공개된 (무료) VPN의 어두운 면

유료 VPN 회사조차 사용자의 개인 정보를 완벽하게 보호하지 못하는 상황에서 100% 무료 VPN 서비스에 완벽을 기대하는 것은 현실적으로 불가능합니다. 무료 VPN을 선택하는 것은 때로는 매력적인 제안일 수 있습니다. 개인적으로 저 역시 특정 웹사이트의 국제 버전을 확인하기 위해 무료 VPN을 사용하곤 합니다. 이 글에서는 무료 VPN을 선택할 때 고려해야 할 사항과 관련 위험 요소, 그리고 합법적으로 무료 VPN 서비스를 제공하는 회사가 있는지에 대해 이야기하고자 합니다. 또한, 일부 VPN 회사의 개인 정보 보호 주장이 실제로는 사실이 아니었던 사례들을 살펴보며, 궁극적으로 유료 VPN조차 우리가 믿고 싶어하는 만큼 안전하지 않을 수 있다는 점을 지적할 것입니다. 그럼, 함께 시작해 보겠습니다!

VPN(무료 및 유료)을 ‘개인 정보 보호 중심’ 제품이라고 단정 지어 말하기는 어렵습니다. 분명 적절한 보안은 제공되지만, 최고의 ‘로그 없음’ VPN을 포함하여 인터넷에 접속하는 순간 100% 개인 정보 보호는 사실상 불가능합니다. 복잡한 기업 구조와 개인 정보 정책에 숨겨진 세부 사항들 때문에 완전한 익명성은 실현되기 어렵다고 보는 것이 합리적입니다. 게다가, 어떠한 정보도 기록하지 않고 인터넷 서비스를 제공하는 것 자체가 불가능하다고 생각합니다.

결국, 이는 여러 ‘악마’ 중 하나를 선택하는 것과 같습니다. 인터넷 서비스 제공업체나 정부가 아니더라도, 당신은 이름도 모르는 해외의 누군가를 신뢰하게 되는 것입니다. 이러한 현실은 다소 불편하게 느껴질 수 있습니다. 하지만 VPN 사용은 항상 데이터 공유가 발생할 수 있다는 점을 인지한 상태에서 이루어져야 하는 의식적인 결정입니다. 이를 통해 향후 스트리밍을 위해 VPN을 선택할 때 무엇을 주의해야 할지 알 수 있습니다.

하지만 불법적인 활동에 연루되지 않은 ‘일반적인’ 사용자라면 크게 걱정할 필요는 없습니다. 좋은 VPN을 충분히 신뢰할 수 있습니다. 대부분의 VPN 사용자가 원하는 것은 무제한 엔터테인먼트, 공용 Wi-Fi 보안, 일반적인(절대적이지는 않은) 개인 정보 보호, 인터넷 검열 시스템을 우회하여 특정 리소스에 접근하는 것 등입니다. 하지만 이는 대부분 유료 VPN에 해당되는 이야기입니다. 그렇다면 무료 VPN은 어떨까요?

무료 VPN 서비스의 현실

‘무료라면 당신이 상품이다’라는 격언은 무료 VPN 서비스에도 적용됩니다. 그렇다면 이러한 회사들이 어떻게 운영되는지 실제 사례를 통해 알아보겠습니다. 다음은 무료 버전을 제공하는 Hola VPN 서비스의 FAQ 섹션입니다.


출처: Hola

Hola VPN은 무료 사용자가 다른 사용자와 유휴 대역폭을 공유한다는 사실을 명확히 밝히고 있습니다. 또한, 화이트리스트에 있는 사이트의 특정 요청만 라우팅될 것이라고 명시하고 있습니다. (투명성에 대해서는 칭찬할 만하지만, 의문점이 남습니다.) 사용자 입장에서 저는 Hola가 ‘내 장치 리소스 일부를 사용’하는 것에 대해 좀 더 자세히 설명해야 한다고 생각합니다. 예를 들어, 그들이 내 장치 리소스를 사용하는 범위와 정확한 방법은 무엇일까요? 누군가가 내 IP 주소를 사용하여 인터넷에서 어떤 활동을 하고 있는 것은 아닐까요?

또한, 그들은 사용자에게 서비스 약관(TOS)을 제공하는데, 여기에서 그들이 어떻게 무료 서비스를 유지할 수 있는지에 대한 단서를 찾을 수 있습니다.

이는 무료 사용자가 웹 프록시 및 데이터 스크래핑 솔루션을 제공하는 Bright Data 네트워크(동일 소유자가 공동 설립)의 파트너가 될 수 있음을 의미합니다. 또한 무료 사용자는 Bright Data SDK SLA를 자동적으로 수락하는 것으로 간주됩니다. 링크를 클릭하면 Bright Data SDK의 최종 사용자 라이선스 계약(EULA)으로 이동합니다. 이는 또한 사용자가 개인 정보 정책에 동의하는 것으로 간주됨을 의미합니다. 두 곳을 모두 확인했지만 ‘Hola’라는 단어는 찾을 수 없었습니다.

이러한 복잡한 기업 구조 때문에 보안 전문가들이 무료 VPN 서비스 사용에 반대하는 이유를 이해할 수 있을 것입니다. 하지만 이것이 전부는 아닙니다.

무료 VPN 서비스 사용의 위험

위에서 언급한 사례는 빙산의 일각에 불과합니다. 무료 VPN을 사용하면 다음과 같은 더 많은 위험에 노출될 수 있습니다.

  • 수상한 회사 배경: 100% 무료 VPN 서비스 제공업체는 실질적으로 연결된 사람이 없는 경우가 많습니다. 또한 비윤리적인 사업 관행에 대한 전력이 있을 수도 있습니다.
  • 데이터 로깅 및 공유: ‘무료 서비스’를 유지하기 위해 개인 정보를 제3자 기관(주로 광고주)과 공유하거나 다크 웹에서 판매할 수 있습니다.
  • 취약한 보안: 무료 서비스를 지속적으로 제공해야 한다면, 유능한 개발자를 고용하기가 어려울 것입니다. 이는 허술한 사용자 경험과 낮은 수준의 보안 프로토콜로 이어집니다.
  • 악성 코드 배포: 무료 VPN 서비스를 이용할 때 발생할 수 있는 심각한 부작용 중 하나입니다. 서비스는 정말 ‘좋다’고 느껴질 수 있지만, 금전적 피해를 복구하는 것은 매우 어렵고 숨겨져 있습니다. 스파이웨어나 랜섬웨어와 같은 악성 코드로 인해 장치가 감염되어 심각한 결과를 초래할 수 있습니다.
  • 리소스 공유: Hola VPN이 FAQ에서 이미 언급했지만, 이러한 정보는 일반 사용자가 쉽게 읽지 않는 서비스 약관 및 개인 정보 보호 정책에 숨겨져 있을 수 있습니다.
  • 광고: 무료 VPN 서비스는 광고로 가득 차 있을 수 있습니다. 이러한 광고는 사용자 인터페이스나 브라우저에 나타날 수도 있고, 사용자를 전혀 다른 웹사이트로 리디렉션할 수도 있습니다.
  • 제한된 성능: 이는 합법적인 무료 VPN 서비스의 피할 수 없는 결과입니다. 이들은 일부 사용자가 장기 유료 고객으로 전환되기를 바라면서 무료 보급형 플랜을 제공합니다.

위에서 언급한 내용은 무료 VPN 서비스를 사용할 때 발생할 수 있는 몇 가지 위험 요소입니다. 이제 무료 또는 유료 VPN 회사에서 발생할 수 있는 실제 사건들을 살펴보겠습니다.

IP Vanish

미국에 기반을 둔 ‘독립적으로 감사된 노로그’ VPN 서비스인 IPVanish는 2016년 미국 국토안보부와 협력하여 사용자의 개인 정보(이름, 이메일, IP 주소 등)를 제공한 적이 있습니다.

이 사건은 아동 포르노 저장 및 배포와 관련된 것으로, 가해자가 처벌을 받게 된 것은 다행입니다. 하지만 이 사건은 IPVanish가 주장과는 달리 로그를 보관하고 있었음을 증명했습니다. 이 사건 이후, IPVanish는 2017년 StackPath에 매각되었습니다.

PureVPN

PureVPN은 법 집행 기관(FBI)과 협력하여 사용자를 체포한 또 다른 VPN 서비스입니다. 이번 사건은 ‘노로그’ VPN 서비스를 이용한 사이버 스토커와 관련된 사건이었습니다. 하지만 VPN 제공업체는 실제 IP 주소를 포함한 모든 개인 정보를 제공하여, 궁극적으로 불법 활동을 가해자와 연결할 수 있었습니다. 다시 한번, 범인을 잡기 위해 노력한 수사 당국의 노력에 감사드립니다.

하지만 ‘노로그’라는 문구가 VPN 업체들에게 고객 유치를 위한 마케팅 수단 외에 다른 의미가 있는지 의심스럽습니다.

HideMyAss

이번에는 VPN이 온라인에서 무엇이든 할 수 있는 무료 티켓이라고 생각했던 해커 그룹 LulzSec의 사례입니다. 구체적으로, LulzSec 회원은 HideMyAss (HMA) VPN 서비스를 사용하면서 2011년 Sony Pictures Entertainment에 사이버 공격을 가했습니다. HMA는 이미 다른 온라인 유출로 인해 해커 그룹 구성원이 서비스를 사용하고 있다는 것을 알고 있었지만, 불법적인 증거가 없었기 때문에 아무 조치를 취하지 않았습니다. 그러나 법원 명령으로 상황이 바뀌었고, HMA와 FBI의 협력으로 해커가 체포되면서 사건이 마무리되었습니다.

개인적으로 저는 VPN 사용 여부와 상관없이 온라인이든 오프라인이든 모든 종류의 범죄 행위에 반대합니다. 그럼에도 불구하고 이러한 언급은 ‘거의’ 없다는 사실은 한 가지 중요한 점을 시사합니다. VPN은 법 집행 기관으로부터 절대적인 개인 정보 보호를 제공하도록 설계되지 않았다는 것입니다. 또한 일부 회사는 홈페이지 전체에 ‘로그 없음’이라고 광고하고 있지만, 실제로는 사용자의 개인 정보를 보관하고 있을 수도 있습니다. 그러나 소비자 개인 정보 보호 측면에서 더욱 나은 회사도 있다는 점을 언급하는 것이 공정할 것입니다.

보시다시피, 좋은 VPN을 정의하거나 나쁜 VPN과 구별하는 데 도움이 되는 확고한 지침은 없습니다.

좋은 VPN 선택 (무료 또는 유료)

2년 이상 이러한 도구를 직접 사용하고 연구한 경험을 바탕으로 몇 가지 조언을 드리고자 합니다. VPN 선택 시 고려해야 할 기술적인 기능은 생략하고, 개인 정보 보호가 최우선이라면 해당 회사에 대한 일반적인 조사를 하는 것을 추천합니다.

#1. 관할권

일반 사용자는 잘 모르지만, 전 세계적으로 시민 데이터를 공유하는 감시 동맹이 존재합니다. 가장 흔한 동맹은 Five Eyes, Nine Eyes, Fourteen Eyes입니다. 최소한 개인 정보 보호에 관심 있는 사용자는 이러한 국가에 본사를 두지 않은 VPN 회사를 선택해야 합니다. 또한 권위주의 체제에 기반을 둔 VPN 제공업체는 피해야 합니다.

#2. 100% 무료?

만약 회사가 완전 무료 VPN 서비스만 제공한다면, ‘비전문적인’ 운영 방식일 가능성이 큽니다. 이미 언급했듯이 회사는 당신이 유료 플랜으로 전환하길 바라며 무료 서비스를 제공합니다. 또한, 입소문 마케팅에도 도움이 됩니다. 하지만 이것이 모든 유료 VPN 제공업체가 훌륭하다는 것을 의미하지는 않습니다. 참고로, ProtonVPN은 ‘안전하다’고 생각되는 영구 무료 등급을 제공합니다. Windscribe도 또 다른 무료 옵션이지만, Five Eyes 회원 국가인 캐나다에 기반을 두고 있습니다.

#3. 서비스 기록

과거의 기록은 피해야 할 VPN 회사를 알려줍니다. ‘VPN 회사 이름’ + 사용자 데이터 노출 또는 ‘VPN’ + 데이터 유출과 같은 검색어로 Google 검색을 해보세요. 이를 통해 문제가 있는지 조사할 수 있는 단서를 얻을 수 있습니다. 또한 Reddit에서 ‘편향되지 않은’ 의견을 찾아보거나, 동료들에게 그들이 사용하는 VPN 서비스에 대해 물어볼 수도 있습니다. 그리고 인수 합병이 발생할 경우 운영 정책에 대한 전면적인 점검이 필요할 수 있다는 점도 기억해야 합니다. 결국, 새로운 소유자를 신뢰할지 여부는 당신에게 달려 있습니다.

#4. 창립팀

VPN 웹사이트의 ‘정보’ 섹션을 확인하고 실제 사람과 관련된 정보를 찾아보세요. 창립자나 회사에서 일하는 사람들을 찾을 수 없다면, 일반적으로 큰 위험 신호입니다. 이상적으로는 소셜 미디어 프로필과 함께 몇 명의 얼굴이 표시되어야 합니다. VPN 회사가 해야 할 최소한의 일은 모회사에 대한 세부 정보를 제공하는 것입니다. 개인적으로 저는 웹사이트에 이러한 정보가 없다면 VPN은 물론 어떠한 서비스도 사용하지 않을 것입니다.

좋은 유료 VPN을 사용해 보세요!

헤비 유저에게는 유료 VPN 외에 다른 대안이 없습니다. 고품질 무료 VPN이나 프리미엄 VPN의 무료 등급에는 불가피한 몇 가지 제한 사항이 있습니다. 다시 한번 말씀드리지만, 100% 무료 VPN은 겉으로는 그렇지 않아 보이더라도 대부분 수익 창출 메커니즘을 가지고 있습니다. 그들이 돈을 요구하지 않는 대신, 개인 데이터를 판매하거나, 대역폭을 공유하거나, 광고를 표시하거나, 장치에 악성 코드를 설치하는 등의 다른 방식으로 비용을 충당하려고 할 수 있습니다. 당신이 제품이 아닌 사용자가 되십시오.

로그아웃 🫡

추신: VPN 속도가 궁금하신가요? VPN 속도를 테스트하는 방법은 다음과 같습니다.