NAT

NAT(Network Address Translation, 네트워크 주소 변환)은 IP 주소를 변환하는 네트워크 기술이다. 주로 사설 네트워크에 속한 여러 대의 장치가 하나의 공인 IP 주소를 공유하여 인터넷에 접속할 수 있도록 하는 데 사용된다.

이 기술은 1990년대 IPv4 주소의 고갈 문제를 완화하기 위해 널리 보급되었다. NAT 장비(일반적으로 라우터나 방화벽)는 내부 네트워크의 사설 IP 주소를 외부로 나가는 트래픽에서는 공인 IP 주소로 변환하고, 들어오는 응답 트래픽은 다시 적절한 내부 장치로 전달한다. 이를 통해 기업이나 가정에서는 한정된 수의 공인 IP 주소로 다수의 장치를 인터넷에 연결할 수 있다.

NAT는 단순한 주소 변환 기능 외에도 기본적인 보안 장벽 역할을 한다. 외부에서 들어오는 연결 시도가 명시적으로 허용되지 않은 경우 내부 네트워크를 직접 대상으로 할 수 없기 때문이다. 이는 네트워크 주소 보존과 보안이라는 두 가지 주요 요구를 동시에 해결하는 실용적인 솔루션으로 자리 잡았다.

NAT는 사설 네트워크 내부의 IP 주소를 공인 IP 주소로 변환하는 과정을 통해 동작한다. 이 변환은 일반적으로 네트워크의 관문 역할을 하는 라우터나 방화벽 같은 장비에서 수행된다. 내부 호스트가 외부 네트워크(예: 인터넷)로 데이터 패킷을 보낼 때, NAT 장비는 패킷의 출발지 IP 주소와 포트 번호를 변환 테이블에 기록한 후, 사설 주소를 자신이 가진 공인 주소로 변경하여 외부로 전송한다.

주소 변환 과정은 다음과 같은 단계로 이루어진다.

1. 내부 호스트(예: 192.168.1.10)가 외부 서버(예: 203.0.113.5)로 패킷을 전송한다.

2. 패킷이 NAT 장비(공인 IP: 198.51.100.1)에 도착하면, NAT 장비는 출발지 주소(192.168.1.10)를 자신의 공인 주소(198.51.100.1)로 변경한다. 또한, 출발지 포트 번호(예: 30000)를 새로운 포트 번호(예: 50001)로 변경할 수 있다[1]]에서 주로 사용됨].

3. 변환된 정보(원본 사설 IP/포트와 새 공인 IP/포트)는 NAT 테이블(또는 변환 테이블)에 저장된다.

4. 변환된 패킷은 외부 네트워크를 통해 목적지 서버로 정상적으로 전달된다.

외부 서버로부터 응답 패킷이 NAT 장비의 공인 주소(198.51.100.1)와 포트(50001)로 도착하면, NAT 장비는 저장된 NAT 테이블을 조회한다. 테이블에서 매핑 정보를 찾아, 목적지 주소를 공인 주소에서 원래의 사설 주소(192.168.1.10)로, 목적지 포트를 50001에서 30000으로 역변환한다. 이후 이 패킷은 내부 네트워크의 원래 호스트로 정확히 전달된다.

포트 매핑은 특히 여러 내부 호스트가 단일 공인 IP를 공유하는 PAT 방식에서 핵심적이다. 이 경우 NAT 장비는 내부 호스트들을 구분하기 위해 서로 다른 포트 번호를 할당한다. 변환 테이블은 내부 IP 주소와 포트, 그리고 변환된 공인 IP 주소와 포트의 조합으로 구성되어, 들어오는 응답 패킷을 어떤 내부 호스트에게 보내야 하는지 정확히 판단할 수 있게 한다.

NAT는 구현 방식과 목적에 따라 여러 유형으로 구분된다. 주로 사설 IP 주소와 공인 IP 주소를 매핑하는 방식에 따라 Static NAT, Dynamic NAT, 그리고 PAT로 나뉜다.

가장 기본적인 형태인 Static NAT는 사설 IP 주소와 공인 IP 주소를 1:1로 고정적으로 매핑한다. 주로 내부 네트워크에 위치한 서버(예: 웹 서버, 메일 서버)를 외부에 공개해야 할 때 사용된다. 관리자가 수동으로 변환 테이블을 설정해야 하며, 내부 호스트는 항상 동일한 공인 IP를 가지게 된다.

반면 Dynamic NAT는 사설 IP 주소를 미리 설정된 공인 IP 주소 풀에서 동적으로 할당한다. 내부 호스트가 외부로 통신을 시작할 때 사용 가능한 공인 IP를 풀에서 할당받고, 세션이 종료되면 해당 주소는 풀로 반환된다. 이 방식은 제한된 수의 공인 IP로 더 많은 내부 호스트가 순차적으로 외부 접속을 할 수 있게 하지만, 동시 접속 호스트 수는 공인 IP 풀의 크기에 제한을 받는다.

가장 널리 쓰이는 유형은 PAT이며, NAPT라고도 불린다. 이 방식은 여러 사설 IP 주소를 하나의 공인 IP 주소와 포트 번호를 조합하여 구분한다. 내부 호스트의 IP와 포트 번호가 공인 IP와 고유한 포트 번호로 변환된다[3]. 이로 인해 수백, 수천 대의 호스트가 단 하나의 공인 IP로도 인터넷에 접속할 수 있어 IPv4 주소 고갈 문제를 완화하는 데 결정적인 역할을 했다.

NAT는 IPv4 주소 고갈 문제를 완화하는 가장 효과적인 방법 중 하나이다. 하나의 공인 IP 주소를 여러 개의 사설 IP 주소가 공유할 수 있게 함으로써, 인터넷 서비스 제공자로부터 할당받는 공인 주소의 수를 크게 줄일 수 있다. 이는 기업과 가정 네트워크의 비용 절감에 직접적으로 기여한다.

보안 측면에서 NAT는 기본적인 방화벽 역할을 제공한다. 내부 네트워크에 위치한 장치들의 사설 IP 주소는 외부 네트워크에서 직접 보이지 않기 때문에, 외부에서 발신된 불법적인 접속 시도가 내부로 들어오는 것을 원천적으로 차단한다. 이는 네트워크에 대한 무단 스캐닝과 직접적인 공격을 어렵게 만드는 보호층을 형성한다.

또한 NAT를 사용하면 내부 네트워크의 IP 주소 체계를 외부와 독립적으로 유연하게 구성할 수 있다. 예를 들어, 내부에서는 192.168.0.0/24와 같은 사설 대역을 사용하면서도, 인터넷 서비스 제공자를 변경하거나 공인 IP 주소 풀이 바뀌는 경우 내부 네트워크 설정을 전면적으로 변경할 필요가 없다. 이는 네트워크 관리의 편의성과 안정성을 높인다.

NAT는 IPv4 주소 고갈 문제를 완화하고 내부 네트워크를 보호하는 실용적인 해결책이지만, 몇 가지 본질적인 단점과 한계를 지니고 있다.

가장 큰 문제는 엔드투엔드 연결성의 저해이다. NAT 장비는 IP 주소와 포트 번호를 변환하는 중간자의 역할을 하기 때문에, 외부에서 내부 네트워크의 특정 호스트를 직접 식별하여 연결을 시작하는 것이 기본적으로 불가능하다. 이는 P2P 애플리케이션, 화상 회의, 온라인 게임 등 직접 연결이 필요한 서비스의 동작을 복잡하게 만든다. 이를 해결하기 위해 NAT 트래버셜 기술이 개발되었지만, 추가적인 설정이나 중간 서버를 필요로 하며, 모든 상황에서 완벽하게 동작하지는 않는다.

또한, NAT는 특정 프로토콜의 정상적인 동작을 방해할 수 있다. IPsec과 같이 패킷의 무결성을 검증하는 프로토콜은 IP 헤더의 주소 변경을 위조로 간주하여 통신을 차단할 수 있다. FTP의 Active 모드처럼 애플리케이션 데이터 페이로드 내부에 IP 주소 정보를 포함하는 프로토콜들은 NAT 장비가 해당 내용을 추가로 변환해주지 않으면 제대로 작동하지 않는다. 이러한 변환 기능은 ALG에 의해 처리되지만, 모든 프로토콜을 지원하지는 않는다.

성능과 관리 측면에서도 한계가 존재한다. 모든 통신 흐름에 대한 변환 테이블을 유지하고 패킷 헤더를 실시간으로 수정해야 하므로, 처리 지연이 발생하고 장비의 부하가 증가한다. 특히 PAT를 사용하는 경우, 수만 개의 동시 연결을 관리하는 것은 상당한 부담이 된다. 또한, 네트워크 문제를 추적하고 디버깅하는 것이 더 어려워지며, 내부 호스트의 실제 IP 주소가 숨겨져 있어 로그 분석이 복잡해질 수 있다.

NAT 환경은 사설 네트워크의 내부 주소와 포트를 변환하여 외부와의 통신을 가능하게 하지만, 이로 인해 외부에서 내부 네트워크의 특정 호스트로 직접적인 연결을 시도할 때 장벽이 된다. 이러한 제약을 극복하고, P2P 통신, VoIP, 온라인 게임 등 양방향 연결이 필요한 애플리케이션이 정상적으로 동작하도록 돕는 기술들을 총칭하여 NAT 트래버셜(NAT traversal) 기술이라고 한다.

주요 NAT 트래버셜 기술에는 다음과 같은 것들이 있다.

* STUN (Session Traversal Utilities for NAT): 클라이언트가 공용 네트워크 상의 STUN 서버에 문의하여 자신에게 할당된 공인 IP와 포트를 확인한다. 이 정보를 교환하여 상대방과 직접 통신할 수 있는 경로를 탐색한다. 가장 기본적이고 널리 쓰이는 방법이다.

* TURN (Traversal Using Relays around NAT): STUN으로 직접 연결이 불가능한 대칭형 NAT(Symmetric NAT) 같은 엄격한 환경에서 사용된다. 중계 서버를 통해 모든 데이터를 릴레이하므로, 서버 부하와 지연 시간이 증가한다는 단점이 있다.

* ICE (Interactive Connectivity Establishment): STUN과 TURN을 조합하여 최적의 연결 경로를 찾는 프레임워크이다. 먼저 STUN을 이용한 직접 연결(UDP 홀 펀칭)을 시도하고, 실패할 경우 TURN 서버를 통한 릴레이 연결을 백업 경로로 사용하는 방식으로 동작한다.

이러한 기술들은 애플리케이션 계층에서 NAT의 제한을 우회하도록 설계되었다. 또한, UPnP (Universal Plug and Play)나 NAT-PMP (NAT Port Mapping Protocol) 같은 프로토콜은 라우터와 클라이언트가 직접 소통하여 라우터의 NAT 테이블에 필요한 포트 매핑을 자동으로 추가하도록 요청할 수 있다. 그러나 보안상의 이유로 이 기능은 종종 비활성화되어 있다. NAT 트래버셜 기술의 발전은 IPv4 주소 고갈 문제를 배경으로 NAT가 광범위하게 사용되는 환경에서도 원활한 양방향 네트워크 애플리케이션 서비스를 지속 가능하게 하는 데 기여했다.

IPv6의 도입은 IPv4 주소 고갈 문제를 근본적으로 해결하기 위한 방안으로 등장했다. IPv6는 128비트 주소 체계를 사용하여 거의 무한에 가까운 주소 공간을 제공하므로, 주소 부족을 우회하기 위해 개발된 NAT의 존재 이유가 크게 약화되었다. 이론적으로 IPv6 환경에서는 모든 장치가 공인 IP 주소를 가질 수 있어 종단 간 연결이 직접적으로 이루어질 수 있고, NAT가 불필요해지는 것이 이상적인 목표이다.

그러나 현실에서는 IPv6 전환이 점진적으로 이루어지며 IPv4와 IPv6가 공존하는 기간이 길어질 것으로 예상된다. 이러한 과도기에는 듀얼 스택, 터널링, 전환 기술 등이 사용되며, NAT 역시 변형된 형태로 역할을 지속한다. 특히 NAT64는 IPv6 전용 네트워크의 클라이언트가 IPv4 인터넷 자원에 접근할 수 있도록 하는 기술로, IPv6 주소를 IPv4 주소로 변환하는 역할을 한다. 이는 IPv4 주소 보존과 전환 과정을 용이하게 하는 도구로 사용된다.

장기적으로 보면 IPv6의 보편화와 함께 전통적인 NAT의 사용은 줄어들 전망이다. 하지만 네트워크 관리의 편의성, 단순한 방화벽 역할, 또는 사설 네트워크 구성에 대한 관습 때문에 일부 환경에서는 IPv6 내에서도 NAT 유사 기능을 요구하는 경우가 있다. 이에 대해 IETF는 기술적 불필요성과 종단 간 연결 원칙 훼손을 이유로 IPv6에서의 NAT 사용을 권장하지 않는다[4]. 따라서 IPv6 시대의 NAT는 주소 확장이 아닌, 프로토콜 전환과 특정 관리 요구를 충족시키는 제한된 도구로 진화할 가능성이 크다.

• Wikipedia - 네트워크 주소 변환

• Wikipedia - Network address translation

• 나무위키 - NAT

• KISA - NAT(네트워크 주소 변환)란?

• RFC 3022 - Traditional IP Network Address Translator (Traditional NAT)

• RFC 2663 - IP Network Address Translator (NAT) Terminology and Considerations

• Cisco - Network Address Translation (NAT) FAQ

• Microsoft Learn - NAT(네트워크 주소 변환) 정의