전체메뉴

[애플경제 전윤미 기자] 가상 사설망(VPN)은 인터넷 트래픽을 암호화하고, 사용자 위치를 파악하는 데 사용할 수 있는 IP 주소를 숨겨 온라인 개인 정보를 철저하게 보호한다. 특히 자국이 아닌 타국이나 해외에서 웹사이트나 서비스에 접속하려고 할 때 이는 매우 유용하다. VPN은 현지의 로컬 IP 주소를 마스킹, 해당 사용자가 자국 혹은 본사의 콘텐츠를 이용할 수 있게 한다. 그러면서 완벽하게 보안을 구현하고, 개인정보를 보호한다.

그러나 VPN이 과연 보안과 정보보호 측면에서 언제나 만능일까. 겉보기에 VPN은 사용자의 ‘디지털 발자국’을 철저히 숨기는 것처럼 보인다. 인터넷 서비스 제공업체(ISP) 조차 사용자가 VPN을 사용하는 시점은 알 수 있지만, 검색 기록, DNS 쿼리, 다운로드한 파일, 개인 데이터 등 VPN으로 보호되는 특정 온라인 활동은 볼 수 없다.

심지어 이른바 ‘빅브라더’(다양한 형태의 정부 기관들)가 사용자의 온라인 활동이나 방문 장소를 불순한 목적으로 감시할 수는 없도록 한다. 그렇다고 만능은 아니다. 늘 익명성이 철저히 보호되는 것은 아니란 얘기다.

기술 뛰어난 해커, 일반인도 VPN 침투 가능

전문가들의 의견을 종합하면 VPN은 작심하고 공격을 시도하는 해커와 사이버공격자들에겐 그 벽이 뚫릴 수도 있다. 시스템이 해킹당하면 사이버 범죄자는 VPN 사용 여부와 관계없이 사용자의 온라인 활동을 알아낼 수 있다. 또한 특정 상황에서는 경찰이나 정부의 정보기관등도 VPN 데이터에 접근할 수 있다. 이는 VPN업계가 향후 해결해야 할 난제이기도 하다.

기술적으로 능숙한 개인, 특히 해커들은 VPN 데이터를 어떤 방식으로든 추적할 가능성이 높다는게 전문가들의 얘기다. VPN은 IP 주소를 변경하고 데이터를 암호화하지만, 익명성을 무력화하는 몇 가지 방법이 있다.

특히 넷플릭스가 이런 사례를 잘 보여준다. 이 회사는 이미 VPN 사용자가 자신의 나라가 아닌 타국의 콘텐츠에 불법적으로(공짜로) 액세스하는 것을 막기 위해 적극 노력해왔다. 넷플릭의 이러한 엑세스 차단 기능을 우회할 수 있는 VPN은 거의 없다.

해커들에게도 VPN은 ‘난공불락’만은 아니다. 해커들은 악성코드를 사용, 기기를 감염시키고 실제 IP 주소와 기밀 데이터를 유출할 수도 있다. 또한 쿠키가 사용자의 신원을 노출할 수 있다는게 약점이기도 하다. 아무리 보호 조치를 취하더라도 VPN 사용자의 선호도나 취향, 방문한 웹사이트, IP 주소, 쇼핑 카트 기록 등이 포함된 쿠키 캐시가 ‘벽’을 넘는 사다리가 될 수 있다. 해커들은 쿠키를 이용, 공격을 퍼붓기도 한다.

해커들 뿐 아니다. 숙련된 사용자나 전문 기관 혹은 기술을 갖춘 기업들도 이를 뚫을 수 있다. 이들은 브라우저 지문 인식을 활용하거나, 기기에 설치된 OS 및 소프트웨어, 시간대, 하드웨어 사양, 화면 해상도, 개인 디지털 지문의 고유 식별자를 기반으로 사용자를 프로파일링할 수 있다. 이 모든 정보를 서로 비교, 참조함으로써 사용자의 신원을 확인하거나 최소한 신원을 특정할 수도 있다.

각국 사법기관, 정보 획득위해 VPN 제공업체와 ‘밀당’

특히 경찰이나 정보기관에게 VPN은 때론 무력하다. 보통의 형사 사범이 아닌 중범죄의 경우 각국의 경찰이나 수사기관은 합법적으로 온라인 활동을 추적하거나 VPN 데이터에 접근할 수 있다. 이 경우 사법당국은 사용자의 ISP(인터넷 제공업체)에 온라인 데이터를 요청할 수 있다. VPN을 사용하는 경우 VPN 제공업체에 사용자 정보 제공을 요청할 수 있다. 예를 들어, 아동 포르노 용의자나 인터넷 스토커를 추적하기 위해선 VPN 데이터에도 얼마든지 접근할 수 있는 것이다.

본래 VPN은 데이터를 암호화하고, 자체 서버를 통해 라우팅하기 때문에 IP 주소가 직접 경찰에 제공될 수는 없다. 그러나 VPN 로그를 통해 가해자의 실제 IP 주소를 찾을 수 있다. 또한 VPN 제공업체가 제공하는 다른 데이터를 통해 사용자의 위치를 ​​파악할 수도 있다.

이 경우 국제적 관례를 보면 수사기관 등 사법당국은 법적 절차를 통해 VPN 제공업체로부터 ▲사용자가 방문한 모든 웹사이트 로그 ▲VPN 연결 중 사용한 서비스 ▲실제 IP 주소 ▲연결 로그 ▲우편 주소 및 은행 계좌 정보가 포함된 청구 정보 등을 파악할 수 있다. 특히 연결 로그를 통해선 사용자가 VPN을 통해 서버에 연결한 시간 등 세부 정보를 알 수도 있다.

하지만 일부 VPN 제공업체는 ‘무로그’ 정책을 표방하고 있다. 즉, “익명성을 강화하기 위해 로그를 저장하지 않는다”고 강조한다. 이 말대로라면 사법당국의 정보 요청에도 불구하고, 제공할 데이터가 없는 셈이다.

그러나 현실은 꼭 그렇지만은 않다. 무로그 정책을 시행한다고 주장하는 업체 중 다수는 어떤 형태로든 비공개 ‘로그’를 유지하고 있다. 이들 업체의 개인정보 보호정책을 봐도 이를 짐작할 수 있다. 또한, 보안 감사나 개인정보 보호 자격 증명에 대한 독립적인 검증을 제공할 수 없는 경우, 일부 데이터를 조용히 기록하고 있을 수 있다.

특히 사법당국에 대해선 VPN 제공업체마다 협조 ‘수준’이 다르다. 적절한 서류가 제공되면 경찰에 정보를 기꺼이 제공하는 업체도 있지만, 대체로 비협조일 경우도 없지 않다. 하지만 이러한 업체들조차도 사법당국의 압력을 끝내 무시할 수는 없다.

“매우 드물게 실시간 트래픽 추적도”

그렇다면 실시간 트래픽을 추적할 수도 있을까. 다행히 암호화된 실시간 VPN 트래픽을 추적할 방법은 거의 없다. 사법당국이라 해도 방문한 웹사이트 등에 대한 데이터(가능한 경우에만)만 얻을 수 있다. 그 이상의 트랙픽 감시나 해커들의 공격은 데이터가 암호화되어 있기때문에 차단된다.

물론 예외는 있다. 매우 드물지만 해커가 VPN 데이터 보호에 사용되는 암호화 키를 획득할 수도 있다. 이를 통해 VPN 트래픽에 접근할 수 있다. 사용자 ‘기기’가 해킹당하거나 VPN 제공업체에 침투하기도 한다. 그러나 이런 경우는 VPN의 기반 시설이 뚫린 경우이므로 전혀 다른 상황이다. 그런 상황에선 악성 코드가 VPN으로 보호되는 데이터를 해커나 사이버 범죄자에게 은밀하게 넘어갈 수 밖에 없다.

그러므로 “평소 악성 링크나 의심스러운 이메일을 클릭하지 않는 등 보안의 기본 수칙을 준수하고, 소셜 엔지니어링 사기에 걸리지 않도록 주의해야 한다”는 당부에 귀기울일 필요가 있다. 또한 ‘패치’를 통해 운영 체제나, 애플리케이션 및 VPN 소프트웨어를 최신 상태로 유지하는 것이 좋다. 특히 취약점을 조기에 발견, 해결해야 한다.