전체메뉴

[애플경제 이보영 기자] 보안을 위한 강력한 무기인 VPN(가상 사설망)도 해킹당할 수 있을까. 아쉽게도 철벽의 보안장치라고 할 VPN도 이미 해킹을 당한 사례가 여럿 있어, 무너지거나 뚫리지 않는 방어망은 없음을 실감케 한다.

VPN은 터널링 프로토콜을 통해 사용자의 온라인 트래픽을 암호화하고, 다른 사람이 데이터를 읽을 수 없도록 하는게 가장 큰 장점이다. 통계플랫폼 ‘Statista’에 따르면 2023년 전체 인터넷 사용자 중 24% 이상이 인터넷 보안을 위해 VPN을 사용했다. 그렇다면 VPN은 과연 어떤 해커로부터도 무적인가. 해킹당할 위험이 없나? 유감스럽게도 이런 질문에 대한 대답은 ‘아니오’다.

VPN 취약점 역이용, 데이터 절취 사례도

그간 보도된 사례나, 사이버보안 전문가들의 의견을 종합해보면 오히려 VPN을 역이용, 사용자 데이터를 보호하긴커녕 훔치기까지 한다. 모든 SW와 마찬가지로 VPN은 기술적으로 해킹될 수 있다. 특히 보안 서버 인프라와 애플리케이션이 있는 경우 더욱 그렇다.

본래 VPN은 인터넷 활동이 암호화되어 읽을 수 없도록 비공개 연결을 생성하는 방식으로 작동한다. 사용자의 인터넷 데이터는 그 IP 주소를 마스킹하고 온라인에서 추가로 익명성을 제공하는 VPN 서버로 라우팅된다. 이같은 암호화를 통해 사이버범죄자는 물론, 인터넷 서비스 제공업체나, 정부 기관 등에게도 IP 주소, 장치 위치, 검색 기록 등과 같은 민감한 데이터를 노출시키지 않는다.

그렇다고 해서 결코 무적은 아니다. VPN이 해커에 의해 악용되거나 공격될 수 있는 몇 가지 약점이 최근 보안 전문가들에 의해 제시되어 유념해둘 필요가 있다.

VPN이 해킹될 수 있는 다양한 ‘구멍’들

VPN이 해킹될 수 있는 한 가지 방법은 암호화된 것을 뚫고 들어가는 것이다. 해커는 특히 제대로 구현되지 않은 암호화된 데이터의 경우 같은 암호화 공격을 통해 암호를 해독할 수 있다. 물론 암호화를 해제하려면 상당한 노력과 시간 및 리소스가 필요하므로 결코 쉽지 않은 일이다. 특히 AES-256 암호화 알고리즘 등은 해커로선 사실상 해독이 불가능하다.

대부분의 최신 VPN은 고급 암호화 표준이나, AES-256 암호화 알고리즘을 사용한다. 이 암호화 표준은 256비트 키 길이를 사용해 데이터를 암호화하고 해독한다. AES-256은 사실상 깨지지 않는다. 오늘날의 기술로는 아무리 무차별 대입하고 크랙한다고 해도, 적어도 이를 해독하려면 수백만 년에서 수십억 년이 걸린다. 그래서 이는 각국 정부나 공공기관, 정보기관, 은행 등이 널리 사용하고 있다. 대부분의 최신 VPN 제공업체는 VPN에 AES-256 암호화를 사용하므로, 일단 뚫릴 염려는 없다.

그래서 해커들은 또 다른 방법을 동원한다. 즉 오래된 VPN 터널링 프로토콜을 이용하는 것이다. 터널링 프로토콜은 데이터가 특정 네트워크를 통해 처리되고 전송되는 방법에 대한 일련의 규칙이다. 문제는 PPTP 및 L2TP/IPSec와 같은 오래된 프로토콜이다. 오늘날의 기술 표준에 비춰보면 이는 보안 수준이 중간보다 낮은 것으로 평가된다.

특히 PPTP는 낙후된 기술이다보니, 악의적인 공격자가 악용할 수 있는 취약점을 갖고 있다. 반면에 L2TP/IPSec는 보안이 더 뛰어나지만, 사용 가능한 최신 프로토콜에 비해선 성능이 느리다. 그래서 전문가들은 OpenVPN, WireGuard, IKEv2와 같은 최신 VPN 프로토콜을 선택, 고급 보안과 적정 속도를 기할 것을 당부한다.

해커들은 또 DNS나, IP 또는 ‘WebRTC’ 유출을 악용해 공격한다. 즉, VPN 유출을 통해 사용자 데이터를 훔칠 수도 있다는 얘기다. VPN 누출은 앱의 일부 결함이나 취약성으로 인해 보안 VPN 터널에서 사용자 데이터가 유출되는 것이다.

그 중 DNS 누출은 VPN이 암호화된 VPN 연결에 있음에도 불구하고, DNS 쿼리 또는 검색 기록과 같은 인터넷 활동을 ISP DNS 서버에 노출하는 경우다. 이에 비해 IP 유출은 사용자의 IP 주소가 실수로 공개되거나 인터넷에 노출될 때 발생한다. 이는 IP 주소와 위치를 마스킹하려는 VPN 본래의 취지를 무색하게 하는 셈이다. 또 ‘WebRTC’ 유출의 경우는 웹사이트가 암호화된 VPN 터널을 우회, 실제 IP 주소에 무단으로 액세스하게 한다.

또한 VPN 제공업체가 동의 없이 사용자 데이터를 보유하는 경우에도 해킹이 발생할 수 있다. 많은 VPN 제공업체들은 물론 “사용자 데이터를 기록하지 않는다”는 ‘노로그’ 정책을 갖고 있다고 주장한다. 그러나 실제론 VPN이 사용자 데이터를 저장한 것으로 밝혀진 경우도 있어 주의와 시정조치가 필요하다.

지난 수 년 간 실제 VPN 해킹 사례들 많아

VPN 해킹의 실제 사례를 보면 이런 현실을 실감할 수 있다. 올해 초 발생한 Ivanti VPN 제로데이 익스플로잇 발생이 대표적이다. 당시 인터넷진흥원과 ‘인터넷보호나라’ 등 국내 사이버보안 당국도 “Ivanti Secure VPN에서 5개의 새로운 제로데이 취약점이 발견되었다.”며 주의보를 발령했다. 이에 따르면 해당 취약점으로 인해 인증되지 않은 공격자가 원격 코드를 실행하고 시스템을 손상시켜 인터넷에 연결된 약 30,000개의 Ivanti Secure VPN 어플라이언스에 영향을 미친 것으로 알려졌다.

Ivanti Secure VPN은 전 세계 조직에서 널리 사용되는 원격 액세스 VPN인 만큼 그 여파는 더욱 컸다. 이러한 제로데이 취약점이 발견된 이후 Ivanti는 일부 취약점을 해결하기 위한 패치를 출시했다.

앞서 지난 2019년에도 NordVPN은 “타사 서버 중 하나가 2018년에 침해되었다”고 발표, 경각심을 불러일으켰다. 이에 따르면 특히 핀란드의 단일 NordVPN 서버가 공격을 받았다. NordVPN에 따르면 이는 제3자 데이터 센터의 서버 구성이 좋지 않아 ‘알림’을 받지 못했기 때문이란 설명이다.

NordVPN은 다만 “이 사건으로 인해 다른 서버나 사용자 자격 증명이 영향을 받지는 않았다”고 밝혔다. 이를 계기로 VPN 제공업체는 “보안을 강화하기 위해 필요한 모든 조치를 취했으며 이러한 노력을 확인하기 위해 감사를 받았다”고 밝혔다. 실제로 이 사건 이후 NordVPN은 현재 사용 가능한 가장 안전한 VPN 중 하나로 간주되고 있다.

겉으론 ‘노로그’ 표방, 내막은 ‘데이터 로깅’도

‘노로그’ 정책을 적용한 VPN제공업체에게서 정작 로깅 데이터가 포착된 사례도 있다. 즉 무단으로 사용자 데이터를 기록한 것으로 의심되거나 적발된 경우다.

2016년 미국의 ‘IPVanish VPN’의 사례가 대표적이다. 당시 ‘IPVanish’는 아동 포르노 용의자를 추적하기 위해 미국 국토안보부에 사용자 데이터 로그를 전달한 것으로 알려졌다. 이는 다시 말해 로그가 없다는 그간 주장을 뒤엎는 것이다. 실제론 데이터를 로깅해뒀다가, 정부 당국에 로그를 제공했음을 확인케한 사건이다.

2017년에 드러난 ‘Hotspot Shield VPN’ 사례도 마찬가지다. 당시 이를 이용했던 회사는 VPN 제공업체인 ‘Hotspot Shield’가 사용자 데이터를 기록하고, 무료 VPN 애플리케이션을 통해 이를 제3자에게 판매했다고 비난했다. ‘Norton Secure VPN’사도 노로그를 표방했으나, 실제로 자사의 ‘글로벌 개인 정보 보호 정책’에는 사용자의 장치 이름, IP 주소, URL 등 VPN에서 액세스하는 것을 원하지 않는 정보를 저장한다고 명시되어 있어 문제가 되었다.

전문가들 ‘철저한 VPN 보안 강화’ 주문

이에 전문가들은 몇 가지 VPN 보안 강화 대책을 권하고 있다. 우선 무료 VPN보다 유료 VPN가 아무래도 안전하다는 조언이다. 무료 VPN은 IP 주소를 변경해야 하는 일회성으로는 편리할 수 있지만 그리 안전한 솔루션은 아니란 지적이다. 더욱이 일부 무료 VPN 제공업체들은 사용자 데이터를 제3자에게 판매하는 것으로 알려져 있다.

그래서 유료 VPN 구독이 전반적으로 훨씬 더 안전하다는 얘기다. 돈이 들더라도 프리미엄 VPN을 사용하면 전체 서버 네트워크와 함께 한층 안전한 보안 시스테을 구축할 수 있다.

또한 객관적이고 독립적인 조사나 감사를 통해 ‘노로그’가 실천되고 있는지를 확인해야 한다. 특히 독립적 감사를 받는 VPN제공업체를 선택할 필요가 있다. 즉 제3의 감사 회사가 VPN제공업체의 소프트웨어를 조사하고 감사하며, 보안 표준을 통과하는지 여부를 조사하는 것이다.

최신 보안 프로토콜을 사용하는 것도 중요하다. 특히 기본 터널링 프로토콜로 OpenVPN, WireGuard 또는 IKEv2 프로토콜을 사용하는 것이 좋다는게 전문가들의 견해다. 

또한 내장된 VPN 킬 스위치를 활용하는게 좋다. 킬 스위치는 암호화된 VPN 터널을 통해 라우팅되지 않는 컴퓨터와 인터넷 간의 모든 연결을 자동으로 차단한다. 즉, VPN 연결이 끊어지면 킬 스위치가 민감한 데이터가 유출되는 것을 즉시 방지할 필요가 있다.