(캐리어급 NAT)란 무엇인가?

Următor

NAT(네트워크 주소 변환)이란 무엇인가?

A fost utilă această pagină?

😔
🤨
😃