[Nas] Tailscale을 이용한 NAS 외부 접속 가이드: 포트 포워딩 없는 보안 설정

목차

• [인프라] Tailscale을 이용한 NAS 외부 접속 가이드: 포트 포워딩 없는 보안 설정
• 1. 왜 포트 포워딩 대신 Tailscale인가?
• 2. 시놀로지 NAS에서 Tailscale 설정하기
• 3. TrueNAS와 리눅스 서버에서의 Tailscale 설정
• 4. 포트 포워딩 vs Tailscale 비교표
• 5. ⚠️ 실제 겪은 트러블슈팅: 연결이 안 될 때?
• 6. 보너스: Exit Node(출구 노드) 기능 활용하기
• 7. 마무리하며

[인프라] Tailscale을 이용한 NAS 외부 접속 가이드: 포트 포워딩 없는 보안 설정

안녕하세요, 13년차 인프라 엔지니어로 일하며 집에서는 소박하게(?) 홈랩을 운영 중인 '서버실' 주인장입니다. 여러분, 혹시 밖에서 내 NAS(나스)에 접속하고 싶을 때 어떻게 하시나요? 예전 같으면 공유기 설정 페이지에서 포트 포워딩 설정을 하고, DDNS를 맞추느라 삽질하던 게 일상이었거든요. 하지만 보안이 중요해진 지금, 포트를 외부에 그대로 노출하는 건 '제발 해킹해주세요'라고 광고하는 것과 다름없더라고요.

실제로 제 지인 중 한 명은 시놀로지 기본 포트를 열어두었다가 랜섬웨어 공격을 받아 수년간 모은 사진 데이터를 날린 적이 있어요. 그때 제가 멘토로서 권해준 솔루션이 바로 오늘 소개해 드릴 Tailscale(테일스케일)입니다. 오늘은 복잡한 설정 없이, 그리고 보안 구멍 하나 없이 쾌적하게 NAS 외부 접속 환경을 만드는 법을 제 경험을 담아 공유해 보겠습니다.

▲ 외부 노출 없이 기기 간에 가상의 랜 케이블을 연결하는 Tailscale의 작동 원리

1. 왜 포트 포워딩 대신 Tailscale인가?

인프라 엔지니어 관점에서 볼 때, 전통적인 방식의 외부 접속은 몇 가지 치명적인 단점이 있어요.

• 보안 취약점: 특정 포트(예: 5000, 5001)가 열려 있으면 전 세계 해커들의 스캐닝 대상이 됩니다.
• CGNAT(통신사 공유 IP) 문제: 요즘 일부 아파트나 원룸 인터넷은 공인 IP를 주지 않아 포트 포워딩 자체가 불가능한 경우가 많아요.
• 설정의 번거로움: 기기가 늘어날 때마다 일일이 포트를 할당해야 하는 번거로움이 있거든요.

Tailscale은 WireGuard(와이어가드) 프로토콜을 기반으로 한 Mesh VPN(메쉬 가상 사설망) 서비스예요. 쉽게 말해, 내 스마트폰과 NAS 사이에 전 세계 어디서든 연결되는 '보이지 않는 긴 랜 케이블'을 하나 꽂는다고 생각하시면 됩니다. NAT Traversal(NAT 트래버설, NAT 우회) 기술을 사용하기 때문에 포트 포워딩을 단 하나도 할 필요가 없다는 게 이 솔루션의 가장 큰 매력이거든요.

2. 시놀로지 NAS에서 Tailscale 설정하기

제가 메인으로 사용하는 시놀로지 NAS를 기준으로 설명해 드릴게요. 정말 놀라울 정도로 간단해서 "이게 끝이야?" 싶으실 거예요.

1. 패키지 센터 설치: 시놀로지 DSM 패키지 센터에서 'Tailscale'을 검색합니다. 예전엔 수동으로 SPK 파일을 설치했는데, 이제 정식 패키지로 등록되어 정말 편해졌더라고요.
2. 로그인 및 인증: 설치 후 실행 버튼을 누르면 브라우저 창이 뜨면서 로그인을 요청해요. 구글이나 MS 계정으로 로그인하고 'Authorize(승인)' 버튼만 누르면 끝입니다.
3. 상태 확인: 시놀로지 제어판의 터미널이나 Tailscale Admin Console(관리자 콘솔)에서 내 NAS에 할당된 100.x.x.x 대역의 IP를 확인하세요.

▲ 패키지 센터에서 클릭 몇 번이면 보안 접속 준비가 완료됩니다.

3. TrueNAS와 리눅스 서버에서의 Tailscale 설정

TrueNAS를 사용하거나 별도의 리눅스 서버를 운영하시는 분들도 계시죠? 저도 홈랩 한 켠에서 TrueNAS SCALE을 돌리고 있는데, TrueNAS 외부 접속도 정말 간단해요. App(앱) 메뉴를 통해 바로 설치할 수 있거든요.

# 일반 리눅스 서버에서 명령어로 설치할 때
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

명령어 한 줄이면 설치가 끝나고, 출력되는 URL을 복사해서 브라우저에 붙여넣기만 하면 인증이 완료돼요. 제가 직접 해보니 Docker 컨테이너로 올리는 것보다 호스트에 직접 설치하는 게 네트워크 성능 면에서 더 잘 나오더라고요.

4. 포트 포워딩 vs Tailscale 비교표

인프라 쟁이답게 한눈에 보기 편하게 비교표를 만들어 봤습니다. 왜 제가 Tailscale을 고집하는지 감이 오실 거예요.

항목	포트 포워딩	Tailscale
보안성	낮음 (포트 노출)	매우 높음 (종단간 암호화)
설정 난이도	중간 (공유기 설정 필요)	매우 낮음 (로그인 방식)
CGNAT 환경	불가	완벽 지원
속도	직결 (최상)	근접 (WireGuard 가속)

5. ⚠️ 실제 겪은 트러블슈팅: 연결이 안 될 때?

설정은 다 했는데 가끔 접속이 안 될 때가 있어요. 제가 삽질하며 배운 팁 몇 가지 드릴게요.

• Key Expiry(키 만료) 주의: 기본적으로 Tailscale 노드 키는 6개월마다 만료돼요. NAS처럼 365일 켜져 있어야 하는 기기는 관리자 콘솔에서 Disable Key Expiry 설정을 꼭 해주세요.
• 방화벽 설정: 시놀로지 자체 방화벽에서 Tailscale 인터페이스의 트래픽을 차단하고 있지 않은지 확인해 보세요.
• MagicDNS 활용: IP 주소 외우기 힘들죠? Tailscale의 MagicDNS 기능을 켜면 <code>http://mynas/ 처럼 기기 이름으로 바로 접속할 수 있어요.

▲ 관리자 콘솔에서 기기 이름과 연결 상태를 한눈에 관리할 수 있습니다.

6. 보너스: Exit Node(출구 노드) 기능 활용하기

이건 진짜 꿀팁인데, 해외 출장을 가거나 보안이 취약한 공용 와이파이를 쓸 때 NAS를 Exit Node(출구 노드)로 설정해 보세요. 내 모든 인터넷 트래픽이 집 NAS를 거쳐 나가기 때문에, 해외에서도 한국 IP로 뱅킹을 하거나 넷플릭스를 볼 수 있어요. 인프라 엔지니어가 추천하는 최고의 기능 중 하나죠!

7. 마무리하며

지금까지 포트포워딩 없이 NAS에 안전하게 접속하는 가장 스마트한 방법인 Tailscale 설정을 알아봤습니다. 처음엔 "남의 서버를 거치는 거 아냐?"라고 의심했는데, 실제 데이터는 Peer-to-Peer(P2P, 기기 간 직접 연결) 방식으로 흐르고 인증만 거치는 구조라 안심하고 쓰고 있어요.

복잡한 네트워크 설정 때문에 스트레스받지 마시고, 오늘 바로 Tailscale로 안전한 NAS 라이프를 시작해 보세요. 혹시 설정하다 막히는 부분이 있으면 댓글 남겨주세요. 13년 차 짬밥으로 함께 고민해 드리겠습니다!

▲ 외부에서도 LTE/5G로 우리 집 NAS에 안전하게 접속된 모습입니다. 🎉

다음 글에서는 Tailscale을 활용해 여러 대의 서버를 하나로 묶는 Site-to-Site VPN 구축기를 다뤄볼 예정이니 기대해 주세요!

📚 함께 읽으면 좋은 글

• Docker Compose로 NAS에 앱 배포 및 관리하기: Synology, TrueNAS SCALE 가이드
• TrueNAS SCALE 앱 배포: Docker 컨테이너부터 관리까지
• NAS RAID 설정 트러블슈팅: 문제 진단부터 데이터 복구까지 완벽 가이드