VPN이 정말 익명성을 보장할까

VPN(Virtual Private Network)이 익명성을 제공하는지 궁금해하는 사람이 많다. 일부 VPN 서비스는 ‘가장 빠르다’는 과감한 주장과 함께 익명성을 특징 중 하나로 광고한다. VPN을 통해 인터넷에 연결해 아무도 모르게 웹 사이트를 방문하고 파일을 다운로드하고 영상을 시청할 수 있다면 꽤 유용할 것이다. 하지만 정말 그럴까? VPN 서비스에 결재하기 전에 몇 가지 알아 두어야 할 사실이 있다. 일단, VPN은 사용자의 활동을 숨겨주지만 VPN이 보호하지 못하는 영역에서는 다양한 방식으로 신원이 드러날 수 있다. 이런 영역에 관한 한 그 어떤 VPN도 익명성을 제공하지 못한다. 이 사실을 정확히 이해하기 위해 일단 VPN 작동 방식부터 살펴보자.
 

VPN 작동 방식

엄밀히 말해 VPN은 온라인 프라이버시를 강화한다. 프라이버시 대신에 익명성이라는 말을 사용해서는 안 된다. VPN 앱에서 연결 버튼을 누르면 현재 사용자가 쓰는 기기와 가까운 곳에 있는 VPN 서버 사이에 암호화된 연결이 생성된다. 이 연결은 암호화되므로 누구도 이 연결을 통해 전송되는 데이터를 가로채서 읽을 수 없다. VPN을 사용하면 누구도 사용자가 어떤 일을 하고 있는지 알 수 없다는 주장도 여기서 출발한다. 예를 들어, ISP는 방문하는 웹 사이트에 대한 기록을 남길 수 없으며, 그 누구도 전송되는 메시지나 이메일을 읽거나 다운로드하는 파일의 이름, 콘텐츠가 무엇인지 알 수 없다.
 
단, 이런 특성은 <그림 1>의 왼쪽, 즉 연결의 암호화된 부분에만 적용된다. 즉, 데이터가 VPN 서버에 도달할 때까지만 암호화된다. <그림 1>은 PC가 VPN 서버에 연결되는 상황만 보여주지만, 스마트폰, 태블릿, 스마트 TV도 마찬가지다. 일단 데이터가 VPN 서버에 도달하면 복호화한 후 실제 사용자가 접속하려는 웹 사이트나 웹 서비스로 전송된다. VPN 서버와 웹사이트 사이까지 암호화하는 것은 불가능할까? 그렇다. 이 데이터까지 암호화하면 웹 사이트가 로그인 또는 결제 세부사항 등 전송하는 데이터를 복호화 할 수 없어 사용자가 정상적으로 해당 웹 사이트와 서비스를 사용할 수 없다. 따라서 VPN 사용자는 모든 연결이 암호화되는 것이 아니라는 점을 알아야 한다.

VPN 서비스가 사용자가 방문하는 사이트, 대화 상대방, 시기 및 시간을 정확히 확인할 수 있다는 점도 중요하다. 물론 실제로는 VPN 서비스 업체가 이런 데이터를 기록하지 않으며, VPN 업체 직원 혹은 VPN 서버가 위치한 데이터센터 직원도 해당 데이터에 접근하지 않는 것으로 알려져 있다.

사실 VPN을 사용하지 않더라도 기기에서 인터넷을 통해 이동하는 많은 데이터가 암호화된다. 현재 거의 모든 웹 사이트가 https나 다른 암호화 프로토콜을 사용해 데이터를 보호한다. 그렇다고 VPN이 의미 없는 것은 아니다. VPN을 사용하면 기존의 암호화 여부에 상관없이 인터넷으로 전송되는 모든 데이터를 암호화해 이차적인 보호를 제공한다. 이런 보호 덕분에 혹시라도 암호화되지 않은 상태로 전송되는 메시지와 비밀번호 등의 정보를 더 안전하게 주고 받을 수 있다.

현재 VPN 서버와 웹 사이트 혹은 웹 서비스 사이의 연결은 이런 이차적인 암호화 계층이 없기 때문에 연결을 가로채면 ‘평문’으로 전송되는 데이터를 읽을 수 있다. 하지만 VPN 서버를 통해 연결하면 추적할 수 있는 숫자로 이루어진 문자열인 IP 주소가 추적할 수 없는 숫자로 이루어진 새로운 문자열로 대체되기 때문에 사용자의 신원을 보호할 수 있다.

일부 VPN 서비스는 프라이버시를 더 강화하기 위해 ‘이중 VPN’ 또는 ‘다중 홉’을 제공한다. 그러면 연결이 2개 이상의 서버를 통해 순차적으로 라우팅 되고 IP 주소가 매번 변경된다. 이렇게 하면 동작 IP 주소, 즉 인터넷 서비스 제공자가 제공한 IP 주소를 찾기가 매우 어려워진다. IP 주소는 숫자에 불과하지만 고유하며 실제 사용자의 위치를 때로는 매우 정확하게 알려준다. 일반적으로 VPN을 사용하지 않으면 기기 또는 웹 브라우저에서 인터넷 연결을 통해 전송되는 다른 정보 외에 IP 주소를 추적할 수 있는데, 사이버 범죄자가 대개 이런 정보를 기반으로 검거된다.

IP 주소를 숨기는 것 외에 VPN 서비스는 자체 또는 제3자 DNS 서버를 이용해 사용자의 활동을 숨긴다. DNS 서버는 인터넷 주소록과 같다. www.google.com 등 웹 사이트의 이름을 8.8.8.8 등 IP 주소로 전환하며, 이런 방식으로 URL을 입력하면 웹 브라우저가 해당하는 웹 페이지를 로딩 할 수 있다. 일반적으로 VPN 없이 인터넷을 사용하면 ISP의 DNS 서버를 사용해 전환하게 되며, 이를 ‘룩업(Lookup)’이라 부른다. 하지만 좋은 VPN 서비스는 IP 주소를 대체할 뿐 아니라 자체적인 DNS 서버가 있어서 사용자가 웹 사이트를 찾아 이동하는 활동을 비밀로 유지한다. 
 

VPN이 정말 익명성을 보장할까

VPN 서비스 업체는 이런 특성을 내세우며 익명성을 지원한다고 주장한다. 과연 그럴까. 일단 VPN 연결 과정을 요약하면 VPN은 인터넷 연결을 암호화하고 IP 주소를 변경한다. 따라서 사용자의 신원 또는 위치를 알아낼 수가 없다. 하지만 그렇다고 해도 아마존(Amazon) 등의 웹 사이트에 로그인하는 순간 해당 웹 사이트에 사용자의 신원이 즉시 공개된다. 더 이상 익명으로 브라우징하는 것이 아니게 된다. 마치 자신의 이름과 주소가 적힌 배지를 착용하고 상점에 걸어 들어가는 것과 같다. 

웹 사이트의 계정을 생성할 때 이름과 주소를 입력할 필요가 없을 수도 있다. 이메일 주소만 있으면 되고, 여기에 신원을 드러낼 수 있는 정보가 꼭 포함되는 것은 아니다. 하지만 이 경우에도 웹 사이트는 로그인한 이메일 주소를 알고 있기 때문에 사용자를 특정할 수 있다. 더구나 많은 웹 사이트가 이름, 주소, 성별, 생일, 결제 정보를 요구하며, 모든 것이 단일 계정으로 저장된다. 결국 대부분의 경우 로그인하는 순간 사이트가 사용자를 정확히 파악할 수 있게 된다.

설사 이런 정보를 일체 제공하지 않더라도 인터넷을 사용하면서 여전히 ‘디지털 지문’을 남기게 된다. 브라우저가 제공하는 데이터 또는 사용하고 있는 기기가 웹 사이트에 제공하는 정보 등이 대표적이다. 소프트웨어 버전 번호, 화면 해상도, 제조사 및 모델 등 일반적으로는 무해한 정보지만, 이런 데이터가 충분히 모이면 디지털 지문에 가까워진다. 적절한 지식과 툴이 사람이라면 이 정보를 이용해 사용자의 활동을 추적하고 심지어 신원을 파악할 수 있다.

VPN은 분명 사용자 추적 과정을 어렵게 만들지만 VPN을 사용한다는 것만으로 익명성이 보장된다고 생각하는 것은 위험하다. 또한, 데이터가 VPN 서버에 도달하면 복호화 되기 때문에 VPN 없이 암호화의 혜택을 누리지 못하는 이메일, SMS 메시지 등은 다른 사람이 가로채 읽을 수 있다. 왓츠앱(WhatsApp) 등 종단간 암호화 서비스를 사용하도록 권장하는 것도 이 때문이다. 특히 비밀번호, 은행 정보, 기타 기밀 정보를 공유할 때는 더 주의해야 한다. 종단간 암호화가 있는 이메일 서비스를 사용하지 않는 한 이메일 또는 SMS 메시지를 공유하지 말자. 무엇보다 무료 지메일(Gmail)은 종단간 암호화를 지원하지 않는다는 사실을 알아둘 필요가 있다.

결론적으로 VPN은 익명성을 제공하지 않는다. 단지 추가적인 프라이버시와 보안을 제공할 뿐이다. 그러나 이런 제약이 있다고 해도 항상 사용하는 것이 바람직한 것은 확실하다. 가능한 한 신뢰할 수 있는 VPN을 사용해야 하는 것도 같은 이유다.
editor@itworld.co.kr