SNAT와 DNAT 완벽 정리: 네트워크 주소 변환의 핵심 개념
현대의 네트워크 환경에서 NAT(Network Address Translation)는 필수적인 기술입니다. 특히 내부 IP를 외부에 노출하지 않으면서도 통신을 가능하게 하고, 다수의 내부 장비가 하나의 공인 IP를 공유할 수 있게 해주는 NAT는 방화벽, 라우터, L3 스위치 등의 핵심 기능 중 하나입니다.
이번 포스팅에서는 NAT의 두 가지 핵심 형태인 SNAT(Source NAT)와 DNAT(Destination NAT)에 대해 차이점, 구성 방식, 실무 예시 등을 포함해 상세히 설명드립니다.
📌 NAT란?
NAT(Network Address Translation)는 네트워크 장비가 패킷의 IP 주소 정보를 변환하여, 내부 네트워크와 외부 네트워크 간 통신을 가능하게 해주는 기술입니다.
- 내부 사설망(Private IP)과 외부 공용망(Public IP) 간 IP 주소 변환
- 보안 강화: 내부 IP 은닉
- IP 주소 절약: 다수의 내부 클라이언트를 하나의 공인 IP로 통신 가능
🔍 SNAT vs DNAT 차이점 비교
| 항목 | SNAT (Source NAT) | DNAT (Destination NAT) |
|---|---|---|
| 변환 대상 | 출발지 IP 주소 | 목적지 IP 주소 |
| 사용 시점 | 내부에서 외부로 나가는 트래픽 | 외부에서 내부로 들어오는 트래픽 |
| 주요 용도 | 내부 클라이언트가 외부와 통신 시 | 외부 사용자가 내부 서버에 접근 시 |
| 예시 | 내부 PC → 인터넷 접속 (공인 IP로 변환) | 외부에서 내부 웹 서버 접속 (공인 IP → 사설 IP) |
🧠 SNAT (Source NAT)란?
SNAT는 패킷이 네트워크를 나갈 때, 출발지 주소를 변경하는 방식입니다. 주로 내부망의 다수 클라이언트가 외부 인터넷에 접속할 때 사용되며, 이때 각 클라이언트는 공인 IP 하나를 공유하게 됩니다.
✔ 사용 사례
- 사내 PC들이 인터넷 접속 시 동일한 공인 IP로 통신
- 기업 방화벽에서 내부 사용자 IP를 하나의 NAT IP로 변환
✔ 동작 방식
1. 내부 클라이언트가 패킷 전송
2. 라우터/방화벽이 출발지 IP를 NAT IP로 변경
3. 외부 서버는 NAT IP를 보고 응답
4. 장비는 다시 응답 패킷의 목적지 IP를 내부 클라이언트로 되돌림
🧠 DNAT (Destination NAT)란?
DNAT는 패킷이 네트워크에 들어올 때, 목적지 주소를 변경하는 방식입니다. 외부에서 내부망의 특정 서버로 접근할 수 있도록 공인 IP를 사설 IP로 맵핑하는 데 사용됩니다.
✔ 사용 사례
- 인터넷 사용자들이 공인 IP로 내부 웹 서버에 접근
- 포트포워딩을 통해 특정 서비스 연결 허용 (예: 80, 443)
✔ 동작 방식
1. 외부 사용자가 공인 IP로 요청
2. 라우터/방화벽이 목적지 IP를 내부 서버의 사설 IP로 변경
3. 내부 서버가 응답
4. NAT 장비는 응답의 출발지 IP를 다시 공인 IP로 변환 후 외부로 전달
🎯 포트포워딩과의 관계
DNAT는 종종 포트포워딩(Port Forwarding)과 함께 사용됩니다. 즉, 공인 IP:포트 → 사설 IP:포트로 연결을 리디렉션하는 기능이며, 웹 서버(80, 443), FTP 서버(21), 원격 접속(3389) 등에 널리 사용됩니다.
💡 실무 적용 시 주의사항
- SNAT 시 세션 테이블 관리 필수 (Connection Tracking)
- DNAT 시 방화벽 정책과 함께 구성 필요
- 중복 NAT 이슈 발생 가능 → 정책별 우선순위 명확히 설정
- 보안 측면에서 외부 공개 포트 최소화 권장
🏢 실제 사용 예시
1. SNAT 구성 예
회사 내 모든 직원의 PC는 사설 IP(예: 192.168.x.x)를 사용하며, 방화벽에서 NAT IP(예: 203.x.x.x)로 출발지 주소를 변환해 인터넷 접속을 제공합니다.
2. DNAT 구성 예
외부 사용자가 203.0.113.10:80으로 접속하면, 방화벽은 이를 내부의 웹 서버 IP 192.168.0.10:80으로 전달하고, 응답 시 다시 공인 IP로 반환하여 연결 유지합니다.
🔐 보안 관점에서의 NAT
- NAT 자체는 보안 기능이 아님
- IP 은닉 효과로 기본적인 보호 가능
- DNAT 시 불필요한 서비스 공개로 보안 위협 우려 → 반드시 방화벽과 함께 설정
✅ 결론
SNAT와 DNAT는 NAT 기술의 양 날개로서, 내부망과 외부망 간의 안정적인 통신을 가능하게 해주는 핵심 구성 요소입니다. SNAT는 내부에서 외부로 나가는 트래픽을, DNAT는 외부에서 내부로 들어오는 트래픽을 다루며, 각기 다른 목적과 방식으로 네트워크 주소를 변환합니다.
이 두 기술은 기업 네트워크 환경에서 매우 자주 사용되며, 보안 장비, 서버 구성, 포트포워딩 설정 등 다양한 영역에 영향을 줍니다. 따라서 네트워크 관리자나 보안 담당자라면 SNAT와 DNAT의 개념과 구성 방법을 명확히 이해하고 있어야 하며, 방화벽, IPS/IDS, 망연계 솔루션과의 상호작용도 함께 고려해야 합니다.
다음 포스팅에서는 “NAT 트래버설, PAT(Port Address Translation), 이중 NAT 환경 해결 방법”에 대해 다뤄보겠습니다.