매장 CCTV 원격접속이 안 될 때 — 공유기 포트포워딩·DDNS 설정을 순서대로 분리 점검하는 방법 (매장 현장 기준)
이 글은 매장 CCTV를 휴대폰이나 외부 PC에서 보려는데 원격접속이 갑자기 안 되거나, 예전엔 됐는데 어느 날부터 접속이 끊기거나, DDNS 주소는 있는데 화면이 안 열리는 상황을 현장에서 빠르게 분리 점검하기 위한 글입니다.
핵심은 하나입니다.
원격접속 불량을 처음부터 “DDNS가 죽었다” 또는 “공유기가 이상하다”로 단정하지 말고, 아래 다섯 단계로 끊어서 봐야 합니다.
1. CCTV 본체(NVR/DVR/IP 카메라)에 매장 안에서는 접속되는가
2. CCTV 장비의 내부 IP가 고정되어 있는가
3. 공유기 WAN IP가 실제 공인 IP인가
4. 포트포워딩이 그 장비의 실제 포트로 연결되어 있는가
5. DDNS가 현재 공인 IP를 제대로 가리키는가
이 순서를 거꾸로 보면 시간이 오래 걸립니다. 현장에선 DDNS부터 고쳐 보다가, 실제 원인은 내부 IP가 바뀌었거나 통신사망 구조·이중 공유기·CGNAT 때문에 하위 공유기만 만져서는 외부 유입이 안 되는 경우가 많습니다.
이런 환경에서 특히 잘 맞습니다
- 통신사 모뎀 + 매장 공유기 + NVR/DVR 1대 구성
- 매장 안 PC에서는 CCTV가 보이는데 밖에서만 안 보이는 환경
- 휴대폰 앱으로 보려는데 “연결 시간 초과”, “호스트를 찾을 수 없음”, “포트 열리지 않음” 비슷한 증상이 나는 경우
- 공유기 교체 뒤부터 원격접속이 안 되는 경우
- 인터넷 회선 재약정·장비 재부팅 뒤부터 DDNS 주소 접속이 불안정한 경우
- NVR/DVR은 켜져 있고 녹화도 되는데 외부 보기만 안 되는 경우
반대로 아래는 이 글만으로 끝나지 않을 수 있습니다.
- 통신사에서 공인 IP 직접 유입이 제한된 회선
- 이중 공유기 구조가 강하게 걸린 환경
- 제조사 전용 P2P/클라우드 앱만 지원하고 포트 직접 노출을 권장하지 않는 장비
- 보안 정책상 외부 포트 개방을 막아 둔 본사망/프랜차이즈망
- 장비 자체 비밀번호 분실, 계정 잠금, 펌웨어 오류
대표 증상부터 먼저 나눕니다
원격접속이 안 된다는 말도 실제로는 양상이 다릅니다.
1. 매장 안에서는 CCTV가 보이는데 밖에서만 안 보인다
- 포트포워딩
- DDNS
- 공인 IP 여부
- 이중 공유기 가능성
2. DDNS 주소는 있는데 연결이 안 된다
- DDNS가 틀린 공인 IP를 가리키는 경우
- 포트포워딩 미설정
- 하위 공유기 WAN이 비공인 대역이라 추가 상위 설정이 필요한 경우
3. 예전엔 됐는데 며칠·몇 주 뒤부터 다시 안 된다
- 장비 내부 IP 변경
- 회선 공인 IP 변경 후 DDNS 미갱신
- 공유기 교체/초기화
- 포트 규칙 삭제
4. 앱에서는 찾는데 영상이 안 뜨거나 웹 접속만 안 된다
- 장비가 실제로 쓰는 포트와 포워딩 포트 불일치
- HTTP/HTTPS와 앱용 서비스 포트를 혼동
- 제조사별 연결 방식 차이
중요한 건 “DDNS 주소가 있으니 포워딩도 맞겠지”라고 묶지 않는 것입니다. DDNS는 주소 문제를 푸는 도구이고, 포트포워딩은 외부 트래픽을 내부 장비로 보내는 설정이라 역할이 다릅니다.
공식 문서로 확인되는 점검 축
이 글의 핵심 축은 아래 공식 문서들로 검증할 수 있습니다.
- ASUS는 DDNS가 동적 공인 IP 환경에서도 등록된 도메인 이름으로 접속하게 해 주는 기능이라고 설명합니다:
https://www.asus.com/support/faq/1011725/
- ASUS는 공유기 WAN이 private WAN IP 또는 CGNAT IP이거나 multi-layer NAT 환경이면 DDNS 서비스가 그대로는 동작하지 않는다고 설명하고, 상위 공인 IP 라우터가 있으면 그 장비에서 DMZ 또는 Port Forwarding이 추가로 필요할 수 있다고 안내합니다:
https://www.asus.com/support/faq/1011725/
https://www.asus.com/support/faq/1050429/
- Reolink는 원격 연결 시 어떤 포트를 열어야 하는지는 접속 방식에 따라 다르며, 앱/클라이언트용 서비스 포트와 웹브라우저용 HTTP/HTTPS, RTSP, ONVIF 같은 포트가 구분될 수 있다고 설명합니다:
https://support.reolink.com/articles/900000628766-Which-Ports-Should-I-Forward-on-Router-for-Remote-Connection/
https://support.reolink.com/articles/900000621783-How-to-Configure-Reolink-Ports-Settings/
- Reolink는 일부 제품 예시로 Basic Service 9000, HTTP 80, RTMP 1935 같은 기본 포트를 안내하지만, 실제 적용은 장비 메뉴와 모델 기준으로 다시 확인해야 합니다:
https://support.reolink.com/articles/360003544134-How-to-Forward-Ports-on-Router-Interface-for-Reolink-Products/
- TP-Link VIGI는 NVR 원격 추가/접속에 라우터의 Public IP와 Management Port/Remote Stream Port 매핑이 필요하다고 설명합니다:
https://www.vigi.com/uk/support/faq/4482/
즉, “공인 IP 여부”, “포트포워딩”, “DDNS”, “장비별 실제 포트 확인”, “내부 IP 고정”은 현장 감이 아니라 제조사 문서로 닿는 점검 축입니다.
가능한 원인 5가지
매장 현장에서는 아래 다섯 가지가 가장 많이 엮입니다.
1. CCTV 장비 내부 IP가 바뀜
공유기 DHCP 범위 안에서 NVR/DVR이 자동 IP를 쓰면 재부팅이나 임대 갱신 뒤 주소가 바뀔 수 있습니다. 이 경우 포트포워딩 규칙은 예전 IP를 가리켜 외부 접속만 끊깁니다.
2. 공유기 WAN이 공인 IP가 아님
통신사망, 이중 공유기, 상위 라우터 때문에 매장 공유기의 WAN이 비공인 대역이면 하위 공유기 단독 DDNS/포워딩만으로는 부족할 수 있습니다. 이 경우 상위 공인 IP 장비에서 브리지 또는 DMZ/포트포워딩이 추가로 필요할 수 있습니다.
3. 포트포워딩 규칙은 있는데 잘못된 포트로 보냄
이게 현장에서 특히 많습니다. 웹 접속 포트와 앱용 서비스 포트를 혼동하거나, 예전 모델 기준 포트를 외워 넣는 경우입니다. 제조사 문서들도 포트는 장비 문서·장비 메뉴 기준으로 확인하라고 보는 쪽입니다.
4. DDNS는 살아 있지만 현재 WAN IP를 반영하지 못함
회선 IP가 바뀌었는데 DDNS 갱신이 안 되면 예전 주소를 계속 가리킵니다. 이 경우 “도메인은 있는데 접속 안 됨”처럼 보입니다.
5. 이중 공유기/모뎀-공유기 구조
통신사 장비 뒤에 매장 공유기가 또 있는 구조면, 실제 포트를 상위 장비와 하위 장비 둘 다 맞춰야 하거나 브리지/DMZ 정리가 필요할 수 있습니다. 처음엔 공유기 재부팅으로 될 줄 알았는데 반복됐다면 이 구조를 의심할 가치가 큽니다.
위험도·우선순위별 확인 순서
매장에선 아래 순서가 시간을 가장 적게 씁니다.
1. 매장 내부 접속 확인
2. CCTV 장비의 내부 IP 확인
3. 그 내부 IP가 고정인지 확인
4. 공유기 WAN IP가 공인인지 확인
5. 포트포워딩 규칙 확인
6. DDNS 호스트명/갱신 상태 확인
7. 마지막에만 앱 계정/제조사 클라이언트 문제를 본다
DDNS를 먼저 건드리지 않는 이유는 단순합니다. 내부 IP나 WAN 구조가 틀리면 DDNS는 맞아도 소용이 없기 때문입니다.
실제 해결 절차
1) 매장 안에서 먼저 CCTV가 정상인지 확인합니다
같은 매장 Wi‑Fi 또는 유선 환경에서 NVR/DVR 웹 화면, PC 클라이언트, 제조사 앱으로 접속이 되는지 봅니다.
- 내부에서도 안 되면 원격 문제 전에 장비 전원·LAN 연결·장비 자체 네트워크 설정이 먼저입니다.
- 내부에서는 되는데 외부에서만 안 되면 그때부터 포워딩/DDNS 구간을 봅니다.
이 단계는 꼭 필요합니다. 내부 접속도 안 되는데 외부 접속부터 맞추면 점검 축이 섞입니다.
2) NVR/DVR/IP 카메라의 내부 IP를 적습니다
장비 네트워크 메뉴 또는 공유기 DHCP 클라이언트 목록에서 CCTV 장비의 내부 IP를 확인합니다.
- 예: 192.168.0.x 또는 192.168.1.x 대역
- 이 주소가 포트포워딩 대상입니다
여기서 중요한 건 “지금 장비가 실제로 쓰는 주소”입니다. 예전 설치 사진이나 종이에 적힌 주소를 믿고 들어가면 헛걸음하는 경우가 많습니다.
3) 내부 IP를 고정 또는 주소 예약 상태로 맞춥니다
제조사마다 표현은 다르지만, 포트포워딩 대상 장비의 내부 주소가 바뀌지 않게 유지해야 합니다. 실무에선 공유기 DHCP 예약이 관리가 편한 경우가 많습니다.
이 단계가 빠지면 오늘은 되는데 며칠 뒤 또 안 됩니다.
- DHCP 자동 할당 그대로 두지 말 것
- 공유기 교체 시 예약이 초기화됐는지 확인할 것
- 장비 펌웨어 초기화 후 네트워크 모드가 자동으로 돌아갔는지 볼 것
4) 공유기 WAN IP가 공인 IP인지 확인합니다
이 단계가 사실상 핵심입니다.
공유기 관리화면의 인터넷/WAN IP를 보고, 그 값이 비공인/직접유입 불가 가능성 대역인지 먼저 확인합니다.
| WAN 값 예시 | 의미 | 바로 할 일 |
|---|---|---|
| 10.x.x.x | 사설 대역 | 하위 공유기만 만지지 말고 상위 장비/회선 구조 확인 |
| 172.16.x.x ~ 172.31.x.x | 사설 대역 | 상위 모뎀·공유기 존재 여부, 브리지/DMZ 가능 여부 확인 |
| 192.168.x.x | 사설 대역 | 이중 공유기 가능성 큼, 상위 장비 포워딩 또는 브리지 점검 |
| 100.64.x.x ~ 100.127.x.x | CGNAT(Shared Address Space) 가능성 큼 | 통신사 NAT/공인 IP 제공 정책 확인, 직접 포워딩 전제부터 재확인 |
| 그 외 일반 공인 IPv4 | 외부 직접 유입 가능한 공인 IP일 수 있음 | 다음 단계로 넘어가 포트포워딩·DDNS 점검 |
현장 해석은 이렇게 나눕니다.
- WAN이 공인 IP다 → 포트포워딩/DDNS 계속 진행
- WAN이 10/172.16-31/192.168/100.64-127 대역이다 → DDNS부터 만지지 말고 상위 모뎀, 이중 공유기, 통신사 NAT 여부를 먼저 확인
- WAN이 자주 바뀐다 → DDNS 필요성은 높지만, 그래도 공인 IP 전제는 같음
중요:
WAN이 비공인 대역이라고 해서 항상 “절대 불가”로 단정하면 안 됩니다. 상위 공인 IP 장비가 따로 있고, 그 장비에서 브리지 또는 DMZ/포트포워딩을 추가하면 라우팅이 되는 경우가 있습니다. 다만 하위 공유기 단독 설정만으로 끝나지 않는 경우가 많다는 뜻입니다.
5) 포트포워딩을 “장비 실제 포트” 기준으로 다시 봅니다
포트포워딩 메뉴 이름은 공유기마다 다릅니다.
- Port Forwarding
- Virtual Server
- NAT Forwarding
- Port Mapping
여기서 중요한 건 숫자를 외워 넣지 않는 것입니다.
원격 연결에 필요한 포트는 접속 방식에 따라 다를 수 있습니다. 어떤 장비는 앱/클라이언트용 서비스 포트와 브라우저용 HTTP/HTTPS 포트가 다르고, RTSP·ONVIF를 따로 쓰는 경우도 있습니다.
즉 아래처럼 해야 합니다.
1. CCTV 장비 메뉴 또는 공식 문서에서 현재 사용하는 포트 확인
2. 공유기 포트포워딩의 내부 대상 IP가 그 장비 IP인지 확인
3. TCP/UDP 프로토콜이 장비 요구와 맞는지 확인
4. 외부 포트와 내부 포트가 의도대로 연결됐는지 확인
이 단계에서 흔한 오진:
- 예전 기사님이 적어둔 포트를 그대로 넣음
- 앱 접속 포트와 웹브라우저 포트를 혼동
- 장비가 바뀌었는데 공유기 규칙만 옛날 그대로 둠
6) DDNS는 맨 마지막에 확인합니다
DDNS는 “외우기 쉬운 이름”을 공인 IP에 연결해 주는 역할입니다. 제조사 문서들도 동적 공인 IP 환경에서 같은 도메인 이름으로 접속하게 해 주는 기능으로 설명합니다.
점검 순서는 이렇습니다.
1. DDNS 호스트명이 현재 설정된 값과 일치하는지 확인
2. 공유기 또는 장비의 DDNS 상태가 정상 갱신인지 확인
3. 현재 공유기 WAN IP와 DDNS가 실제로 가리키는 IP가 같은지 확인
4. 최근 인터넷 회선 변경, 공유기 교체, 관리자 계정 변경이 있었는지 확인
5. 공인 IP가 바뀐 뒤 갱신 실패 흔적이 없는지 확인
여기서 중요한 건:
포트포워딩이 틀린 상태에서는 DDNS를 아무리 고쳐도 접속은 안 됩니다.
비슷해 보여도 원인이 다릅니다
“휴대폰에서 CCTV가 안 보인다”는 말도 실제 원인은 다릅니다.
- 매장 안에서도 안 보임 → 장비 전원, LAN, 내부 IP 문제
- 매장 안에서는 보이고 밖에서만 안 보임 → WAN 공인 IP, 포트포워딩, DDNS 문제
- DDNS 주소는 열리는데 로그인 화면만 깨짐 → 포트 종류 또는 HTTPS/HTTP 설정 문제
- 앱은 접속되는데 웹만 안 됨 → 브라우저용 포트와 앱용 서비스 포트가 다를 수 있음
- 공유기 바꾸고 바로 안 됨 → DHCP 예약, 포워딩 규칙, 상위 모뎀 구조 재확인
즉 “원격접속 안 됨 = DDNS 재설정”으로 바로 들어가면 오진이 됩니다.
특히 도움 되는 경우
- 소규모 식당, 카페, 편의점처럼 통신사 모뎀 뒤에 공유기를 하나 더 둔 매장
- NVR은 카운터 밑에 있고, 사장님 휴대폰으로 외부 확인만 필요한 환경
- 예전 설치 기사 이후 설정 문서가 정리돼 있지 않은 매장
- 공유기 교체 뒤 원격접속만 안 되는 환경
- CCTV는 녹화되는데 외부 확인만 안 되는 환경
이 경우는 하면 안 되는 조치
- 내부 접속도 확인 안 한 채 DDNS부터 새로 만들기
- 장비 실제 포트 확인 없이 인터넷에서 본 “대표 포트”를 임의로 열기
- DHCP 자동 IP 상태로 둔 채 포트포워딩만 반복 수정하기
- 이중 공유기 구조를 무시하고 하위 공유기만 계속 재부팅하기
- 외부 접속이 급하다고 포트를 여러 개 무분별하게 개방하기
- 문제 원인 분리 전에 장비 초기화하기
해결이 안 될 때 다음 분기
1. 내부 접속도 안 된다
- 장비 전원, LAN 링크, NVR/DVR 네트워크 설정 확인
- 장비 자체 IP 중복 가능성 확인
- 녹화는 되는지, 로컬 모니터 화면은 정상인지 확인
2. 내부는 되는데 WAN이 비공인 대역이다
- 통신사 모뎀 브리지 여부 확인
- 상위 장비가 공인 IP를 받는 구조인지 확인
- 상위 장비 DMZ/포워딩 여부 확인
- 통신사 공인 IP 제공 정책 확인
- 이 구간은 DDNS보다 회선 구조 이슈입니다
3. WAN은 공인 IP인데 외부만 안 된다
- 포트포워딩 대상 내부 IP 재확인
- 포트/프로토콜 재확인
- 장비 방화벽 또는 서비스 활성화 상태 확인
- 공유기 교체/초기화 이력 확인
4. 며칠 뒤 다시 반복된다
- DHCP 예약 누락 가능성 큼
- DDNS 자동 갱신 실패 여부 확인
- 공유기 펌웨어/재부팅 뒤 설정 복원 여부 확인
재발 방지 체크리스트
1. CCTV 장비 내부 IP를 DHCP 예약 또는 고정 IP로 유지
2. 공유기 로그인 주소, 관리자 계정, 포워딩 화면 경로를 문서화
3. NVR/DVR의 실제 사용 포트와 프로토콜을 설치 문서에 적어 두기
4. DDNS 호스트명과 로그인 정보를 설치 문서에 정리
5. 통신사 모뎀 + 공유기 + NVR 연결 구조를 한 장으로 그려 두기
6. 공유기 교체 전 포트포워딩 규칙 백업
7. 회선 변경 후 WAN이 공인 IP인지 먼저 확인
8. “내부 접속 가능 여부”를 원격장애 첫 체크로 습관화
9. 포트는 필요한 것만 최소로 개방
10. 반복 장애가 1~2주 안에 다시 나오면 공유기 노후 또는 이중 NAT 구조를 의심
기사·업체 호출 기준
아래면 현장 셀프 점검보다 설치 기사나 네트워크 업체 호출이 빠를 수 있습니다.
- 공유기 WAN이 계속 비공인 대역으로 잡히고 상위 장비 구조를 모를 때
- 이중 공유기/통신사 모뎀 설정 변경 권한이 없을 때
- NVR/DVR 실제 포트 정보를 장비 메뉴나 공식 문서로 확인하기 어려울 때
- 내부 IP 고정, 포워딩, DDNS를 모두 맞췄는데도 외부 접속이 안 될 때
- 본사망/프랜차이즈망이라 방화벽 정책 변경이 필요한 때
- 외부 포트 개방에 대한 보안 검토가 필요한 매장
FAQ
Q1. DDNS만 설정하면 외부에서 CCTV가 보이나요?
아닙니다. DDNS는 바뀌는 공인 IP를 이름으로 찾아가게 해 주는 기능입니다. 실제 외부 유입을 내부 장비로 보내려면 포트포워딩 또는 그에 준하는 매핑이 필요합니다.
Q2. 공유기 WAN IP가 사설 IP나 100.64~100.127 대역이면 왜 막히나요?
하위 공유기가 인터넷에서 직접 도달 가능한 공인 IP를 받지 못한 상태일 수 있기 때문입니다. 이 경우 하위 공유기 단독 DDNS/포워딩만으로는 부족할 수 있습니다. 상위 장비 구조, DMZ, 브리지, 통신사 NAT 여부를 먼저 봐야 합니다.
Q3. 포트 번호는 보통 몇 번인가요?
그걸 외워서 넣는 방식이 가장 위험합니다. 접속 방식과 장비에 따라 필요한 포트가 다를 수 있습니다. 앱용 서비스 포트와 웹용 HTTP/HTTPS 포트가 따로인 경우도 있으니, “내 장비의 실제 포트”를 확인해야 합니다.
Q4. 예전엔 됐는데 어느 날부터 안 되면 DDNS 문제인가요?
그럴 수도 있지만, 더 흔한 건 장비 내부 IP 변경입니다. 포워딩 대상 IP가 바뀌면 외부만 안 됩니다. 그래서 DDNS보다 먼저 내부 IP 고정 여부를 확인하는 편이 빠릅니다.
Q5. 공유기 재부팅으로 잠깐 되다가 또 안 되는 건 왜 그런가요?
처음엔 회선 문제처럼 보여도, 실제로는 DHCP 자동 IP 변경이나 이중 공유기 구조가 반복 원인인 경우가 많습니다. 재부팅 후 1~2일 내 반복되면 공유기 노후만 보지 말고 주소 예약과 WAN 구조를 같이 보세요.
결론
매장 CCTV 원격접속이 안 될 때는 DDNS와 포트포워딩을 한 덩어리로 보지 말아야 합니다.
점검 순서는 이게 가장 빠릅니다.
1. 매장 내부에서 CCTV 장비 접속이 되는지 확인
2. NVR/DVR/IP 카메라의 실제 내부 IP 확인
3. 그 IP를 고정 또는 DHCP 예약으로 유지
4. 공유기 WAN이 공인 IP인지 확인
5. 포트포워딩이 장비의 실제 포트와 실제 내부 IP를 가리키는지 확인
6. 마지막으로 DDNS가 현재 공인 IP를 반영하는지, 그리고 현재 WAN IP와 같은 IP를 가리키는지 확인
핵심은 “DDNS부터 만지지 말고, WAN 공인 IP와 내부 IP 고정부터 본다”는 점입니다. 매장 현장에서는 이 순서가 가장 적게 헤매고, 설치 기사 호출 전까지 원인을 가장 정확하게 좁혀 줍니다.