온라인 보안을 지키기 위해서 가상 사설망(VPN)은 필수입니다. 저희는 이것을 알고 있고, 대다수의 다른 매체들도 이를 알고 있으며 독자께서도 이 기사를 읽고 계신다면 이미 알고 계실것입니다. 하지만 VPN을 더 정밀하게 들여다보면 얼마나 안전할까요? 저희는 이 가이드를 통해 그 질문에 답할 것입니다.

저희는 VPN이 사용자의 인터넷 연결을 보호하는 방법 및 그 보안 범위를 설명할 것 입니다. 이 주제를 탐구하는 이유가 VPN 권유를 위해서는 아닙니다. 그보다는 이 기술이 어떻게 작동하는지, 그리고 이 기술을 활용할 경우 알아둬야 할 보안 위험성에 대한 이해도를 높이기 위한것입니다.

짧은 답변을 원하신다면 VPN의 보안성은 거의 전적으로 제공업체에 달렸습니다. 하지만 쇼핑하며 고르실 필요는 없습니다. VPN 추천 가이드를 읽을 수 있습니다.

VPN을 사용하면 추적당할 수 있는가?

먼저 이 주제는 간단하지 않다는 것을 알아두십시오. 자세한 설명으로 들어가기 전, 먼저 VPN의 기능에 대해 이야기해 봅시다. VPN은 트래픽을 암호화하고 새 IP 주소를 제공합니다. 귀하의 인터넷 연결은 원격 서버에 암호화된 뒤 익명으로 설정됩니다. 그 후 로는 다른 서버를 통하여 계속 인터넷에 접속하는 것입니다.

귀하의 온라인 활동은 새로운 IP와 상관없이 여전히 존재하기 때문에 이것은 유의해야하실 점입니다. 온라인 상태인 누군가가 귀하의 인터넷 연결을 귀하의 컴퓨터로 추적할 수는 없지만 온라인 활동은 여전히 볼 수 있습니다. VPN을 사용하여 포럼 등에서 모욕적인 말을 하더라도 누군가가 여전히 귀하의 온라인 활동을 추적 할 수 있다는 점을 알아두시기 바랍니다.

VPN을 사용하더라도 누군가 온라인에서 내 활동을 추적 할 수 있습니다. 하지만 연결을 추적할 수는 없습니다. 즉, 로컬 컴퓨터에서 어떤 요청을 보내는지 아무도 모릅니다. 현재 본인이 있는 사이트는 그 사이트에서 귀하가 수행하는 모든 작업에 대해 계속 추적할 수 있지만 해당 활동을 사용자와 연결할 수는 없습니다.

ISP 및 정부 추적

복잡한 부분을 제외하고 ISP1 및 정부 추적에 대해 이야기 해보겠습니다. 다시, 동일한 규칙이 적용됩니다. 자신의 개인 정보를 사용하여 온라인에서 무언가를하는 경우 누군가 공개 포럼을 통해 이를 추적할 수 있습니다. 그러나 정부와 ISP는 귀하가 온라인에서 수행하는 작업을 추적 할 수 없습니다.

이는 초기 암호화된 연결 때문입니다. 연결을 ISP로 라우팅하고 정부 스누핑에 개방하는 대신 VPN은 요청을 암호화하여 두 기관 모두 사용자가 전송한 사람임을 알지 못하도록합니다. 잠시 후 살펴보겠지만 최신 VPN 보안은 거의 뚫을 수 없기 때문에 보호를 받을 수 있습니다.

경찰은 인터넷에서 사용자를 어떻게 추적하나요?

모든 내용은 인터넷 서비스 공급자(ISP)가 제공 한 IP 주소로 제공됩니다. 인터넷에 연결하는 회사에는 제한된 수의 IP 주소를 보유하고 있기 때문에, 기관에서 “온라인 접속”에 사용중인 ISP 또는 이동통신사를 비교적 쉽게 알 수 있습니다.

여기에서 기관이 필요한 것은 IP 주소가 할당된 위치, 어떤 사용자에게 할당되었는지와 같은 기타 세부 정보를 공개하라는 법원 명령뿐입니다.

스마트폰에서 인터넷에 연결할 때도 상황은 비슷합니다. 기관은 사용자와 이동통신사로부터 사용자의 소재에 대한 정보를 얻기 위해 법원 명령을받습니다.

일부 국가에서 ISP(위에서 언급했듯이 이동 통신사도 포함)는 법에 따라 일정 기간, 때로는 심지어 수년간의 기록을 보관해야합니다. 이는 심각한 범죄를 해결해야 할 때 당국이 활용할 수있는 방대한 데이터풀입니다. 이 말은 우리의 개인정보가 포위당하고 있다는 또 다른 증거입니다.

VPN이 해킹될 수 있나요?

VPN은 여러분이 예샹하는 것과는 달리 해킹될 수 있습니다. 위에서 언급했듯이 상용 VPN 서비스는 일반적으로 AES-256 또는 ChaCha20 형태의 최고 수준의 암호화를 사용하여 연결을 보호합니다. 이 두 암호는 모든 암호화 중 최고 수준이며, 당신의 온라인 활동을 비공개로 만듭니다.

간단히 말해, 누군가가 귀하의 개인 VPN 터널을 해킹하는 것에 대해 걱정할 필요가 없습니다. 수십 대의 슈퍼 컴퓨터와 약 1조년의 여유 시간이 있다면 가능한 바보같은 이야기입니다 (여기서는 과장이 없습니다). 그러나 VPN은 다른 방식으로 해킹될 수 있으며 해킹되었을 수 있습니다.

예를 들어, NordVPN은 2018 년에 데이터 해킹을 당했습니다. 무서운 일이지만, 이 해킹에는 NordVPN이 전체 네트워크를 신속하게 감사하도록 하는것 외에는 서비스 또는 서비스를 이용하는 사용자에게 영향을 미치지 않았습니다. 하지만 VPN 서비스의 실패는 아니었습니다. 이는 NordVPN 네트워크에있는 데이터 센터 중 하나의 보안 문제였습니다. NordVPN은 사용하셔도 안전합니다.

데이터 센터 문제

VPN 서비스는 네트워크에서 서버를 소유하고 운영하는 경우는 거의 없습니다. 이는 실용적이지 않습니다. 데이터 센터를 시작하는 데 수백만 달러의 비용이 들 수 있으며 전 세계에서 최원거리 지역에서 시작하는 것은 말이되지 않습니다. 오히려 VPN 서비스는 기존 인터넷 서비스 제공 업체로부터 서버 공간을 임대하거나 구매합니다.

예를 들어 AirVPN에는 M247(여러 다른 서비스를 위한 유명한 VPN 연결 허브)에서 운영하는 일부 데이터 센터가 있습니다. 이 경우 AirVPN은 서버 공간을 판매하지 않습니다. 오히려 기존 ISP와의 서버 공간이 이미 있으며 해당 서버와의 연결을 협상하는 소프트웨어를 판매하고 있습니다.

VPN 터널은 문제가되지 않지만 외부 ISP는 그렇습니다. 바로, ISP의 보안 수준에 따라 시스템의 약간 연결고리들입니다. 대부분의 경우 보안수준은 괜찮습니다. ISP가 보안 수준이 낮다면 사업을 시작하지 못했을 것입니다. 그러나 드물게 무언가가 균열을 통해 흘러나가는 경우 일반적으로 데이터 센터에서 발생합니다.

하지만 이는 물론 이론적인 이야기로, 현재까지 가장 큰 VPN 해킹은 의심 할 여지없이 NordVPN이 겪은 문제로 그 당시에도 문제는 단일 VPN 서버로 분리되었습니다.

해커는 VPN을 공격 할 수 있습니다. 즉, VPN 터널 자체를 대상으로하지 않을 것입니다. ProtonVPN은 여전히 외부 ISP를 사용하지만 이전 군용 벙커로 사용되던 곳에 소규모 서버를 두고 있습니다.

VPN은 얼마나 안전한가요?

VPN에 대해 본질적으로 안전한 것은 없으며 실제로 VPN이 작동하는지 궁금할 수 있습니다. 가상사설망의 분석에서 설명했듯이, 이 기술은 단순히 사용자가 다른 사설 네트워크에 원격으로 액세스할 수 있도록하는 데 사용됩니다. 기업들은 직원이 회사 리소스에 원격으로 액세스 할 수 있도록 오랜 기간 VPN을 사용해 왔습니다.

이와 같은 소규모 어플리케이션의 경우 사용자는 사용자 이름과 비밀번호만 있으면됩니다. 직원이 로그인을 통해 회사의 VPN에 연결하면 마치 물리적으로 연결된 것처럼 내부 네트워크에 접근 할 수 있습니다.이는 가상으로 생성된 로그인 자격 증명으로 보호되는 사설 네트워크입니다.

프로토콜의 모든 것

프로토콜은 연결을 협상하여 차이를 만듭니다. 위에서 설명한 바와 같이, 초기에 인기있었던 지점간 터널링 프로토콜은 연결에 추가 암호화를 제공하지 않습니다(VPN 프로토콜 분석 참조). 빠르지만 알려진 악용 사례가 많기 때문에 안전하지 않은 것입니다.

따라서 VPN에서 PPTP(지점간 터널링 프로토콜)를2 사용하는 경우 연결이 매우 안전하지 않습니다. 다행히 대부분의 경우 문제가 되지 않습니다. 대부분의 상용 VPN은 PPTP를 제거했지만 여전히 PPTP를 지원하는 몇 가지 서비스가 있습니다. 예시는 PureVPN 리뷰와 사설 인터넷 액세스를 읽어보세요.

오늘날 OpenVPN은 대부분의 공급자를 위한 프로토콜입니다. 여전히 서버 네트워크에 대한 원격 연결을 협상하지만 그 위에 암호화 계층을 추가합니다. 추가 암호화를 사용하면 연결 속도는 느려지지만 훨씬 더 안전합니다.

VPN을 통한 보안은 주로 프로토콜에 의해 결정됩니다(개인 정보 보호에 대한 설명은 곧 하겠습니다). AES와 페어를 이루는 OpenVPN은 모든 VPN 서비스의 표준입니다. 키 사이즈는 다를 수 있지만 AES의 전체 보안에는 거의 영향을 미치지 않습니다. 글을 쓰는 시점에서도 VPN이 제대로 구현된 경우 AES의 악용은 확인되지 않았습니다.

암호화도 점점 좋아지고 있습니다. 여러 VPN 서비스가 OpenVPN보다 빠르고 더 안전한 와이어가드(WireGuard)를 구현하기 시작했습니다. 이는 다시 한번 언급하지만, 글을 쓰는 시점에 알려진 악용 사례가 없는 새로운 ChaCha20 암호를 사용합니다.

VPN 공급자가 이러한 프로토콜과 암호의 조합을 사용하는 한, VPN 터널의 보안에 대해 걱정할 필요가 없습니다. 이 말은, VPN 공급자가 모든 것을 올바르게 구현한 경우를 일컫습니다.

완전 순방향 비밀성  

거의 언급되지는 않지만 VPN 보안에서 매우 중요한 주제인 PFS(완전 순방향 비밀성)에 대해 이야기 해보겠습니다. AES는3 포트녹스 처럼 안전 할 수 있지만, 뚫을 수 없다는 뜻은 아닙니다. 에단 헌트는 미션 임파서블에서 강력하게 보호되고있는 CIA 기지를 무너뜨릴 수 있었지만, 무차별 대입 전술을 이용하며 기지를 무너뜨리지 않았습니다. 과장이지만 동일한 개념이 암호화에 적용됩니다.

사이버보안 연구팀인 트러스트 웨이브(Trustwave)는 2013 년에 AES를 완전히 해독할 수 있었습니다. 사후 분석에서 팀은 가장 중요한 취약점이 키의 재사용이라는 것을 발견했습니다. 이것이 완전 순방향 비밀성이 작용하는 곳입니다.

즉, 완벽 순방향 비밀성은 향후 모든 세션들이 암호화 영역에서 “새로운”것으로 간주되도록합니다. VPN 서버에 연결하면 해당 서버는 트래픽을 암호화하고 해독하기 위해 암호화 키를 유지합니다. 이러한 키가 재사용되면 누군가가 암호화된 연결을 수신하고 단일 키를 해독할 수 있습니다.

이것은 미션 임파서블의 CIA 기지에 대한 일부 사소한 결함과는 달리, 보안에 내재 된 결함입니다. 완벽 순방향 비밀성은 암호화 키를 새로고쳐 향후 트래픽이 이전 세션에 의해 손상되지 않도록합니다. ExpressVPN 및 사설 인터넷 액세스를 포함하여 수많은 서비스가 PFS를 핵심 보안을 위한 기둥으로 사용합니다.

개인정보는 어떻게 되나요?

그래도 가공되지 않은 보안 방식보다 VPN이 어떻게 더 안전하게 도달하는지 알아내봅시다. 개인정보 보호는 주요 요소이며 보안된 VPN과 안전하지 않은 VPN을 구분하는 요소입니다. 프로토콜에 따라 VPN을 사용할 때 연결이 암호화되지만, 연결 경로의 전체에 대해 암호화를 그대로 유지하지는 않습니다.

VPN 서버에서 연결이 해독됩니다. 그렇지 않으면 넷플릭스와 같은 사이트에서 귀하의 요청을 볼 수 없습니다. 귀하의 요청은 귀하의 ISP 및 정부로부터는 숨겨질 수 있지만 VPN 서버는 이를 실행하기 위해 여전히 그 요청을 받아들여야 합니다.

여기에서 유명한 “기록 없음”이 나오는 것입니다. 사이버고스트(CyberGhost), ExpressVPN 및 NordVPN과 같은 서비스는 연결 로그에 개인정보를 저장하지 않거나 완전히 제거하는 서버 수준에서 익명화 프로세스를 사용합니다. 초기 연결이 암호화되고 연결이 기록에서 로그오프되므로 완전히 안전합니다.

하지만 이것은 그저 이론일 뿐입니다. IPVanish 및 Avast SecureLine VPN과 같은 특정 VPN들은 클레임에도 불구하고 사용자 데이터를 기록하는 것이 확인되었습니다. 단순히 암호화를 보고 결정을 내리는 문제가 아닙니다. 대체적으로는 사용중인 서비스의 개인정보 보호정책을 신뢰하기만 하면됩니다.

감사하게도 일부 VPN 공급자는 자체 감사 (예 : VyprVPN)를 통해 더욱 발전했습니다. 사설 인터넷 액세스 및 윈드스크라이브(Windscribe)와 같은 회사는 법정 증인 소환에서 정보를 기록하지 않는 것을 입증하였습니다.

최종 의견

VPN 안전에 대한 이분법적인 주제가 아닙니다. 온라인에서의 보호 여부를 결정할 수 있는 여러 변수들의 집합체 입니다. 그럼에도 불구하고 ExpressVPN, 사이버고스트, NordVPN 및 사설 인터넷 액세스와 같은 서비스는 그들이 해야할 모든 기준을 충족했으며 그 과정에서 이전보다 훨씬 더 안전하게 연결 상태를 유지해주고 있습니다.

저희는 VPN을 사용하시는 것을 강력하게 추천드립니다. 귀하를 안전하게 지킬 수 있는 것을 사용하세요. 댓글에 어떤 서비스를 사용하고 있는지 함께 이야기 나누어주시고, 지금까지 긴 글을 읽어 주셔서 감사합니다.

  1. https://ko.wikipedia.org/wiki/ISP_(동음이의)
  2. https://www.expressvpn.com/kr/what-is-vpn/protocols/pptp
  3. https://namu.wiki/w/AES