한국 ISP CGNAT 확인과 홈서버 우회 가이드 2026 — KT · SKB · LG U+

DDNS 설정을 모두 끝냈는데도 외부에서 홈서버가 열리지 않는다면, 원인의 90%는 CGNAT(Carrier-Grade NAT)입니다. CGNAT는 ISP가 가입자에게 공인 IP 대신 공유형 사설 IP를 내주고 중간 게이트웨이에서 한 번 더 NAT을 거는 구조입니다. 밖에서 내 공유기로 들어오는 길 자체가 끊겨 있기 때문에, 이 상태에서는 DDNS나 포트포워딩만으로는 외부 접속을 만들 수 없습니다.

이 글은 (1) 내 회선이 CGNAT인지 3분 안에 확인하는 방법, (2) KT · SK브로드밴드 · LG U+ 2026년 현황, (3) CGNAT를 우회해서도 홈서버를 외부에 공개하는 현실적 방법 5가지를 다룹니다. CGNAT가 아니라면 dowajos 같은 DDNS로 바로 해결되지만, CGNAT라면 DDNS + 터널 조합이 유일한 답입니다.

CGNAT란 무엇이고 왜 한국에서 점점 늘고 있나

IPv4 주소는 약 43억 개인데 전 세계 인터넷 기기 수가 이를 한참 넘어섰습니다. ISP는 가입자 한 명당 공인 IP 하나씩 내주는 것을 감당할 수 없게 됐고, 대안으로 Shared Address Space로 지정된 100.64.0.0/10 대역(100.64.0.0 ~ 100.127.255.255)을 가입자에게 나눠주고, ISP 라우터에서 한 번 더 NAT를 해서 실제 공인 IP를 여러 가입자가 공유하도록 만듭니다. 이것이 CGNAT입니다.

내 관점에서 보면 공유기 WAN IP가 100.64.x.x처럼 보이고, 외부에서 본 공인 IP는 또 다른 값입니다. 두 IP 사이에는 ISP의 대형 NAT가 있어서, 외부에서 “내 집 IP의 80번 포트”로 들어오려고 해도 ISP NAT가 이 요청을 어떤 가입자에게 보낼지 모릅니다. 결과적으로 외부 → 내 집 방향의 연결이 전부 차단됩니다.

CGNAT 자가진단 3분

1. 공유기 WAN IP 확인— 공유기 관리자 페이지의 “상태 정보 / 시스템 요약”에 표시된 WAN(인터넷) IP를 기록합니다. iptime은 메인 화면 좌측 상단에, ASUS는 네트워크 맵 상단에 바로 보입니다.
2. 외부 공인 IP 확인 — 같은 네트워크에 있는 PC · 스마트폰에서 whatismyipaddress.com 또는 icanhazip.com에 접속해 표시되는 IP를 확인합니다.
3. 두 IP 비교 — 두 값이 다르면 경로상에 추가 NAT가 있다는 뜻입니다. 특히 공유기 WAN IP가 100.64.x.x ~ 100.127.x.x 대역이면 확정적으로 CGNAT입니다. 두 IP가 같다면 공인 IP가 제대로 내려오는 환경이므로 DDNS만으로 충분합니다.

한국 ISP CGNAT 현황 (2026)

세 통신사 모두 가정용 유선 광인터넷 기본 상품은 공인 IP를 주는 경우가 많지만, 다음 상황에서는 CGNAT가 기본입니다.

• KT — 유선 광랜 개인 상품은 공인 IP가 일반적입니다. 다만 기가와이파이 공유 상품, 재판매·건물공용 상품, 5G 라우터(넷기어·에그 계열), 휴대폰 테더링은 CGNAT입니다.
• SK브로드밴드 — 가정용 유선 상품은 여전히 공인 IP 경향이나, 아파트 건물공용·일부 지역 재판매망에서 CGNAT이 확산 중입니다. 홈허브 라우터 WAN IP가 100.64.x.x이면 CGNAT.
• LG U+ — 전반적으로 공인 IP를 주는 편이지만, 모바일(U+mobile) · IoT 회선 · 일부 시설 상품은 CGNAT입니다.
• 알뜰 인터넷 · MVNO · 5G 라우터 — 사실상 모두 CGNAT입니다. 예외는 사업자용 고정 IP 옵션을 추가한 경우뿐.

세 통신사 모두 콜센터에 “공인 IP로 전환 부탁드립니다”라고 요청하면 내부 정책 범위 안에서 전환해주는 사례가 꾸준히 보고됩니다. 무료이고 가장 깔끔한 방법이므로 먼저 시도해볼 가치가 있습니다.

CGNAT 우회 방법 5가지 비교

1) ISP에 공인 IP 요청 — 가장 먼저 시도

비용·설정·유지비가 모두 0에 수렴하는 최상의 방법입니다. 콜센터(KT 100, SKB 106, LG U+ 101)에 전화해 “홈서버 운영 목적으로 공인 IP 할당이 필요합니다”라고 말합니다. 상품·지역에 따라 당일 반영되기도 하고 거절되기도 하지만, 성공하면 이후 dowajos 같은 DDNS만으로 모든 것이 끝납니다.

2) Cloudflare Tunnel — HTTP(S)만 필요하면 최적

본인 소유의 도메인을 Cloudflare에 위임한 뒤 cloudflared 에이전트를 집 서버에 설치합니다. 에이전트는 Cloudflare로 아웃바운드 연결만 만들고, 외부 요청은 Cloudflare가 이 터널을 타고 안쪽으로 밀어 넣어줍니다. CGNAT·방화벽·포트포워딩 모두 우회합니다. HTTP/HTTPS 트래픽에 대해 무료이고, 무료 플랜에서도 WAF·DDoS 보호가 따라옵니다. TCP·UDP 일반 포트(SSH·게임·RDP 등)는 Zero Trust 유료 플랜이 필요합니다.

3) Tailscale Funnel — 도메인 소유 없이도 가능

Tailscale 계정에 가입하면 *.ts.net 서브도메인이 자동으로 생깁니다.tailscale funnel 명령 한 줄로 집 서버의 특정 포트를 인터넷에 공개할 수 있습니다. 도메인 소유 · DNS 세팅 없이 가장 빠르게 끝나지만, 도메인 이름이 Tailscale의 것이고 포트가 443·8443·10000 중 하나로 제한됩니다. 개인 사용은 무료.

4) WireGuard + 해외 VPS — 모든 포트 완전 제어

Vultr · Hetzner · Oracle Cloud Free Tier처럼 공인 IP를 주는 VPS 한 대를 임대하고, 집 서버와 VPS 사이에 WireGuard VPN을 설치해 VPS의 공인 IP로 들어오는 트래픽을 집으로 포워딩합니다. 월 3,000~6,000원 선이면 충분하며, TCP/UDP 모든 포트를 자유롭게 열 수 있습니다. 세팅은 가장 복잡합니다. 이 때 VPS의 공인 IP를 dowajos에 등록해 편한 도메인으로 접근할 수 있습니다.

5) 공인 IP LTE/5G 요금제 — 마지막 수단

3사 모두 사업자용 · IoT용으로 공인 IP를 고정 할당하는 특수 요금제를 운영합니다. 월 수만 원 수준이라 홈랩 취미 기준으로는 과합니다. 가정 유선망을 쓸 수 없는 환경에서만 고려하세요.

CGNAT 환경에서 dowajos는 어떻게 쓰나

CGNAT 자체를 DDNS로 해결할 수는 없지만, 위 우회 방법과 DDNS는 보완 관계입니다. 예를 들어 WireGuard + VPS 조합을 쓰면 VPS의 공인 IP가 클라우드 사업자 유지보수 때 바뀌는 경우가 있고, Oracle Free Tier 같은 경우 인스턴스를 재생성하면 IP가 새로 뽑힙니다. 이 때 dowajos.com에 VPS 호스트를 등록해 두고 VPS 안에서 curl 기반 dyndns2 갱신을 cron에 걸면, 집에서 쓰는 WireGuard 설정은 home.dowajos.com 같은 고정 이름만 참조하면 됩니다.

반대로 공인 IP 환경이라면 복잡한 터널링 없이 공유기에 dyndns2 설정 한 번으로 끝납니다. 이 경우 dowajos는 그 자체로 완결된 외부접속 도구입니다. 자세한 설정법은 DDNS 완벽 가이드 2026과 DuckDNS 대안 5선에서 이어집니다.

결정 트리 — 지금 나는 무엇을 해야 하나

• 자가진단 결과 공인 IP → dowajos 가입 후 공유기 dyndns2 설정. 끝.
• CGNAT이고 HTTP(S)만 필요 → Cloudflare Tunnel 또는 Tailscale Funnel. 도메인이 있고 WAF가 필요하면 전자, 가장 빠르게 끝내고 싶으면 후자.
• CGNAT이고 SSH · 게임 · RDP 포함 → WireGuard + VPS. VPS 공인 IP는 dowajos로 감싸 고정 이름으로 만든다.
• 우선 돈을 안 들이고 싶다 → ISP 콜센터에 공인 IP 전환을 먼저 요청한다.