VPN은 완벽하지 않습니다: 알아야 할 사항

VPN 또는 가상 사설망은 인터넷(또는 공용 연결)을 통해 사설 네트워크에 안전하게 접근할 수 있도록 돕기 위해 시작된 서비스입니다. 당시 이 서비스의 주요 사용 사례는 정부, 조직 및 기업 내의 정보를 안전하게 접근할 수 있는 채널을 만드는 것이었으며, 데이터에 위협을 주지 않는 것이었습니다. 그러나 시간이 지나면서 사용자 개인 정보를 활용하는 제품과 서비스가 인터넷에서 중심 무대에 등장하게 되면서, 안전하고 개인적인 접근의 필요성이 커졌고, 이는 개인 사용을 위한 VPN과 같은 정교하고 안전한 솔루션에 대한 수요를 촉발했습니다.

오늘날에도 개인 사용을 위한 VPN의 채택이 대중 사이에서 계속 증가하고 있으며, 이 서비스는 사용자 신원을 보호하면서 정보를 접근할 수 있는 유망하고 안전한 솔루션 중 하나로 보입니다. 그러나 여전히 가장 안전한 선택은 아니며, 결점과 단점이 존재하여 결국 VPN도 완벽하지 않다는 것을 의미합니다.

이 이야기를 이해하기 위해서는 가상 사설망의 작동 방식과 잠재적인 취약점을 초래할 수 있는 복잡성을 이해하는 것이 중요합니다. 그러므로 먼저 가장 명백한 질문에 답하고, 그에 따라 따라오는 우려 사항을 천천히 살펴보겠습니다.

VPN이란 무엇이며 어떤 목적을 가지고 있나요?

VPN(가상 사설망)은 사용자가 인터넷을 통해 정보를 안전하고 익명(어느 정도)으로 접근할 수 있도록 하는 다양한 프로토콜로 구성된 현대적인 솔루션입니다.

또는 일반적으로 이를 과장된 프록시라고도 부를 수 있습니다. 대부분의 경우, VPN과 프록시의 기본 아이디어는 본질적으로 동일합니다. 즉, 사용자의 장치와 연결하려는 서버 간의 중개자 역할을 하여 요청의 출처를 숨기고 익명성을 유지하는 것입니다. 그러나 두 가지는 유사한 작동 원리를 공유하지만, 프록시 서버와 달리 VPN은 추가 기능과 보안 조치를 제공합니다. 즉, VPN 제공자가 주장하는 정책을 준수할 때에만 해당됩니다.

응용 프로그램에 대해 이야기하자면, 초기 설립 시기와 비교하여 현대 VPN 서비스는 응용 범위를 더욱 확장합니다. 공용 WiFi에 접근하기 위한 암호화된 채널 제공 — 사설 네트워크에 대한 안전한 접근 제공 — OTT 플랫폼에서 지리적 제한을 우회하여 지리 차단된 콘텐츠를 보기 위한 기본적인 것까지 다양한 기능을 제공합니다. 그러나 다양한 시나리오에서 도움을 주기 위해 제공하는 응용 프로그램의 범위에도 불구하고, 이러한 작업을 수행하는 방식이 여러 가지 질문을 제기합니다.

VPN은 어떻게 작동하나요?

이제 VPN과 관련된 우려 사항에 바로 들어가기 전에, 잠재적인 취약점을 더 잘 이해하기 위해 작동 원리에 대한 간략한 개요를 살펴보아야 합니다. 앞서 언급했듯이, VPN을 과장된 프록시로 생각할 수 있습니다. 왜냐하면, VPN은 기본적으로 동일한 기능을 제공합니다. 따라서 VPN을 사용할 때 본질적으로 사용자는 자신의 요청을 대신하여 목적지 서버에 요청을 하도록 프록시를 활용하는 것입니다. 그렇게 함으로써, 사용자는 스스로 연결을 설정할 필요가 없어지고, 이는 어느 정도 인터넷에서 익명성을 유지하는 데 도움이 됩니다.

이를 이해하기 위해, 지역 내에서 지리적으로 제한된 웹사이트를 방문하려고 시도하는 예를 고려해 보십시오. 그렇게 할 때, 서버는 ISP가 제공한 IP 주소를 사용하여 요청의 출처를 식별할 수 있습니다. 그리고 그 결과, 연결을 설정하고 서비스에 접근하는 것을 방지할 수 있습니다. 그러나 VPN을 도입하면 상황이 완전히 바뀝니다. 이제 VPN 클라이언트를 사용하여 제한된 웹사이트에 대한 접근을 요청하면, 서버는 요청이 호스팅되는 동일한 지역에서 발생하고 있다고 인식합니다. 따라서 서비스에 대한 접근을 허용합니다. 게다가, 사용자의 장치와 ISP 간의 채널이 암호화되어 있으므로, ISP가 연결의 양쪽 끝에서 요청과 응답을 식별하는 것을 방지합니다. 결과적으로, 사용자는 세계의 다른 지역에 위치해 있음에도 불구하고 제한을 우회할 수 있습니다.

마찬가지로, 인터넷을 안전하고 익명으로 탐색하기 위해 VPN을 사용할 때, 서비스는 사용자의 장치와 ISP 간에 암호화된 터널을 생성하고 터널링을 사용하여 ISP가 사용자의 온라인 활동을 볼 수 없도록 합니다. 또한, 사용자의 IP(인터넷 프로토콜) 주소를 무작위 주소로 마스킹하여 인터넷을 탐색하는 동안 익명성을 유지합니다. 그러나 IP 주소가 완전히 추적 불가능하다고 말할 수는 없으며, VPN에는 이러한 정보를 복구하는 데 악용될 수 있는 몇 가지 허점이 있습니다.

VPN과 관련된 문제는 무엇인가요? 그리고 왜 완벽하지 않나요?

장치에서 VPN 클라이언트를 사용할 때, 연결이 암호화되고 IP가 마스킹되더라도 여전히 다른 매개변수를 사용하여 추적될 수 있습니다. IP 주소는 인터넷 프로필에서 추적 가능한 작은 정보 조각입니다. 그리고 공격자나 광고주가 인터넷 프로필을 생성하는 데 도움을 줄 수 있는 다른 고유한 단서들이 있습니다. 언급할 필요도 없이, 경우에 따라 VPN 서비스 제공자 자체가 공격에 취약할 수 있습니다. 그 결과, 서비스가 손상되어 사용자의 모든 정보가 인터넷에 노출될 수 있습니다.

1. 모호한 개인정보 보호 정책

대부분의 VPN 제공자는 인터넷에서 데이터를 보호하기 위해 강력한 암호화 표준을 따르며, 사용자의 온라인 활동을 추적하지 않아 개인정보가 절대적으로 보호된다고 주장하지만, 특히 무료 서비스를 제공하는 서비스 제공자들 사이에서는 의심스러운 경우가 많습니다. 이는 큰 문제입니다. 이러한 서비스가 개인정보 보호 정책에서 언급하는 내용은 그들이 엄격히 준수하는 것이 아닙니다. 그리고 종종 정책에는 모호한 요소가 있거나 아예 누락된 조항이 있어, 일반 사용자가 가입 시 즉시 알아내기에는 매우 어렵습니다. 게다가, 이러한 서비스가 제공한다고 주장하는 많은 기능과 보안 조치는 기술 용어로 가득 차 있어, 일반 사용자에게는 압도적으로 느껴져 서비스의 개인정보 보호 조치에 대한 잘못된 희망을 주어 사용자를 유도합니다.

2. IP 숨기기는 필수

같은 맥락에서, 많은 VPN 제공자는 IP 주소가 개인 정보의 많은 부분을 담고 있다고 주장하며, 따라서 사용자는 이 문제를 완화하고 개인정보를 개선하기 위해 그들의 VPN 서비스에 가입해야 한다고 제안하는 경향이 있습니다. 물론, 대체로 이는 완전히 틀린 것은 아니며, IP 주소는 인터넷에서 사용자의 중요한 프로파일링 요소 중 일부를 담고 있습니다. 그러나 이는 IP 주소가 사용자의 개인 데이터에 대한 유일한 열쇠라는 것을 의미하지 않으며, 사용자를 인터넷에서 추적하는 데 도움을 줄 수 있는 다양한 다른 요소들도 존재합니다. 따라서 이러한 VPN 제공자의 주장은 단순히 마케팅 주장에 불과합니다.

3. 사용자 정보 기록 및 판매

더 나아가, VPN과 관련된 또 다른 주요 문제는 사용자 정보의 기록 및 판매입니다. 무료 VPN 클라이언트를 사용하는 경우, 사용자의 온라인 활동이 서비스에 의해 기록되고 서버에 저장될 가능성이 높습니다. 기록된 로그에는 일반적으로 사용자의 IP 주소, 방문한 사이트, 연결/해제의 타임스탬프, 세션 중 데이터 전송 등이 포함됩니다. 그러나 사용자 정보를 기록하지 않는다고 명시하는 서비스는 많지 않습니다. 대신, 이러한 서비스는 사용자들이 이해하고 정보에 입각한 결정을 내리기 어렵게 만들기 위해 정책에서 모호한 메시지를 사용합니다. 그러나 몇 가지 예외가 있으며, 대부분 유료 서비스가 사용자 정보를 기록하지 않는다는 주장을 지키고 있습니다. 하지만 안타깝게도, 이들 또한 개인정보 보호 정책에서 “기록 없음”을 명시적으로 언급하는 것을 피합니다. 게다가, 과거에는 일부 인기 있는 서비스가 사용자 데이터를 기록한 것으로 드러났습니다.

4. DNS 누수 방지를 기능으로 마케팅

기록 없음 주장 외에도, VPN 서비스 제공자는 DNS 누수를 방지한다고 주장합니다. DNS 누수란 서비스가 DNS 요청을 터널링하지 못하고 대신 ISP로 전송되는 상황을 의미합니다. 간단히 설명하자면, DNS(도메인 이름 시스템)는 도메인 이름과 관련된 IP 주소의 기록을 보유하는 분산 서버입니다. 예를 들어, youtube [dot] com을 입력하면 DNS가 도메인 이름을 지정된 IP 주소로 해결하여 쿼리에 대한 결과를 제공합니다. DNS 누수로 돌아가면, 이상적인 시나리오에서는 VPN을 통해 웹사이트를 요청할 때 즉시 해결되어야 하며, 사용자는 장치에서 페이지를 열 수 있어야 합니다. 그러나 특정 경우에 VPN이 이를 비밀로 유지하지 못하고 요청한 웹사이트의 DNS 항목을 ISP에 누출하는 경우가 있습니다. 일부 서비스가 이를 기능으로 제공한다고 주장하지만, 이는 본질적으로 무의미한 아이디어처럼 보입니다. 왜냐하면 VPN을 사용할 때 DNS 누수가 발생하지 않도록 보장하는 것은 기본적인 기능이어야 하며, 서비스 제공자가 기능으로 마케팅할 필요가 없기 때문입니다.

5. 트래픽 암호화 약속

마지막으로, 암호화에 대한 우려는 사용자들 사이에서 많은 혼란을 초래하는 문제입니다. 대부분의 서비스 제공자는 VPN을 사용하면 데이터가 공용 네트워크에 도달하기 전에 강력한 암호화 표준으로 암호화된다고 주장하지만, 여기서의 단어 놀이는 사용자가 그들의 약속에 속아 서비스를 즉시 구독하도록 만듭니다. 서비스가 데이터를 암호화하더라도, 암호화의 정도가 중요한 역할을 합니다. 이는 본질적으로 암호화된 통신의 일부가 서비스에서 기대할 수 있는 개인 정보 보호 및 데이터 보안 수준을 결정합니다. 대부분의 경우, VPN 제공자는 사용자의 장치와 ISP 간의 연결을 포함하는 통신의 일부를 암호화하지만, ISP에서 목적지 서버로의 데이터 전송은 암호화되지 않습니다. 따라서 데이터가 사용자의 장치와 ISP 간의 안전한 터널을 통해 흐를 때, 사용자는 그것이 외부의 시선으로부터 안전하다는 것을 확신할 수 있습니다. 그러나 ISP를 넘어 목적지 서버까지의 데이터는 모두 암호화되지 않아, 처음부터 VPN이 없던 것과 거의 동일한 상황에 놓이게 됩니다.

또한 TechPP

[작동 중] 2024년에 사용할 수 있는 15가지 최고의 무료 VPN 서비스 더 알아보기

이 모든 우려는 최종 소비자를 미지의 영역에 남겨두며, 대다수의 경우 프리미엄을 지불하더라도 사용자는 서비스가 완전한 익명성을 제공하고 정보를 위험에 빠뜨리지 않는지 확신하지 못합니다. 게다가 일부 서비스의 정책은 사용자의 데이터를 처리하는 방법과 타겟 광고를 처리하기 위해 취하는 조치를 명확하게 설명하지 않습니다.

VPN을 사용해야 할까요?

개인 정보를 유출할 수 있는 다양한 요소와 VPN 서비스의 무용성을 논의한 후, 실제로 서비스가 도움이 될 수 있는 특정 사용 사례 시나리오가 있습니다. 그러나 언급할 가치가 있는 것은, 선택한 옵션에 대해 철저한 조사를 하고 목록의 다른 서비스와 비교해야 한다는 것입니다. 그리고 가장 중요한 것은, 결정을 내리기 전에 반드시 그들의 개인정보 보호 정책을 주의 깊게 읽어야 한다는 것입니다. 언급할 필요도 없이, “무료” VPN 서비스에 속지 않아야 하며, 이러한 서비스의 거의 모든 것이 개인 정보를 광고주에게 판매하여 서비스 운영을 위한 수익을 창출하고 있으며, 외국 정보 수집을 위해 사용자의 트래픽을 모니터링할 수도 있습니다. 이는 VPN을 처음 시작하는 대부분의 사람들이 간과하는 측면이며, 종종 이러한 무료 서비스에 속아 넘어갑니다. 그러나 사용자가 구독하기 전에 서비스를 직접 확인할 수 있도록 무료 체험을 제공하는 몇 가지 서비스가 있으며, 이는 개인정보 보호 정책을 철저히 확인하면 신뢰할 수 있는 서비스임을 제안합니다.

비록 이 기사에서 VPN의 단점과 결점을 강조했지만, VPN을 완전히 포기하라는 것은 아닙니다. 오히려, 중요한 상황에만 사용을 제한하라는 것입니다. 예를 들어, 회사의 사설 네트워크에 접근하거나, 지리적으로 제한된 콘텐츠를 우회하거나, ISP 수준의 콘텐츠 차단을 우회하거나, 긴급 상황에서 호텔이나 카페의 공용 네트워크에 접근하기 위해 VPN을 사용할 수 있습니다.

게다가, VPN의 대안으로 고려할 수 있는 다른 솔루션이 있으며, 이러한 대안은 VPN의 필요성을 완화하는 데 도움이 될 수 있습니다. 이러한 대안 중 일부는 Smart DNS — 지리적으로 제한된 웹사이트에 접근하기 위해 위치를 숨기는 데 사용; Tor(온ion 라우터) — 보안과 익명성을 높이고 제한을 우회하는 데 사용; Orbot 및 Orfox와 같은 모바일 애플리케이션 — 사용자의 장치에서 Tor를 통해 트래픽을 리디렉션하는 데 도움을 줍니다; 등입니다.