[Network] 인터넷 공유기의 작동원리: NAT(Network Address Translation)

🔊 해당 포스팅은 인프런 강의 널널한개발자님의 외워서 끝내는 네트워크 핵심이론 - 응용 내용을 공부하면서 배운 내용을 저만의 방식으로 재정리하고자 하는 목적 하에 작성되는 포스팅입니다. 아래 포스팅에서 사용되는 모든 자료는 제가 직접 재구성했음을 알립니다.

 

우리의 노트북으로 구글 웹서버에 접속할 수 있는 것은 네트워크 덕분이다

---

이번 포스팅에서는 공유기가 작동되는 원리인 NAT(Network Address Translation)에 대해 알아보고 NAT의 여러 종류와 동작 방식에 대해서도 알아보도록 하자. 그에 앞서서 약간의 사전 지식이 필요한데, 이에 대해서 먼저 짚고 넘어가보자.

1. 공유기의 원리 Overview

요즘 현대인이 거주하는 집에서 흔하게 볼 수 있는 공유기 환경을 생각해보자. 보통은 아래와 같은 구조로 인터넷이 연결되어 있을 것이다.

 

보통 집에서 인터넷을 연결할 때의 환경

 

대부분의 집에는 보통 IP-TV 라고 불리는 셋탑박스가 있다. 이것이 바로 우리가 월마다 약 2만원 가량의 돈을 지불하면서 이용하는 인터넷이다. 우리나라에는 인터넷을 제공하는 업체(ISP)가 여러가지 있지만 여기서는 대표적으로 SKT, LG, KT로 예시를 들었다. 인터넷 설치기사 분께서 오셔서 셋탑박스를 설치해주신 뒤 개인이 공유기(대표적으로 iptime의 공유기 제품)를 구매한다. 공유기가 도착하면 셋탑박스와 유선으로 연결한 뒤, 그 인터넷 와이파이를 사용할 기기들(핸드폰, 노트북, 아이패드 등..)과는 무선으로 연결하는게 보통이다.

 

위 구조에서 우리는 앞으로 공유기라는 장치가 동작하는 원리에 대해서 알아보려고 한다. 공유기는 NAT라는 기술이 적용된 장치다. NAT는 Network Address Translation의 줄임말로, 여기서 Network Address는 호스트 식별자인 IP 주소와 포트 번호를 의미하고, Translation은 변환 또는 조작을 의미한다. 이 두 단어의 의미를 합쳐보자. 바로 IP 주소와 포트 번호를 변환하는 기술이 NAT라는 셈이다.

 

이제 아래 그림을 보면서 좀 구체적으로 살펴보자.

 

우리는 공유기를 통해서 어떻게 인터넷에 접근할까?

 

위 그림에서 NAT GW(게이트웨이)는 iptime과 같은 공유기를 의미한다. 그리고 위 그림에서 PC 1,2,3의 IP 주소가 모두 Private IP 주소(이른바 사설 IP 주소)라고 명시되어 있다. IP 주소에는 Public IP 주소(이른바 Global 또는 공인 IP 주소)와 Private IP 주소가 존재하는데, Public 주소는 인터넷에서 통용되는 즉, 인터넷에 접근할 수 있는 주소인 반면 Private 주소는 인터넷에서는 인지할 수 없어 인터넷 접속이 불가능한 주소이다. 이 사실을 인지하고 아래 내용을 좀 더 읽어나가보자.

 

그림에서 PC 1,2,3은 공유기에 연결되어 있는 상태이다. 이와 같은 환경에서 PC 1,2,3이 인터넷에 접속하려고 한다. 방금 Private IP 주소로는 인터넷에 접근을 할 수가 없다고 했는데, 이 PC 1,2,3을 어떤 기술을 통해 인터넷에 접근할 수 있도록 한다.  여기서의 '어떤 기술'이 바로 공유기의 NAT 기술이다.

 

공유기도 일종의 컴퓨터 서버이기 때문에 IP 주소가 할당된다. 물론 PC 1,2,3과 다르게 Private IP 주소 뿐만 아니라 Public IP 주소도 부여된다. 이 때, Public IP 주소가 부여될 수 있는 이유는 아까 위에서 본 것처럼 공유기와 IP-TV가 연결되어 있다고 했기 때문이다. 다시 아래 그림을 보자.

(참고로 IP-TV 셋탑박스를 공유기와 연결하게 되면 Public IP 주소는 공유기에만 할당이 되고, IP-TV 셋탑박스에는 Private IP 주소만 할당되게 된다. 이 때, IP-TV 셋탑박스에 부여된 Private IP 주소는 공유기의 Private IP 주소와는 서로 다른 주소값이다.)

 

공유기도 IP 주소가 존재한다

 

공유기에 Public IP 주소가 부여된다는 사실을 알았다. 이 때 눈치 빠르신 분들은 PC 1,2,3이 인터넷에 접근할 수 있는 이유에 대해서 대략적으로 추측하고 계실 수도 있겠다. 공유기는 PC 1,2,3의 Private IP 주소를 (공유기에게 부여된)Public IP 주소로 변환(Translation)하는 작업을 하기 때문에 PC 1,2,3이 결국 공유기 덕분에 인터넷에 접근할 수 있게 되는 것이다.

 

이것이 공유기를 작동시키는 원리인 NAT에 대한 개략적인 설명이다. 나머지 포스팅에서는 NAT의 여러가지 종류에 대해 소개하고 구체적인 동작 방식을 알아본다.

2. 연결을 할 때마다 매번 포트를 지정하자 : Symmetric NAT

NAT 기술은 위 그림의 PC 1,2,3 같은 장치들에 대해서 '외부 포트 지정'을 하게되는 것이고, 이 때 '무슨 단위'로 외부 포트를 지정할지에 따라 NAT 종류가 여러가지로 나뉜다. 이번에 배울 NAT 종류는 TCP 연결(세션) 마다 외부 포트를 지정하는 Symmetric NAT이다.

 

이제 Symmetric NAT의 동작 방식을 구체적으로 이해해보자. 앞으로 두 가지 상황을 순차적으로 예로 들면서 살펴볼 것이다. 하나는 아웃바운드(Outbound) 통신, 다음은 인바운드(Inbound) 통신이다. 아웃바운드 통신은 내부에서 (인터넷이 있는) 외부로의 통신을, 인바운드 통신은 외부에서 내부로의 통신을 의미한다.

 

아웃바운드 통신과 인바운드 통신의 의미

2-1. Symmetric NAT의 아웃바운드 통신

먼저 PC3이 인터넷을 통해서 구글 웹서버로 접속하는 아웃바운드 통신의 상황을 가정해보자.(참고로 직관적인 이해를 위해서 구글 웹서버에 연결되어 있는 NAT GW는 없다고 가정)

 

PC3에서 구글 웹서버로 아웃바운드 통신

 

PC3, NAT GW(공유기), 구글 웹서버의 IP 주소와 포트번호는 위 그림과 같다. 우선 [PC3 → 공유기]로 통신할 때의 패킷 헤더에 담긴 출발지, 도착지 정보를 보면 출발지에는 PC3의 주소가, 도착지에는 구글 웹서버의 주소가 담겨있다. 패킷이 공유기에 도달한 후, 인터넷으로 요청을 보내는 순간 내부에서 외부로 나가는 아웃바운드 통신이 발생한다. 이 때의 순간을 트리거로 하여 공유기는 해당 패킷에 대해서 NAT를 수행한다. 

 

NAT가 수행된 뒤의 패킷에 담겨 있는 헤더 정보를 살펴보자. 도착지는 그대로이지만 출발지에서는 공유기의 Public IP 주소와 포트번호로 바뀐 것을 볼 수 있다. 이제 Public IP 주소로 바뀌었기 때문에 인터넷으로 접근이 가능해지고 결국 구글 웹서버로의 접근이 가능해진다. NAT를 수행할 때는 공유기가 직접 External Port 번호를 지정한다. 이 External Port 번호는 PC3의 포트번호와 바인딩된다고 이해하면 쉽다. 그래서 PC3은 공유기의 External Port를 통해서 인터넷에 접근이 가능해진다. 참고로 Symmetric NAT에서 External Port 번호는 매번 랜덤으로 지정된다. 그로 인해 Symmetric NAT를 사용하는 네트워크는 보안성이 강화되는 이점이 있다.

 

여기서 주목할 점은 구글 웹서버 관점에서 해당 패킷을 보고 자신에게 요청을 보낸 호스트를 PC3이 아닌 공유기로 인지를 한다는 점이다. 왜냐하면 구글 웹서버에 도달한 패킷에 있는 출발지 정보에 있는 IP 주소는 공유기의 Public IP 주소이기 때문이다. 반대로 PC3의 관점에서는 자신의 Private IP 주소와 포트번호로 구글 웹서버와 연결되어 있다고 착각하게 된다. 실질적으로 구글 웹서버에 연결된 호스트는 PC3과 연결되어 있는 공유기인데 말이다.

 

다시 NAT로 돌아와서, 공유기를 거쳐감에 따라 패킷의 정보가 NAT에 의해서 변환된다고 했다. 이렇게 변환이 계속 이루어질 때마다 공유기는 변환 이력들을 관리한다. 이력들을 관리하기 위해 NAT 테이블이라는 것을 이용하는데, NAT 테이블이란 공유기 메모리에 저장되어 있는 일종의 데이터베이스 같은 자료구조이다. 이 자료구조를 활용해서 NAT가 이루어지는 이력을 관리하게 된다.

 

공유기는 아웃바운드 통신이 발생할 때 공유기는 NAT 테이블에 변환 이력을 추가해 기록한다. 그리고 이 NAT 테이블은 아래에서 배울 인바운드 통신 때 활용된다는 점도 참고해두자.

 

파란색 점선 부분에 주목!

 

이렇게 해서 아웃바운드 통신에서의 NAT 동작 방법을 살펴보았다.

2-2. Symmetric NAT의 인바운드 통신

다음은 이제 구글 웹서버가 PC3에게 응답을 보내줘야 하는 인바운드 통신일 때를 살펴보자.

 

구글 웹서버에서 PC3으로의 인바운드 통신

 

먼저 구글 웹서버에서 보낸 패킷 내의 헤더 정보를 보면 출발지에는 구글 웹서버 주소가 있고 도착지에는 공유기의 주소가 적혀져 있다. 그리고 해당 패킷이 공유기에 도달하는 시점 즉, 인바운드 시점에 해당 패킷에 들어있는 출발지, 도착지 정보를 가지고 공유기 내의 NAT 테이블에서 Local 즉, 실질적인 도착지인 PC3의 Private IP 주소와 Port 번호를 알아낸다. 이렇게 알아낸 정보를 공유기는 패킷 내의 출발지, 도착지 주소에 반영하여 업데이트한다. 이렇게 하면 최종적으로 PC3에 구글 웹서버에서 보낸 데이터를 잘 전달할 수 있게 된다.이것이 바로 인바운드 통신에서의 Symmetric NAT의 동작 방식이다.

 

Symmetric NAT 내용을 마무리하기 전에 아웃바운드 통신일 때, 구글 웹서버의 관점에서 알아두어야 할 점이 있다. 잠시 아웃바운드 통신일 때의 그림을 가져와보자.

 

PC 2,3이 구글 웹서버에 접속할 경우

 

만약 PC 2,3이 구글 웹서버에 각각 한번씩 접속했을 때, 구글 웹서버 관점에서는 서로 다른 컴퓨터에서 한 번씩 요청을 한 것이라고 인식할 수 있을까? 정답은 없다이다. 왜냐하면 PC 2,3이 서로 다른 Private IP 주소를 갖고 있을지라도 공유기인 NAT GW를 거치고 나면 모두 공유기의 Public IP 주소로 변환된 후 구글 웹서버에 요청되기 때문이다. 다시 말해, 구글 웹서버 관점에서는 3.3.3.3 이라는 호스트 한 대가 연속해서 두 번 요청한 것으로 인지하게 된다는 것이다.

3. 고정 포트번호로 다른 호스트도 접근할 수 있도록 하자: Full Cone NAT

다음으로 알아볼 NAT 구조는 Full Cone NAT 구조이다. Full Cone NAT에 대해서 한 마디로 정의하면 "로컬 호스트의 IP주소와 포트를 External Port와 1:1 매핑을 해서 NAT 테이블에 기록" 하는 구조이다. 당연히(?) 이해가 안될 것이니.. 차근차근 이해해보자. 아래와 같이 이번에는 PC 3 과 PC A 간에 인터넷을 통한 통신을 한다고 해보자.

 

PC 3과 PC A 간에 통신을 한다고 가정

 

PC 3과 NAT GW, PC A에 대한 IP 주소 및 포트 번호는 위 그림에 명시된 바와 같다. 이제 [PC 3 → PC A]로 아웃바운드 통신을 수행한다. 아웃바운드 시점을 트리거로 하여 패킷에 있는 출발지 정보가 NAT GW 정보로 변환되고, NAT 테이블에는 변환 이력이 추가된다. 여기서 주목할 부분은 NAT 테이블에 추가된 이력이다. 

 

위에서 알아본 Symmetric NAT와 달리 여기에서는 NAT 테이블의 Remote IP와 Remote Port 항목에 'Any' 라는 키워드가 적혀져 있음을 볼 수 있다. 이 Any 키워드가 의미하는 바는 인바운드 통신이 일어날 때, 다른 호스트들도 PC 3으로의 접근이 가능함을 의미하는 것이다. 아래처럼 말이다.

 

PC 3이 PC A에게 아웃바운드 통신한 후, [PC B와 C → PC 3] 으로 인바운드 통신이 가능하다

 

위처럼 PC B,C는 PC 3과 통신한 적이 없지만, PC A가 PC 3의 요청을 받은 이력이 있기 때문에 NAT 테이블에 이력이 이미 기록되어 있고, 이 때문에 PC B, C가 해당 이력을 활용해서 PC 3으로의 접근이 가능해진다. 이렇게 다른 호스트에서도 접근할 수 있도록 하기 위해서 NAT 테이블에 Remote IP, Remote Port 항목에 '어떠한 것이든'을 의미하는 Any 키워드가 존재하는 것이다.

 

그리고 Symmetric NAT 와는 다른 점이 또 하나 있는데, NAT 테이블 속 External Port 항목에 '고정' 이라고 표시된 부분이다. 방금 PC 3과 통신한 적이 없는 PC B, C도 PC 3로의 접근이 가능하다고 했다. 그런데 [PC B 또는 C → PC 3]로의 접근을 수행할 때, 한 가지 더 필요한 정보가 있다. 바로 Local Port 번호를 알아내기 위해 Local Port 번호와 바인딩 되어 있는 공유기의 포트번호 즉, External Port 항목이다. 이 항목을 PC A가 PC B,C에게 다음과 같이 알려주는 셈이다.

PC A : "너네 PC 3이랑 통신하려고 하지? 내가 PC 3이랑 통신해본 적이 있어서 아는데, PC 3의 포트번호는 5000번이야. 반드시 그곳으로 접근해야 해"

 

이러한 이유 때문에 위에서 Full Cone NAT를 정의할 때 "로컬 호스트의 IP주소와 포트를 External Port와 1:1 매핑"을 한다고 한 것이다. 만약 [PC 3 → PC A]로 (아웃바운드)통신이 진행되고 난 뒤, [PC B → PC 3]으로 (인바운드)통신을 수행한다고 하면 다음과 같은 동작이 수행된다.

 

PC B가 공유기의 NAT 테이블을 참고해 PC 3으로 접근이 가능해진다

4. IP 주소 제한으로 다른 호스트들의 접근을 막자 : IP Restricted Cone NAT

다음으로 살펴볼 NAT 구조는 Restricted Cone NAT 구조 종류 중 하나인 IP Restricted Cone NAT 구조이다. 먼저 Restricted Cone NAT에 대한 이해가 먼저 필요하다.

 

위에서 Full Cone NAT 구조에서는 NAT 테이블에 Remote IP, Remote Port에 Any 값을 남김으로써 통신한 적이 없는 다른 원격 호스트들도 로컬 호스트에 접근할 수 있도록 할 수 있다는 것을 배웠다. 하지만 이러한 특성은 악의를 갖고 접근하는 호스트들도 접근할 수 있도록 하는 취약점이 생긴다. 그래서 이를 막기 위해 원격 호스트들에 대해 일종의 제한(Restriction)을 두는 것인데, 이렇게 Full Cone NAT 구조에 제한을 둔 것이 Restricted Cone NAT 구조이고, 제한을 두는 대상이 IP 주소만인지, 아니면 IP 주소와 Port 번호까지인지에 따라 IP Restricted Cone NAT와 Port Restricted Cone NAT로 나뉜다. 먼저 살펴볼 것은 IP Restricted Cone NAT 구조이다.

 

Full Cone NAT에서 살펴보았을 때랑 비슷한 그림을 다시 보자. 공유기를 통한 연결 상황은 아래와 같다.

 

PC 3과 PC A가 통신을 했다

 

[PC 3 → PC A]로의 아웃바운드 통신을 수행했다. 그러면 NAT 테이블에 위와 같은 변환 이력이 추가된다. 이 때, Full Cone NAT 때와는 달리 이번에는 Remote IP 값이 고정되고, Remote Port 값만 Any 키워드가 할당되었다. 그런 다음 인바운드 통신일 때의 아래 그림을 보자.

 

PC B는 PC 3에 접근 할 수 있지만, PC C는 불가능하다. 이유가 뭘까?

 

인바운드 통신을 할 때는 PC A가 아닌 PC B, PC C가 접근을 수행하려고 한다. 이 때, PC B는 PC 3에 접근이 가능하지만, PC C는 불가능하다. 왜냐하면 PC C의 IP 주소는 7.7.7.7이기 때문에, PC C가 접근을 할 때, 공유기는 NAT 테이블에서 Remote IP 값이 7.7.7.7인 것과 매핑되는 Local IP, Local Port를 찾을 수 없기 때문이다. 

 

정리해보자면, 아웃바운드 통신인 [PC 3 → PC A]로의 접근이 수행되면서 NAT 테이블에 이력이 추가되었다. 이 때, Remote IP에 추가되는 부분은 PC A의 호스트 주소 5.5.5.5가 기록된다. 이렇게 됨에 따라 앞으로 PC 3으로의 접근을 수행하는 다른 호스트들의 IP 주소는 모두 5.5.5.5이어야만 한다. 그래서 위 그림에서 PC B는 PC 3으로의 접근이 가능하지만 PC C는 불가능하다. 왜냐하면 PC C의 IP 주소는 5.5.5.5가 아닌 7.7.7.7이기 때문이다.

5. Port 번호까지 모두 제한으로 다른 호스트들의 접근을 막자 : Port Restricted Cone NAT

이번엔 IP 주소 뿐만 아니라 Port 번호까지 모두 제한으로 두어 다른 포트를 갖고 있는 호스트들의 접근을 막도록 하는 Port Restricted NAT에 대해 배워보자. 다시 예시 그림을 보자. 먼저 [PC 3 → PC A]로의 아웃바운드 통신을 수행했다고 가정해보자. 그러면 NAT 테이블의 이력이 아래처럼 추가된다.

 

PC 3 → PC A로 통신을 수행

 

NAT 테이블에 위와 같이 이력이 추가가되는데, 이번엔 Remote Port 번호까지 PC A의 Port 번호로 지정되는 것을 볼 수 있다. 만약 이럴 경우, 위에서 살펴본 IP Restriced Cone NAT 처럼 PC 3과 통신한 적은 없지만 PC A와 동일한 IP 주소(5.5.5.5)를 갖고 있다는 이유만으로 [PC B → PC 3]으로의 접근이 가능했던 것이 Port Restriced Cone NAT에서는 불가능하다. 왜냐하면 PC B는 포트번호가 8081이지만 NAT 테이블의 Remote Port 항목은 8080이기 때문이다.

 

그러면 [PC B → PC 3]으로 접근을 가능하게 하려면 어떻게 해야할까? 일단 [PC 3 → PC B]로의 아웃바운드 통신이 먼저 선행되어야 한다. 참고로 NAT 테이블에 이력이 추가될 때는 아웃바운드 통신일 때 밖에 없다. 절대 인바운드 통신일 때는 NAT 테이블에 이력이 추가되지 않는다. 

 

PC 3 → PC B로의 아웃바운드 통신 수행

 

그러면 위처럼 NAT 테이블에 이력이 추가가 된다. 주목할 점은 External Port 부분이다. External Port 부분이 고정됨으로써 인바운드 통신 시, PC A와 B는 결국, 동일한 서버인 PC 3에 함께 접근을 할 수 있게 된다. 

 

만약 새로운 호스트 간에 통신이 추가되면 어떻게 될까? 예를 들어, PC 3과 동일한 기능을 하지만 별도의 서버를 새로 생성해 운영하고 있다고 해보자. 이를 PC 2라고 가정하겠다. 그리고 원격 호스트 측에서도 PC 2에서 접근하기 위한 서버 PC C가 새로 만들어졌다고 해보자. PC 2와 C가 추가되었을 때 아웃바운드 통신 시의 그림은 아래와 같다.

 

PC 2 → PC C로의 아웃바운드 통신 수행

 

NAT 테이블에 이력이 추가된 사항을 보자. 원격 호스트인 PC C의 IP 주소와 포트 번호가 명시되며 주목할 점은 External Port는 여전히 동일하게 5000번 포트라는 것이다. 이런 식으로 서로 다른 호스트 간에 통신이 추가되더라도 Port Restricted NAT 구조에서는 NAT 테이블이 위처럼 관리가 된다.

 

여기서 헷갈릴 수 있는 점은 위에서 배웠던 Symmetric NAT 와 Port Restricted NAT 구조의 차이점이다. 어떤 점이 다를까? 바로 External Port 번호가 고정되는지 여부이다. 방금까지 배운 Port Restricted NAT 구조에서는 서로 다른 호스트간에 통신이 추가되더라도 External Port 번호가 고정되어 NAT 테이블에 추가된다고 배웠다. 하지만 Symmetric NAT 구조에서는 TCP 연결을 수행할 때마다 새로운 External Port 번호가 지정된다. 그래서 Symmetric NAT 구조를 설명할 때 "Symmetric NAT 구조란, TCP 연결(세션) 마다 외부 포트를 지정하는 구조다" 라고 한 것이다.

 

그렇다면 이 차이점이 어떤 특징을 만들어내는 걸까? 먼저 Symmetric NAT 구조에서는 TCP 연결 마다 새로운 External Port 번호를 랜덤으로 생성하기 때문에 원격 호스트 측에서 External Port 번호를 예측할 수가 없게 된다. 예측할 수 없다라는 것은 곧 보안성이 강화된다는 의미이다. 반면에 Port Restricted NAT 구조에서는 고정된 External Port 번호만을 활용하기 때문에 원격 호스트 측에서 예측할 수 있게 된다. 그래서 예측이 가능한 만큼 네트워크 데이터를 분석하거나 모니터링할 때 용이할 수 있지만 보안성은 약화된다.

6. NAT를 직접 수정하자 : 포트 포워딩

한 가지 상황을 예로 들어보자. 만약에 내가 우리집 공유기에 연결된 노트북에서 웹서버를 띄웠다고 가정해보자. 그런 다음 친구한테 내 웹서버에 접속하라고 내 Private IP 주소와 웹서버에 개방한 포트번호를 알려주어서 접속하라고 해보았다. 그럼 접속이 가능할까?

 

'나'가 로컬에서 띄운 웹서버에 '친구'가 접속할 수 있을까?

 

당연히 안될 것이다. 왜냐하면 친구가 접속하려는 192.168.0.10 이라는 IP 주소는 인터넷에서선 인식하지 못하는 내 Private IP 주소이기 때문이다. 보통 이것을 해결하기 위해서는 AWS나 GCP와 같은 클라우드 인스턴스에 내 웹서버를 띄우고, 해당인스턴스에 Public IP 주소를 할당받는 등의 과정을 거치지만, 그런 과정을 거치지 않고 단순히 내 노트북에 웹서버를 로컬에 띄워놓은 상태에서 친구가 나의 웹서버에 접근이 가능하게 하도록 할 수가 있다. 바로 공유기에서 포트 포워딩을 활용하는 것이다.

 

흔히 집에서 사용하는 공유기인 iptime 설정 화면을 보면 아래와 같이 NAT/라우터 관리 항목에서 포트 포워드 설정이라는 항목이 있다.

 

iptime 설정 페이지

 

화면을 보면 규칙이라는 것을 추가할 수 있고, 규칙을 추가할 때 설정하는 값으로 내부 IP, 내부 포트, 외부 포트가 존재한다. 이 각 항목이 NAT 테이블에서의 어떤 항목과 매칭되는지 보자. 먼저 내부 IP는 Local IP(Private IP)를 의미한다. 내부 포트는 Local Port 번호를 의미한다. 마지막으로 외부 포트는 External Port(공유기의 Port 번호)를 의미한다. 이렇게 3가지 항목을 사용자가 수동으로 추가한 뒤, 내 공유기의 Public IP 주소와 External Port 번호를 다른 사람에게 알려주면 다른 사람은 그 정보로 나의 웹서버에 접근이 가능하다.

 

예시를 들어서 이해해보자. 위에서 이야기한 친구가 내가 로컬에 띄운 웹서버에 접속하는 그림을 다시 보자.

 

'나'가 로컬에서 띄운 웹서버에 '친구'가 접속할 수 있을까?

 

위와 같은 구조일 때, 현재 '친구'는 내 웹서버로 접속하기 위해 내 Private IP 주소와 Local 포트 번호를 입력하고 있다. 이렇게 하면 접속이 불가능하다. 이를 해결하기 위해 먼저 '나'에게 연결된 NAT GW인 공유기의 설정 페이지에 아래와 같은 포트 포워딩 규칙을 추가해보자.

 

my-webserver 라는 규칙을 추가

 

위 사진에서 추가한 규칙인 my-webserver 정보를 보자. 내부 IP는 '나'가 띄운 웹서버 호스트의 Private IP 주소가 된다. 그리고 외부 포트는 '나'가 띄운 웹서버 호스트와 연결되어 있는 공유기(NAT GW)의 포트번호인 External Port 번호가 된다. 마지막으로 내부 포트는 '나'가 띄운 웹서버의 포트번호를 의미한다. 이렇게 규칙을 입력한 후, 내 웹서버에 접속할 '친구'에게 위 규칙에 대한 정보를 아래처럼 알려주면 된다.

내 노트북에 띄워져 있는 웹서버와 연결되어 있는 공유기의 Public IP 주소는 3.3.3.3이야. 그리고 내 웹서버와 바인딩 되어 있는 공유기 포트 번호(External 포트 번호)는 5000번이야. 그러니까 네가 내 웹서버에 접속할 때 해당 정보들을 이용해서 URL을 구성해서 요청하렴!

 

위처럼 친구에게 이야기해주면 친구는 자신의 웹브라우저에 아래처럼 IP 주소와 포트번호를 구성해서 요청을 하면 내 노트북에서 띄운 웹서버에 접속할 수 있게 된다.

 

친구는 내 공유기의 Public IP 주소와 External Port 번호를 알고 있어야만 한다!

 

7. 포트 포워딩을 자동화하자 : UPnP(Universal Plugin and Play)

직전 목차에서 포트 포워딩 규칙을 수기로 추가해서 NAT 테이블을 변경함으로써 P2P 통신을 가능하게 할 수 있다는 것을 배웠다. 하지만 이런 방법을 활용해서 P2P 통신을 하기 위해서는 반드시 통신하려는 상대의 공유기에 대한 IP 주소와 외부 포트 번호를 반드시 알아내야 한다는 한계점이 있다. 만약 게임이나 토렌트와 같이 통신하는 상대방이 일관적이지 않고 매번 바뀌는 경우라면 위와 같은 방법이 적절하지 못할 것이다. 그런데 우리는 수기로 포트 포워딩을 하지 않고도 집에 있는 데스크탑 또는 노트북을 공유기에 연결한 뒤, 게임을 하거나 토렌트 프로그램으로부터 어떤 파일을 다운로드 받는 것들을 문제 없이 수행해왔었다. 대체 어떻게 할 수 있던 것일까? 결론부터 말하면, 우리의 컴퓨터에 연결되어 있는 공유기가 UPnP를 지원하는데, 이 UPnP가 수기로 하는 포트 포워딩을 자동화해주기 때문이다.

 

UPnP를 이해하기 위해선 먼저 PnP(Plugin and Play)라는 개념부터 먼저 이해해야 한다. PnP를 의미하는 Plugin and Play는 말 그대로 "갖다 꼽기(Plugin)만 하면 작동(Play)한다"를 의미한다.

 

PnP를 이해하기 위해서 우리는 컴퓨터에 프린터기를 연결한 뒤 프린터기를 사용할 때 과거에 어떻게 했는지, 그리고 지금 어떻게 하는지를 비교하면 된다. 옛날에는 컴퓨터에 프린터기를 연결하면, 프린터기를 위한 드라이버 설치 등과 같은 부가적인 설치 과정을 사용자가 직접 해주었어야 했다. 하지만 이런 부가적인 설치 과정을 모두 자동화시키기 위해서 PnP가 등장했다. 즉, 프린터기의 USB 인터페이스 단자를 컴퓨터에 연결(Plugin)만 하면 컴퓨터가 자동으로 프린터기 사용을 위한 드라이버 등을 모두 스스로 설치(Play)한 뒤 프린터기의 출력 기능을 위한 준비를 모두 마치는 것이다. 이러한 자동화 과정을 PnP가 수행해주는 것이다. 이후에는 사용자가 컴퓨터에서 어떤 파일을 출력시킬지만 선택해서 프린터기로 출력만 하면 되는 것이다.

 

이러한 PnP 개념을 머릿속에 두고 이제 UPnP 개념을 이해해보자. 강의에서는 UPnP를 이해하기 위해 '홈쇼핑을 보면서 쿠폰을 출력하는 예시'로 비유를 든다.

 

UPnP 사용 예시 구조

 

내가 티비에서 홈쇼핑 광고를 보고 있다고 해보자. 티비에 나오는 쇼 호스트가 리모컨의 특정 버튼을 누르면 프린터기가 연결된 내 컴퓨터에서 할인 쿠폰을 출력해준다고 유혹(?)을 하고 있다. 나는 그 유혹에 넘어가 티비 속 쇼 호스트가 누르라고 하는 버튼을 눌렀다. 그 순간 어떤 일이 일어날까?

 

가장 먼저 리모컨과 연결되어 있는 티비에서 홈쇼핑 서버로의 통신 요청을 보낸다. 당연히 이 요청에는 리모컨의 버튼을 눌렀다라던지 나에 대한 정보가 담겨 전송될 것이다. 그리고 홈쇼핑 서버는 이 요청을 보고 내게 쿠폰을 제공하기 위해서 [홈쇼핑 서버 → 내 컴퓨터]로 통신을 요청한다. 그리고 해당 요청을 받은 내 컴퓨터는 연결되어 있는 프런터기에서 쿠폰이 출력된다.

 

이 과정을 그림 속에서 번호를 부여해서 순서를 표시하였다. UPnP는 이렇게 원격으로 접속하는 것을 가능하게 하는데, 원격 접속이 가능한 이유는 NAT GW(공유기)를 거쳐가면서 자동으로 포트 포워딩을 수행해주기 때문이다. 또한 이렇게 원격 접속을 수행할 때, UPnP는 SSDP라는 프로토콜을 사용한다. 좀 더 구체적인 UPnP 동작은 해당 강의에서 다루지 않는다. 

 

어쨌건 이러한 UPnP 라는 기술 덕분에 토렌트 프로그램을 이용해서 파일을 다운로드 받을 수 있게 되는 것이다. 참고차 알아두도록 하자.