본문 바로가기
things (제품리뷰 & etc.)

VPN의 불편한 진실(?) 그리고 TOR project

by lovey25 2019. 7. 17.

우리(?.. 나?!)는 왜 VPN을 사용해야 할까?

2019년 2월 11일 정부는 SNI 사찰을 통해서 온라인 검열을 더욱 강화하기 시작했습니다. 그전에도 정부에서 유해사이트는 DNS 서버의 차단을 통해서 제한을 해오긴 했었고 논란이 있었는데 거기다가 제한을 더 강화해서 여론이 시끌시끌했었습니다.

저는 개인적으로는 적당한 게 좋다고 생각하고 있습니다. 뭐든 장단이 있기 때문에 완전히 나쁜것과 좋은것으로 구분하기 어렵기에 우리나라의 온라인 규제는 좀 과하지 않나 생각됩니다.

정부의 인터넷 감청이 강화되면 될수록 우리는 늘 그렇듯 더 열심히 해결책을 찾아내려고 노력합니다. 실제로 차단된 사이트에서 트래픽 경향이 차단 초기에는 떨어지는 듯했으나 며칠이 지나서 원래 트래픽을 회복했다는 기사들이 있었습니다. 사용자들이 이미 우회방법을 모두 찾아서 쓸 사람은 계속 쓴다는 얘기이니 정책의 실효성에 의문이 들 수밖에 없는 대목입니다.

Virtual Private Network

아무튼 오늘 얘기하려는 것은 그런 정부의 불법 사이트 규제에 대한 것은 아니고 이런 규제 강화로 인해 각광(?) 받게 된 VPN 서비스에 대한 내용입니다. VPN은 원래 전용의 보안 내트워크를 구축해야 하지만 그 비용과 수고를 감당하기 힘들 때 그를 대신하기 위한 기술로서 VPN이라는 말 그대로 외부에서 접속을 하지만 마치 해당 네트워크 내부에 있는 것과 같은 효과를 내는 기술입니다. 물리적으로는 접속자가 국내에 있지만 해외 VPN 서버를 사용하게 되면 그 나라에서 접속한 것과 같은 효과가 있기 때문에 우리나라의 온라인 검열을 피할 수 있게 되는 것이죠.

기능적으로는 단순히 proxy서버를 이용하는 것과 동일해 보이는데요 우리는 왜 proxy가 아닌 vpn을 사용할까요?

바로 vpn은 proxy에 보안의 개념이 추가된 것이기 때문에 그렇습니다. proxy는 암호화를 하지 않기 때문에 내가 웹상에서 뭘 하고 돌아다니는지 그대로 노출될 수밖에 없습니다. 그래서 이를 숨겨줄 수 있는 vpn이 조금 더 안심이 되는 느낌이랄까요?

vpn을 이용하는 방법은 아주 간단합니다. 스마트폰에는 vpn어플이 있고 pc에서는 전용 프로그램들도 있고 웹브라우저 전용의 애드인들도 있습니다. 그리고 속도가 문제이긴 하지만 무료로 대부분의 서비스들을 이용할 수 있습니다. 이 글을 읽으시는 분들은 아마 한 번쯤 VPN 서비스를 사용해 보신 경험이 있으시겠죠. 저도 최근에는 "Sniper"라는 앱을 알게 되어서 잘 사용하고 있습니다.(Sniper는 VPN이라기보다 SNI우회에 초점이 맞추어져 있습니다.)

 

Sniper - 대한민국 1등 HTTPS 우회 앱 스나이퍼 - Google Play 앱

- 광고없는 100% 무료 솔루션! - 속도저하 없이 검열우회, 보안까지! - HTTP, HTTPS 모두 우회! - 개인정보를 일체 수집 X 누구보다 빠르게 HTTPS에 접속 하실 수 있습니다. Sniper는 현존하는 대한민국 최고의 HTTPS 우회 솔루션입니다! VPN 서버을 사용하거나 MTU를 낮춰서 우회하는 다른 솔루션과 달리, Sniper는 특정 패킷만 조작하는 방식으로 속도 저하 없이 인터넷을 빠르게 사용할 수 있습니다. 누구나 쉽게 사용하실 수

play.google.com

우리는 자유로운 영혼이기 때문에 정부가 아무리 억압하더라도 자유의 땅(site)에 가야만 합니다. 그리고 우리를 진리와 자유로 인도하는 구원중 하나가 바로 VPN이라고 할 수 있겠네요.

그렇다면 불편한 진실은? 

VPN이라는 방패 안에서 맛본 자유 덕분에 온라인상의 어떠한 잠재적 위험으로부터 VPN이 나를 지켜줄 것만 같은 든든함을 느끼셨나요? VPN안에서는 그 누구도 내 행동을 감시할 수 없을 것 같은 안도감을 느끼셨나요? 사실 저는 처음에 그랬습니다. 물론 나쁜 짓을 해서 숨으려고 하는 건 아닙니다. 그냥 누군가가 내 일거수일투족을 지켜보고 있다고 생각하면 기분 나쁠 때 있잖아요. 

VPN을 단순히 특정 사이트 우회 접속을 목적으로 사용한다면 큰 문제는 없다고 할 수 있습니다. 그러나 접속자의 개인정보를 숨겨서 익명성을 보장받고 그에 따른 보안적인 측면까지 기대했다면 그 기대가 너무 컸다는 것이 얘기하고자 하는 포인트입니다. 숨바꼭질을 해서 이불속에 숨었다고 생각했는데 사실은 머리만 뒤집어쓰고 있어서 내 엉덩이를 다들 보고 있는 꼴이라면 어떨까요?

아래 캡처 그림은 대표적인 VPN 서비스 중 하나인 ExpressVPN의 홍보페이지 중 일부입니다.

보시는 것처럼 VPN 접속을 통해서 우리는 접속 IP를 숨길 수 있고 암호화된 통신을 사용해서 공용 WIFI에서도 안심하고 인터넷 뱅킹도 할 수 있고 개인적인 정보도 열람할 수 있어서 걱정 없다고 말하고 있습니다.

사실 이 광고 문구 자체는 문제 될 것이 없고 거짓말도 아닙니다. 실제로 VPN을 통해서 누릴 수 있는 것들이죠.

그럼 뭐가 문제인 거냐?! 바로 VPN을 사용하면 완전한 익명성을 보장받을 수 있겠구나라고 단순하게 생각하는 사용자의 마인드에 허점이 있습니다(제가 그랬다는 겁니다). 그렇다면 VPN을 사용할 때 하더라도 어떤 맹점을 유의해야 하는지 알아보겠습니다.

VPN도 어쩔 수 없는 것들

먼저 VPN 사업자들에 대한 신뢰성입니다. 

다른 외부인의 감시는 피할 수 있지만 VPN 서버는 모든 걸 알 수 있습니다. 어떻게 보면 너무도 당연하지만, VPN 서비스 제공자는 자기 서버를 통과하는 모든 트래픽을 볼 수 있습니다. 기본적으로 VPN에 접속하는 사용자의 개인 IP주소에서부터 시작해서 통신 데이터까지 (악의적으로 뜯어보지는 않겠지만) 그냥 다 노출이 되어 있는 샘입니다. 따라서 VPN 서버를 고를 때 믿을 만한지를 생각해 볼 필요가 있습니다. 조금만 검색해보면 정말 많은 VPN 서비스들을 찾을 수 있습니다. 그리고 그중에는 무료들도 상당히 많습니다. 물론 그런 민감한 정보를 유출할 경우 VPN 서비스를 제공하는 사업자의 신뢰 문제가 있을 수 있기 때문에 그런 일은 거의 없겠죠.

두 번째는 완전한 암호화가 불가능하다는 점입니다.

사업자의 도덕적인 문제는 접어놓더라도 이점은 유념해야 합니다. VPN의 암호화 접속은 사용자 컴퓨터에서 VPN 서버까지이며 그 이후는 VPN이 관여하지 않기 때문에 VPN을 사용하지 않는 것과 동일한 데이터가 오고 갑니다. 암호화를 통한 보호를 받기 위해서는 내 컴퓨터를 떠나는 지점부터 목적지의 서버까지 도착할 때까지 모든 경로에서 데이터가 암호화되어 있어야 하지만 VPN 서버를 지나서 목적지의 자유의 땅까지 한참을 더 가야 하는데 VPN은 여기에는 관심이 없습니다. 그도 그럴 것이 VPN 서버에서 자기 맘대로 암호화해버린 데이터를 목적지로 보내면 목적지 서버는 해독이 불가능하니까요. 그래서 완벽한 암호화 접속을 위해서는 End to End 암화화를 지원하는 접속이 필요합니다. 그리고 그건 VPN 이 제공해 주지 않습니다. VPN 서버 이후 경로에서는 VPN을 사용하지 않을 때와 동일하게 일반적인 해킹과 같은 위험에 그대로 노출되어 있습니다.

마지막으로 기술의 발달로 인해서 특정인을 구분할 수 있는 다양한 기법과 수단이 존재한다는 점입니다.

VPN을 사용함으로써 접속자의 IP주소는 숨길 수 있기 때문에 표면적으로는 익명성을 확보한 것처럼 보입니다. 그리고 출발지가 모호하기 때문에 특정인을 대상으로 한 악의적인 공격에 대해서는 어느 정도 보안의 정도가 강화되었습니다. 하지만 하지만 요즘 인터넷 마케팅 분야에서 사용자 정보를 분석하여 개인 맞춤 광고를 하는 기술은 정말 ㅎㄷㄷ 합니다. 어떻게 알았는지 내가 A사이트에서 장바구니에 담아놓은 물건이 B사이트 웹서핑을 하는데 광고로 뜹니다. 그런데 더욱 놀라운 것은 이런 식으로 마케팅 분야에서 사용자를 특정하는데 IP주소 따위는 사용하지도 않는다는 것입니다. 저도 기술적인 측면에서 자세한 사항까지는 모르지만 웹상에서 사용자를 특정하기 위한 기법으로 디바이스 혹은 브라우저 핑거프린팅이라는 용어로 불리는 다양한 기술들이 사용된다고 합니다. 

결론적으로, VPN을 무작정 안전한 통신을 보장해주는 기술인 것처럼 맹신하는 것은 위험하며 정확히 내가 어떤 위험에 노출될 수 있는지를 알고 있는 상태에서 사용을 해야 할 것입니다. 그리고 VPN 서비스를 사용할 때도 과연 그만큼 비용을 지불할 필요가 있을지에 대해서도 고민해볼 필요가 있지 않을까 싶습니다.

이번 포스팅을 쓰면서 공부하다가 토어 프로젝트(The TOR Project)라는 걸 알게 되었습니다. 디바이스 핑거프린팅 기술로 사용자를 특정할 수 있는 정보가 무작위로 유출되는 것을 막아주는 브라우저를 개발하는 프로젝트라고 합니다. 

 

The Tor Project | Privacy & Freedom Online

Defend yourself against tracking and surveillance. Circumvent censorship.

www.torproject.org

무차별적인 쿠키 수집을 막아주고 2중 3중으로 암호화를 해서 까도 까도 끝이 없는 보안을 추구해서일까요. 프로젝트 로고에도 양파가 있습니다. 한 번쯤 이런 문제로 고민을 해보신 분들은 사용해 보시면 좋을 것 같네요.

 

끝!

728x90

댓글2

  • 1 2019.08.02 23:26

    Tor는 개발자가 fbi에 매수되서 개인정보 넘겨줌

    답글

    • Favicon of https://kwonkyo.tistory.com BlogIcon lovey25 2019.08.03 07:45 신고

      개발자라면 누구를 말씀하시는건지? 제가알기로 TOR프로젝트자체가 미정부 주도로 진행된걸로 알고있는데 굳이 매수를 할필요가 있을까요??