우리 집 인터넷이 '이중 NAT'인 이유: CGNAT와 NAT444 완벽 정리

최근 NAS 구축이나 포트포워딩을 설정하다 보면 "분명히 공유기 설정을 맞게 했는데 외부 접속이 안 된다"는 문제를 겪는 분들이 많습니다. 그 핵심 원인인 CGNAT와 NAT444에 대해 정리해 드립니다.

Ⅰ. CGNAT vs NAT444: 개념 차이

두 용어는 실과 바늘 같은 관계지만, 엄밀히 말하면 가리키는 대상이 다릅니다.
 ⅰ. CGNAT (Carrier-Grade NAT): 통신사(ISP)가 운용하는 '대규모 주소 변환 시스템' 그 자체를 말합니다. (기술/장비 중심)
 ⅱ. NAT444: CGNAT가 적용되었을 때 나타나는 '주소 경로의 구조(토폴로지)'를 말합니다. (구조/배치 중심) 

요약하자면: 통신사가 CGNAT라는 기술을 사용하기 때문에, 우리 인터넷망이 NAT444라는 이중 구조를 갖게 되는 것입니다.

Ⅱ. 왜 이런 복잡한 구조를 쓰나요?

이유는 단순합니다. 공인 IPv4 주소가 부족하기 때문입니다.
통신사는 모든 가입자에게 귀한 공인 IP를 1:1로 줄 수 없습니다. 그래서 통신사 내부에 거대한 공유기(CGNAT 게이트웨이)를 두고, 수많은 가입자를 하나의 공인 IP로 묶어서 내보냅니다. 이 과정에서 통신사는 가입자 식별을 위해 RFC 6598에서 정의한 전용 주소 대역인 100.64.0.0/10 (Shared Address Space)을 주로 사용합니다.

Ⅲ. NAT444 구조 분석 (왜 '444'인가?)

NAT444는 데이터가 인터넷에 도달하기까지 사설 IPv4 대역을 3번 거치는 구조를 의미합니다.
첫 번째 4: 가입자 내부망 (예: 내 컴퓨터의 192.168.x.x)
두 번째 4: ISP 내부망 (예: 통신사가 할당한 100.64.x.x)
세 번째 4: 실제 인터넷망 (공인 IPv4)
실제 NAT 변환은 [집 공유기]에서 한 번, [통신사 장비]에서 또 한 번 일어나기 때문에 우리에겐 '이중 NAT' 환경으로 체감됩니다.

Ⅳ. CGNAT 환경에서 발생하는 주요 문제점

 ⅰ. 포트 및 세션 제약: 여러 명이 IP 하나를 나눠 쓰다 보니, 한 사람이 너무 많은 연결(세션)을 만들면 다른 사용자의 연결이 제한될 수 있습니다.
 ⅱ. 상태 유지(State) 부담: 통신사 장비가 수만 명의 매핑 테이블을 관리해야 하므로, 장비 과부하 시 인터넷 품질이 불안정해질 수 있습니다.
 ⅲ. 공유 IP 평판 리스크: 같은 IP를 쓰는 누군가가 차단당하면, 나도 해당 웹사이트나 게임 서버 접속이 막힐 수 있습니다.
 ⅳ. 외부 접속 불가: 외부에서 내 집으로 들어오는 길(Inbound)이 통신사 장비에서 막혀 있어 포트포워딩이 무용지물이 됩니다.

Ⅴ. 사용중인 환경이 CGNAT인지 확인하는 방법

가장 확실한 신호는 공유기의 WAN IP를 확인하는 것입니다.
 ⅰ. IP 대조: 공유기 관리 페이지의 'WAN IP'와 네이버 등에서 검색한 '내 IP'가 다르다면 100%입니다.
 ⅱ. 특수 대역 확인: WAN IP 주소가 100.64.x.x 대역(100.64.0.0/10)이라면 통신사가 CGNAT를 적용 중인 상태입니다.

Ⅵ. 어떻게 해결할 수 있을까?

 ⅰ. 통신사 요청: "CCTV/NAS 사용을 위해 공인 IP가 필요하다"고 요청하면 할당해 주는 경우가 많습니다.(비용 발생 가능)
 ⅱ. IPv6 도입: 주소 부족 문제가 없는 IPv6를 지원하는 장비와 서비스를 사용합니다.
 ⅲ. 터널링/오버레이 기술: Tailscale, ZeroTier, Cloudflare Tunnel 등을 사용하면 '내부에서 밖으로' 터널을 먼저 열기 때문에 CGNAT 환경에서도 포트포워딩 없이 외부 접속이 가능합니다