요새 유튜브든 인터넷 사이트든 VPN 광고를 쉽게 접할 수 있습니다.
프라이버시에 대한 관심도 높아지고 세계적으로 인터넷 검열을 강화하는 추세라 수요가 급증했고
이에따라 VPN 업체들도 마케팅에 많은 돈을 투자하면서 광고도 많이 늘었습니다.
여러분들은 VPN 광고들을 보면서 무슨 생각을 하셨나요?
“와 유료 VPN을 쓰면 프라이버시를 완벽하게 지킬수 있는건가?”라는 생각은 안해보셨나요?
VPN 업체들의 광고를 요약해보면 “복잡한것 없이 몇번의 클릭이면 당신의 신원을 숨기고 당신의 프라이버시를 안전하게 지킬 수 있습니다!” 정도가 될것 같습니다.
정말 그 말 그대로일까요?
지금부터 하나씩 알아보도록 하겠습니다.
1. VPN으로 얻을 수 있는 ‘익명성’의 기준
VPN 사이트들을 들어가보면 Anonymous라는 단어는 빠지지 않고 나옵니다.
심지어 100% 라는 단어까지 붙여가며 VPN의 완벽함을 어필합니다.
여러분들이 생각하는 익명성이 지켜졌다의 기준은 어디까지인가요?
내 ISP가 내가 뭘하는지 알 수 없을때?
웹사이트가 원래 내 IP를 알 수 없을때?
이 정도를 원하신다면 VPN은 해답이 될 수 있겠습니다.
하지만, VPN이 익명성의 측면에서 할 수 있는건 IP masking 하나 뿐이고 이것만으론 ‘완벽한’ 익명성을 얻을 수 없습니다.
2. VPN으로 IP만 바꾸면 다 익명 되는거 아니에요?
실명인증된 계정이나 자신을 특정할수있는 계정을 사용하는 경우를 제외하더라도 IP만 바꿔서는 감출수 없는 정보들이 너무나도 많습니다.
쿠키, 브라우저 핑거프린팅, User agent 등 다양한 식별 정보들을 추적하는 트래커들이 존재하고 이러한 식별 정보들은 IP만 바꾼다고 덩달아 바꿔지는게 아니기 때문입니다.
예를 들어, VPN에 접속해서 웹서핑하면 IP가 바뀌었으니 구글 애드센스가 사용자를 특정할 수 없어서, 사용패턴을 수집할수 없어서 광고를 무작위로 띄우게 될까요?
전혀 아닙니다. IP가 뭐가됐건 브라우저에서 뭘 했는지 수집하면 되니까요.
결과적으로 IP만 바꿔주는 VPN이 모든 상황을 막론하고 어떠한 인터넷 사용 기록이라도 남지 않게 해주거나, 웹사이트가 절대 개개인을 특정하지 못하게 할 수 없습니다.
VPN 업체들이 쉽게 ‘익명화’라는 단어를 쓰지만, 실상은 완벽하지 않다는것만 기억해주세요.
3. 이 VPN은 No-log니까 믿고 사용해도 되겠죠?
“우리 VPN은 사용자의 Activity log, Connection log를 절대 기록하지 않습니다.”
“우리 VPN은 No-log 정책을 준수합니다.”
모든 VPN 업체들이 이렇게 말하지만, 진짜인지 아닌지 100% 확신할 근거는 없습니다.
가끔 수사 진행중 나온 발표나 법원의 판결문에서 VPN 서버를 압수했지만 로그를 발견할수 없었다거나,
VPN 업체가 협조를 했음에도 사용자를 식별할수 있는 로그를 기록하지않아 정보를 제공할 수 없었다는 법원 판결문이 나온 몇몇 VPN을 제외하고요.
몇년전부터 몇몇 업체가 제 3사의 감사 기록으로 No-log를 증명하고, 이를 장점으로 어필하지만 감사보고서를 보면 빠지지 않는 문구가 있습니다.
“조사는 OOOO년 OO월 OO일부터 XXXX년 XX월 XX일까지 진행했습니다. [감사 회사명]은 이 기간내에 [VPN 회사명]의 No-log 정책 준수를 확인했습니다. 우리가 수행한 조사는 조사기간 외의 No-log 정책의 준수를 보장하지 않습니다.“
(참고로 조사기간은 대부분 7일에서 10일 내외입니다)
결국 VPN 업체가 조사기간에만 No-log 준수하고 조사 끝나고 나서는 다시 수집하고 있더라도 소비자는 알 수 없습니다.
소비자는 VPN 업체의 주장과 제시한 근거들을 바탕으로 일방적으로 믿을 수 밖에 없습니다.
1편에서도 말씀드렸지만, VPN을 사용하면 여러분들의 ISP 대신 VPN 서버가 여러분들이 무엇을 하는지 다 볼 수 있게 됩니다.
그래서 VPN을 신뢰하지 않는 사람들은 이렇게들 말합니다.
“너희들 쓰는 ISP는 못믿으면서, 신원도 정확히 알수없는 누군가가 판매하는 VPN의 서버는 No-log라고 철썩같이 믿냐?”
이 외에도 계정당 동시접속 기기 수를 관리하기 위해 실시간으로 남을수밖에 없는 로그들도 존재합니다.
이런 추가적인 로그들을 어떻게 처리하는지 명시하지 않은 VPN이라면 선택에 있어서 감점 사유가 될 수 있습니다.
3-1. VPN 서버가 정말로 No-log 정책을 지키면 내 사용 기록은 완벽히 없어지는 거겠죠?
아닙니다.
살짝 바꿔서 말해보겠습니다.
제가 브라우저에서 시크릿 모드, 사생활 보호 모드로 웹서핑을 하면, 제 기기에는 사용 기록이 안남으니까 사용 기록은 누구도 알수없게 없어진걸까요?
아닙니다. 제 ISP가 제 기기에서 어느 사이트로 접속했는지 기억할수 있겠죠.
마찬가지입니다.
VPN 서버가 기록하지 않더라도 VPN 서버가 사용하는 ISP에 기록이 남게됩니다.
VPN을 안썼을때는 지금 사용하고 있는 ISP에, VPN을 썼을때는 VPN 서버의 ISP에
기록이 남는 대상이 바뀔뿐이지 기록은 무조건 남게됩니다.
대신 VPN 서버에는 많은 사람들이 몰리고 VPN 서버가 기록을 남기지 않는다면, 개개인이 VPN 서버를 통해 무엇을 했는지 특정하기 힘들어지는것 뿐입니다.
3-2. No-log라고 했다가 거짓말한거 들통나면 망할텐데 그럴리가 있어요?
저도 “이 정도로 사고치면 그 업체는 망하지 않을까?” 라고 생각했던 적도 있었습니다.
놀랍게도 나름 이름 있는 VPN이 이런일이 터지고도 지금까지 남아있습니다.
첫번째로 HideMyAss(HMA)라는 업체입니다.
HMA는 얼마전 No-log 정책으로 바꿨지만, 그 전까진 악용 방지를 위해 로그를 남긴다고 Privacy Policy에 명시해뒀었고 실제로 범죄자가 HMA 서버에 접속해서 범죄를 저질렀을때 영국 법원에 증거 제출까지 도왔습니다.
2011년에 벌어진 일이고 그 후에도 VPN 선택시 피해야할 사례로 계속 주목받았지만, 대부분의 사람들은 개의치 않아하거나 모른채로 사용해서 그런지 업체는 망하지 않았습니다.
두번째로 PureVPN이라는 업체는 Zero-log라고 광고했음에도 2017년에 FBI에 로그를 넘겨줬습니다.
하지만 이 업체도 여전히 잘 살아있습니다.
4. VPN을 사용하면 더 안전해지는거 아니에요?
암호가 없어서 안전하지 않은 공용 네트워크(공항, 카페, 도서관 등 오픈된 Wifi 등)에선 VPN이 사용자와 VPN 서버간에 암호화된 터널을 생성하여 제 3자가 중간에 트래픽을 가로챈다거나 변조하는것을 막을 수 있습니다.
VPN이 안전에 도움이 되는건 이게 전부입니다.
VPN은 사용자의 기기에서 VPN 서버까지만 암호화를 지원하며 이후에는 아무 관련이 없습니다.
하지만, https는 사용자의 브라우저에서 목적지까지 암호화된채로 전송됩니다.
https의 암호화 강도는 VPN이 지원하는 암호화만큼이나 안전하고 복호화가 불가능합니다.
또한 우리나라의 경우 2013년부터 사용자의 개인정보를 요구하는 웹서비스에 대해 SSL/HTTPS 의무화를 시작했습니다.
사이트가 암호화가 안된 http더라도, 로그인할때처럼 중요 정보가 오갈때만큼은 https를 사용하는것이 의무적이며, 이를 위반할경우 최대 3천만원의 과태료가 부과됩니다.
iOS 앱의 경우 2016년, 안드로이드 앱의 경우 2018년에 사용자의 개인정보를 요구하는 경우 https 사용이 의무화되었습니다.
따라서 VPN이 없더라도 평상시에 중요한 정보들이 중간에 탈취되어 해독될 가능성은 전혀 없다고 보셔도 무방합니다.
반대로 VPN 업체의 서버가 제대로 관리되지 않아 보안 문제가 생긴 경우나 VPN 클라이언트의 보안 취약점때문에 문제가 생긴 경우도 있습니다.
해킹, 취약점이나 물리적 탈취를 방어하기위해 여러 대책을 세우고 인프라에 대한 보안 감사도 진행하는 업체들도 있지만, 그렇지 않은 VPN 업체들도 많다는걸 기억하셔야합니다.
“그래도 VPN 안쓸때보단 VPN 쓴게 평소에도 더 안전한거 아닌가요?”라고 하시면, 저도 더 이상 할말은 없습니다.
그게 더 안전한지 아닐지는 본인이 판단하는거니까요.
5. 요약
① VPN은 IP만 바꿔주고 다른 식별 정보들을 변조하지 못하므로 완벽한 익명화는 불가능하다.
② VPN 업체의 No-log 주장은 제시된 근거들을 바탕으로 여러분들이 스스로 믿겠다, 안쓰겠다를 결정하셔야합니다.
어떤 근거라도 100% 확정지을수 없습니다.
③ VPN을 집에서 쓴다고 뭔가 더 안전해지는건 아니다. 오히려 VPN 업체의 관리가 미흡하면 반대로 위험할수도 있다.
④ 그래도 돈 주고 VPN을 써야하는 이유가 무엇이냐라고 하면 1편에 있습니다.
다음 글에선 VPN에 대한 오해에 대해 더 적거나 VPN 선택 기준에 대해서 올릴듯합니다.