전체메뉴

[애플경제 김예지 기자] 흔히 VPN(가상 사설망)은 안전한 것으로 인식되고 있다. ‘터널링 프로토콜’을 통해 사용자의 온라인 트래픽을 암호화하고 데이터를 보호할 수 있기 때문이다. 시장조사기관 ‘Statista’에 따르면 2023년 모든 인터넷 사용자의 24% 이상이 VPN을 사용할 정도로 대중화되었다. 그러나 VPN 역시 사이버공격 앞에서 때론 무력할 수 밖에 없음이 밝혀지고 있다. 이는 실제 최근 국내외 보안 침해 사례에서도 잘 드러나고 있다.

단적으로 말해 모든 소프트웨어와 마찬가지로 모든 VPN도 해킹당할 수 있다는게 보안 전문가들의 경고다. 국내외 보안업계와 전문가들의 의견을 종합하면, 어떤 소프트웨어도 100% 완벽할 수는 없다는 인식처럼, VPN도 사이버공격에 뚫릴 수도 있다. VPN은 일단 사용자 데이터를 암호화하고, 보안 터널을 통해 이를 전달함으로써 비밀과 보안을 유지하는 방법이다. 그러나 이런 방식의 VPN이 결코 ‘무적’은 아니라는 지적이다.

다양한 경로와 수법으로 VPN 암호화 우회, 침투

우헌 사이버 범죄자들은 다양한 수법을 구사, VPN 암호화를 돌파한다. 특히 제대로 구현되지 않은 암호화는 취약할 수 밖에 없다. 그러나 대부분의 최신 VPN은 고급 암호화 표준 또는 AES-256 암호화 알고리즘을 사용한다. 이 암호화 표준은 256비트 키 길이를 사용, 데이터를 암호화하고 해독하며 ‘​​난공불락의 암호화’로 평가되기도 한다. AES-256은 사실 오늘날의 기술로 무차별 대입 공격을 통해 깨려면 수백만 년에서 수십억 년이 걸린다. 이에 공공부문과 금융계 등에선 AES-256 암호화를 즐겨 사용한다.

그러나 해커들은 오래된 VPN 터널링 프로토콜을 악용, 침투하곤 한다. 터널링 프로토콜은 데이터가 처리되고 특정 네트워크를 통해 전송되는 방법에 대한 일련의 규칙이다. 특히 PPTP 및 L2TP/IPSec과 같은 오래된 프로토콜이 문제다. 이런 프로토콜은 현재 수준의 사이버공격을 막아내기엔 역부족이다.

특히 오래된 PPTP는 악용의 소지가 크다. L2TP/IPSec은 그나마 보안성은 뛰어나지만 최신 프로토콜보다 성능이 떨어진다. 이에 비해 OpenVPN, WireGuard, IKEv2와 같은 최신 VPN 프로토콜은 하이엔드 보안과 속도가 모두 뛰어난 것들이다. 사이버범죄자들은 그래서 DNS, IP, WebRTC 누출을 통해 데이터 절취에 나서는게 최근의 행태다.

DNS 누출은 VPN이 암호화되었음에도 불구하고 DNS 쿼리나 검색 기록과 같은 인터넷 활동을 ISP DNS 서버에 노출하는 경우다. IP 누출은 IP 주소가 실수로 인터넷에 노출되거나 노출되어 VPN의 실제 IP 주소와 위치를 은닉하는 기능이 상실되는 경우다. WebRTC 누출 은 브라우저 기술로 누출을 시도해, 웹사이트가 암호화된 VPN 터널을 우회하며 실제 IP 주소에 무단으로 액세스할 수 있다.

실제 유명 VPN 대상, 해킹 사례 줄이어

VPN 제공자가 사용자 동의 없이 사용자 데이터를 보유할 때도 해킹이 발생할 수 있다는 지적이다. 많은 VPN 제공자가 “사용자 데이터를 기록하지 않는다. 無로그 정책을 가지고 있다”고 주장한다. 그러나 이런 공언에도 불구, VPN이 사용자 정보를 저장한 경우가 다수 발견되고 있다.

이로 인해 제3자가 VPN을 해킹하거나 손상시킨 사례가 국내외에서 빈발하고 있다. 2024년 초 가장 인기있는 이반티(Ivanti) VPN의 제로데이 익스플로잇도 그 중 하나다. ‘Ivanti Secure VPN’에서 5개의 새로운 제로데이 취약점이 발견되었고, 이로 인해 인증되지 않은 공격자가 원격 코드를 실행하고 시스템을 손상시킬 수 있었다. 당시 인터넷에 연결된 약 30,000개의 ‘Ivanti Secure VPN’ 어플라이언스에 영향을 미쳤을 것으로 추정된다.수 있습니다.

2018년엔 NordVPN의 타사 서버 중 하나가 침해되기도 했다. 특히 핀란드의 단일 NordVPN 서버가 공격을 당했는데, 이는 “타사 데이터 센터가 통보받지 못한 서버 구성이 잘못되었기 때문”이란 사측의 해명이다. ‘Pulse Connect Secure VPN’도 2021년 해킹에 뚫렸다. 미국의 사이버 보안 및 인프라 보안 당국은 “‘Pulse Connect Secure VPN 솔루션’에서 발견된 취약점으로 인해, 여러 미국 정부 기관이 침해되었다”고 밝혔다.

이 밖에 심지어 無로그 정책이 있는 VPN에서 사용자 데이터를 로깅한 경우나, 그런 행위가 의심되는 사례도 잇따르고 있다. 2016년 ‘IPVanish VPN’은 “아동 포르노 용의자를 추적하기 위해 미국 국토안보부에 사용자 데이터 로그를 넘겼다”고 함으로써 결국 그 동안 정부 당국에 로그를 제공했다는 사실을 자백하고 말았다. 2017년엔 ‘Hotspot Shield VPN’가 사용자 데이터를 로깅하고, 이를 무료 VPN 애플리케이션을 통해 타사에 판매했다고 해서 비난의 화살을 받기도 했다.

유료 VPN, ‘無로그’와 독립적인 감사 실행 VPN 선택해야

전문가들은 이처럼 취약할 수도 있는 VPN 보안을 강화하기 먼저 “무료 VPN보다 유료 VPN을 사용할 것”을 당부하고 있다. 일부 무료 VPN은 사용자 데이터를 제3자에게 판매하는 것으로 알려져 있기 때문이다. 또 IP 주소를 변경하는 것은 ‘일회성 처방’에 불과하다. 그 보단 無로그 정책과 독립적인 감사를 실시하는 VPN을 선택하되, 공급업체가 실제로 약속을 준수하는지 여부도 중요하다.

또 다른 유용한 조치는 역시 최신 VPN 프로토콜을 사용하는 것이다. 특히 ‘OpenVPN’이나, ‘WireGuard’, ‘IKEv2’ 프로토콜을 주요 터널링 프로토콜로 사용하는 것도 방법이다. 이러한 프로토콜은 모두 일반적인 브라우징에 영향을 미치지 않으면서, 고급 보안기능과 VPN 속도를 보장한다. 또 “ExpressVPN의 Lightway, 또는 NordVPN의 NordLynx처럼 VPN 제공업체 자체의 독점 프로토콜도 우수한 보안 및 성능을 제공하는 옵션”이란 의견도 있다.

내장된 VPN 킬 스위치도 중요하다. 이는 암호화된 VPN 터널을 통해 라우팅되지 않은 컴퓨터와 인터넷 간의 모든 연결을 자동으로 차단하는 기능이다. 즉, VPN 연결이 끊어지면 킬 스위치가 작동, 민감한 데이터가 유출되는 것을 즉시 차단한다.