전체메뉴

[애플경제 전윤미 기자] 원격 가상 사설망(VPN)은 데이터를 암호화하고 IP 주소를 마스킹하여 사용자의 검색 기록 이나 위치를 추적할 수 없도록 함으로써 사용자를 보호해준다. 그래서 사용자가 온라인 활동을 보호할 수 있는 가장 쉬운 방법 중 하나로 인식되고 있다. 이에 ‘Statista’에 따르면 2023년 현재 전체 인터넷 사용자 중 24% 이상이 인터넷 연결을 보호하기 위해 VPN을 사용하고 있을 정도다.

그렇다면 과연 VPN은 해커로부터 완전히 자유로울 수 있을까? 해킹당할 위험이 전혀 없을까? 유감스럽게도 대답은 ‘아니다’이다. 이 역시 여느 소프트웨어와 마찬가지로 기술적으로 해킹될 수 있다. 100% 완벽한 소프트웨어는 없기 때문에 VPN도 수많은 인터넷 기반 소프트웨어와 마찬가지로 다양한 해킹의 피해를 입을 수 있다.

VPN 암호화 뚫리는 취약한 상황 있어

물론 고품질 VPN은 크랙하기가 매우 어렵다. 특히 보안 서버 인프라와 애플리케이션이 있는 경우 더욱 그렇다. 그럼에도 불구하고, 제대로 된 암호화가 미흡하거나, 구형 프로토콜 등과 같이 취약점이 노출될 수 있다.

VPN은 인터넷 활동이 암호화되어, 제3자가 읽을 수 없도록 비공개 연결을 생성하는 방식이 기본이다. 인터넷 데이터는 사용자의 IP 주소를 마스킹하고, 온라인에서 추가적인 익명성을 제공하는 VPN 서버로 라우팅된다. 암호화 덕분에 인터넷 서비스 제공업체나, 정부 기관, 사이버 범죄자로부터 IP 주소, 장치 위치, 검색 기록, 온라인 검색과 같은 민감한 사용자 데이터를 은닉, 보호할 수 있게 되는 것이다.

그렇다고 VPN이 완전히 ‘무적’이라고 할 수는 없다. VPN 역시 해커에 의해 악용되거나 공격을 당할 수 있는 일련의 취약점이 있다는게 보안 전문가들의 지적이다.

VPN이 해킹될 수 있는 경우는 암호화된 데이터가 뚫리는 것이다. 해커들은 제대로 암호화되지 않은 암호를 해독할 수 있다. 물론 이들이 암호화를 해제하려면 상당한 노력과 시간, 리소스가 필요하다.

대부분의 최신 VPN은 고급 암호화 표준 또는 AES-256 암호화 알고리즘을 사용한다. 이같은 암호화 표준은 256비트 길이의 키(Key)를 사용, 데이터를 암호화하고 해독한다. 이는 암호화의 최적 표준으로 널리 알려져 있다.

이때 사용되는 암호화 표준인 ‘AES-256’은 사실상 깨지지 않는 것으로 알려져있다. 최근 ‘국제보안엑스포 2024’에 출품한 국내 보안업체 이글루코퍼레이션의 한 관계자는 심지어 “오늘날의 기술로도 무차별 대입과 크랙에 수백만 년에서 수십억 년이 걸리기 때문”이라며 “그 때문에 각국 정부와 은행이 ‘AES-256 암호화’를 사용, 데이터를 보호하고 있다”고 전했다. 대부분의 최신 VPN 제공업체는 VPN에 ‘AES-256’ 암호화를 사용하므로 일단 해킹당할 염려는 없다. 그러나 이런 암호화가 제대로 구현되지 않을 경우는 문제가 달라진다.

‘오래된 터널링 프로토콜’ 사용도 위험

해커가 VPN을 해킹할 수 있는 또 다른 방법은 오래된 VPN 터널링 프로토콜을 이용하는 것이다. 터널링 프로토콜은 기본적으로 데이터가 특정 네트워크를 통해 처리되고 전송되는 방법에 대한 일련의 규칙이다. 이때 PPTP나 L2TP/IPSec와 같은 오래된 프로토콜을 사용하는 경우가 문제다. 이러한 프로토콜은 오래된 것으로 오늘날의 표준에 따르면 보안 수준이 심지어 ‘중간 이하’로 평가되기도 한다.

특히 PPTP는 문제다. 오래된 기술을 기반으로 하므로, 악의적인 공격자가 악용할 수 있는 취약점을 갖고 있는 것으로 알려져 있다. 반면에 L2TP/IPSec는 보안이 그보단 뛰어나지만, 사용 가능한 최신 프로토콜에 비하면 매우 성능이 뒤처진다. 이에 비해 OpenVPN나, WireGuard, IKEv2와 같은 최신 VPN 프로토콜은 높은 수준의 보안과 빠른 속도를 자랑하는 최신 기술들이다.

DNS, IP 또는 WebRTC 유출도 해킹 위험

해커들은 또 ‘VPN 유출’을 통해 사용자 데이터를 훔칠 수도 있다. ‘VPN 누출’은 일부 앱의 결함이나 취약성탓에 보안 VPN 터널에서 사용자 데이터가 ‘유출’되는 것을 의미한다.

예를 들어 ‘DNS 누출’이 대표적이다. 이는 VPN이 암호화된 VPN 연결에 있음에도 불구하고, DNS 쿼리나 검색 기록과 같은 인터넷 활동을 ISP DNS 서버에 노출하는 경우다. 또 ‘IP 유출’도 있다. 이는 사용자의 IP 주소가 실수로 공개되거나, 인터넷에 노출될 때 발생한다. 이는 IP 주소와 위치를 마스킹함으로써 데이터를 보호하려는 VPN의 역할을 무력화하는 것이다.

이 밖에 ‘WebRTC 유출’도 ‘VPN 유출’의 하나로 꼽힌다. 이는 웹사이트가 사용자의 정보에 무단으로 액세스할 수 있게 하는 브라우저 기술의 유출이다.

또 VPN 제공업체가 동의 없이 사용자 데이터를 보유하는 경우에도 해킹이 발생할 수 있다.

많은 VPN 제공업체가 사용자 데이터를 기록하지 않는다는 ‘노로그’ 정책을 갖고 있다고 주장한다. 그러나 실제로는 그런 공식적인 입장이 무색하게 내부적으로 사용자 정보를 저장한 것으로 밝혀진 경우도 있었다.

“공짜 점심 없듯, 제대로 된 유료 VPN업체 선택해야”

그러면 이런 약점을 어떻게 보완하고, VPN에 대한 해킹을 방지 내지 예방할 수 있을까. 일단 전문가들은 “공짜점심은 없다”는 격언을 상기하며, “무료 VPN보다는 유료 VPN을 선택하는게 바람직하다”는 의견이다.

무료 VPN은 IP 주소를 변경해야 하는 일회성으로는 편리할 수 있지만 그리 안전한 솔루션이 될 수 없다는 지적이다. VPN 제공업체로선 이를 운영하고 운영하려면 자금이 필요할 수 밖에 없다. 그 때문에 일부 무료 VPN제공업체들은 사용자 데이터를 제3자에게 판매함으로써 운영비를 충당하는 것으로 알려져 있다. 더욱 양심불량한 업자들은 이에 그치지 않고, 무료 사용자에게 개인화된 광고를 제공하거나, 다른 목적으로 활용하기도 한다. 그래서 “유료 VPN 구독이 전반적으로 훨씬 더 안전한 경험을 제공한다”는 것이다. 특히 “프리미엄 VPN을 사용하면 전체 서버 네트워크나, 한층 고급화된 고객 지원과 함께 강력한 보안을 기할 수 있다”는 조언이다.

독립 감사, 최신 보안 프로토콜 등 중요

또한 ‘노로그’ 정책과 함께 독립적인 감사를 모두 제공하는 VPN업체를 선택해야 한다. 로그를 남기지 않겠다는 약속도 중요하지만, 공급자가 실제로 약속을 준수하는지 여부에 따라 달라질 수 있다. 이에 독립적으로 감사를 받는 VPN을 찾을 필요가 있다. 이들은 제3자 업체가 소프트웨어를 조사하고 감사하며, 서비스가 보안 표준을 통과하는지 여부를 공유하도록 한다. 이런 업체는 가장 믿을만한 곳이라고 할 수 있다.

또 다른 유용한 방법은 오래된 VPN 프로토콜 대신 최신 VPN 프로토콜을 사용하는 것이다. 전문가들은 특히 “기본 터널링 프로토콜로 OpenVPN, WireGuard 또는 IKEv2 프로토콜을 사용하는 것이 좋다”고 조언하기도 한다.

이러한 프로토콜은 서로 다르지만 일반적인 검색에 영향을 주지 않는 고급 보안기능과 함께 빠른 VPN 속도를 기대할 수 있다. 예를 들어 ExpressVPN의 ‘Lightway’나. NordVPN의 ‘NordLynx’처럼 VPN 제공업체가 자체적으로 제공하는 프로토콜도 있다. 이들은 우수한 보안과 성능을 제공하는 옵션이라고 할 수 있다.

내장된 VPN 킬 스위치 활용도 방법

VPN에는 특히 보안을 더욱 강화하는 다양한 보안 기능이 있다. 그 중 대표적인게 ‘VPN 킬 스위치’다. ‘킬 스위치’는 암호화된 VPN 터널을 통해 라우팅되지 않는 컴퓨터와 인터넷 간의 모든 연결을 자동으로 차단한다. 즉, VPN 연결이 끊어지면 ‘킬 스위치’가 작동, 민감한 데이터가 유출되는 것을 즉시 방지한다. 많은 최신 VPN에는 기본적으로 ‘킬 스위치’가 포함되어 있지만, 그럼에도 불구하고 VPN 설정을 다시 확인하는 것이 좋다.

그러나 이같은 취약점의 우려가 있음에도 불구하고, 사이버보안을 위한 VPN의 효용은 최고라는게 전문가들의 일치된 견해다. 특히 “대규모 기업이나 조직의 경우 VPN은 회사 데이터를 안전하게 보호할 수 있는 좋은 방법이기도 하다. 특히 회사가 인터넷을 통해 회사 리소스에 액세스하는 원격 작업자로 구성된 경우 더욱 그렇다”는 것이다.

또 VPN을 사용하면 다른 위치의 VPN 서버를 사용, 보안 조치된 원격지의 콘텐츠에 접속할 수 있으므로, 세계 각지의 콘텐츠에 액세스해야 하는 기업에 매우 유용하다는 주장이다.