VPN 사용 시 주의할 점 및 추천 VPN 목록
많은 사람이 여러 목적으로 VPN을 쓰고 있다. 하지만 생각보다 적지 않은 사람이 VPN에 대해 오해를 하고 있는 것 같다. 이에 대해 이야기를 해보자 한다.
우선 한가지 먼저 말해두고 싶은 것은 제발 무료 VPN 좀 쓰지 마! 무료 VPN은 공짜로 서비스를 제공하는 대신 여러분의 개인정보를 기업에 팔아넘기고 광고사에 팔아넘기면서 돈을 번다. 그리고 여러분이 사용하는 목적인 NO log를 보장하지 않는다. 가령 일본 모 대학에서 제공하는 VPN Gate는 남용 방지를 위해 로그를 3개월 저장한다고 한다. 이럴 거면 쓰지 않느니만 못하다.
그리고 VPN에 대한 한가지 큰 오해는 VPN 절대로 익명이 아니라는 것이다. 정부의 추적을 피하거나 익명 블로그를 위한 고도의 익명성을 VPN 만으로는 얻을 수 없다. 몇가지 근거가 있다.
- VPN 회사가 정말 log를 저장하지 않는지 확신할 수 없다.
많은 VPN이 NO-log policy를 광고하지만 사실 다 뻥이다. 고객의 익명성을 보장해주면 범죄자들이 남용하기 때문에 회사 입장에서 선뜻 보장하기 힘들다. IP 대역이 스팸 블랙리스트로 등록되거나 서버가 압수당할 수 있고 심하면 고소를 당해서 많은 돈을 물어줘야 한다. VPN 사업은 생각보다 리스크가 큰 사업이다.
Hidemyass라는 체코의 VPN 회사는 홈피 대문에는 익명을 강조하면서 약관에는 일일 접속 빈도와 데이터 전송량을 수집한다고 써놓았다. 회사는 이런 메타데이터 만으로는 개인을 특정할 수 없다고 했지만 후술할 Data retention과 결합하면 충분히 익명성을 깰 수 있다. 언제 무엇을 했는지 알면 누구인지도 알기 용이할 테니까. 약관으로 장난치는 회사가 많으니 개인정보 정책을 꼭 읽어보도록.
참고로 Lulzsec이라는 유명 해커가 저 VPN을 쓰다가 FBI에 검거된 적이 있다. 유의할 필요가 있다.
- Data retention
9.11 테러 이후 대부분의 나라는 통신사가 일정 기간 데이터를 보존하도록 강제하는 법을 만들었다. 이를 Data retention 이라고 한다. 흔히 말하는 3개월 로그 보관이 이걸 의미한다.
대부분의 VPN 회사는 직접 서버를 소유하는 게 아니라 전세계의 통신사나 데이터 센터에서 서버를 임대해 원격으로 관리한다. 당연히 서버를 관리하는 데이터 센터는 Data retention 규제 대상이다. 서버 자체는 VPN 회사가 관리하니 당연히 로그를 지울 수도 처음부터 로깅 하지 않을 수도 있지만, 데이터 센터는 패킷을 수집하는 기기를 따로 가지고 있다. 패킷 자체는 암호화되지만 누가. 언제. 어느 VPN 서버에 접속했는지 알 수 있으니 흠… 정말 역추적에서 안전할 수 있을까?
데이터 센터가 보관한 로그로 범죄자를 검거한 purevpn의 사례
물론 반론도 있다. VPN은 여러 사람이 동일한 Public 서버를 써 연결이 섞이게 함으로써 누가 무엇을 했는지 모르게 익명화한다. 문제는 똑같은 짓을 ×3 하는 토르라는 대체제가 있는데 굳이 유료 VPN을 써야 할까.
- 핑거프린팅
IP 우회만으로 해결할 수 있는 문제가 아니다. 여기 잘 정리된 글이 있으니 읽어보면 좋겠다.
이러이러한 이유로 익명성이 필요한 일에 VPN은 적합하지 않다. 그럼 어떤 경우에 VPN을 써야 할까?
- 단순히 정부의 검열을 우회할 경우
야동 보는데 토르를 쓰지 말란 얘기가 아니다. 오히려 토르는 그런 정부 검열을 회피하기 위해 개발된 도구다. 다만 속도가 매우 느려터졌으니 어지간한 인내심으로는 무리다.
- 토렌트 및 P2P 파일 공유
아쉽게도 토르는 토렌트와 같이 쓸 수 없다.
- 국가별 차단을 해제할 경우
넷플릭스나 Steam 해외 계정을 쓰는 사람들이 여기 해당된다. 한가지 충고를 하자면 여러 사람이 쓰는 Public VPN은 조금씩 막히고 있다. 개인별 전용 서버를 제공하는 Dedicated VPN 상품이 있는 제품을 쓰도록 하자.
- 보안
보안이 취약한 공공 와이파이를 쓸 때 VPN을 사용하면 좀 더 안전해질 수 있다. 이 경우 와이파이 대신 VPN 회사와 해외 데이터 센터를 믿어야 한다는 점이지만. 그건 본인이 알아서 선택하시고.
잡다한 얘기는 이쯤에서 끝내고 VPN 추천글을 써보도록 하겠다. 내가 VPN을 고를때는 몇가지 깐깐한 기준이 있다.
- 민감한 로그를 저장하지 않는가
- 토렌트 트래픽을 혀용하는가
- 현금이나 암호화폐를 사용해 익명으로 결제할 수 있는가
- 킬 스위치와 DNS/ipv6 누출 방지를 지원하는가
- SHA-256, AES-256-GCM, 등의 검증된 암호화 프로토콜을 사용하는가
옛날에 내가 기사 감수에 도움을 줬던 Torrentfreak 라는 외국 저널리스트가 나와 비슷한 기준을 가지고 VPN 추천글을 써놓았다. 그에 따르면 추천하는 VPN은 다음과 같다.
| 이름 | 관활권 | 비고 |
| ExpressVPN | 영국령 버진 제도 | 실제 운영은 홍콩에서 한다는 루머 있음. |
| Private Internet Access | 미국 | |
| NordVPN | 파나마 | 실제 운영이 발트 지역에서 이뤄진다는 루머 있음. |
| ProtonVPN | 스위스 | Protonmail과 같은 회사 |
| HideIPVPN | 미국 | |
| IVPN | 지브롤터 | |
| AzireVPN | 스웨덴 | 모네로 지원 |
| Windscribe | 캐나다 | |
| Avira | 독일 | |
| VPNArea | 불가리아 | |
| Surfshark | 영국령 버진 제도 | |
| AirVPN | 이탈리아 | |
| CactusVPN | 캐나다 | |
| Trust.Zone | 세이셸 | |
| SwitchVPN | 미국 | |
| PrivateVPN | 스웨덴 | |
| WhatTheServer | 미국 | |
| ibVPN | 루마니아 | |
| Mullvad | 스웨덴 | |
| TorGuard | 미국 | |
| Perfect Privacy | 스위스 | 인천공항 협박에 쓰여진 것으로 추정됨. https://newsis.com/view/?id=NISX20190520_0000656138 |
| SlickVPN | 미국, 세인트 키츠 네비스 | |
| HeadVPN | 세이셸 | |
| VPNhub | 키프로스, 캐나다 | 폰허브 자회사 |
| CyberGhost | 루마니아 | |
| OVPN | 스웨덴 | The Pirate Bay 건으로 현재 소송 중 https://torrentfreak.com/the-pirate-bay-vpn-provider-ovpn-hit-with-court-injunction-vows-to-fight-200702/ |
| VPN.ac | 루마니아 | |
| BolehVPN | 세이셸 | |
| Hide.me | 말레이시아 | 모네로 지원 |
좀 더 보안에 신경쓰는 사람은 몇가지 좀 더 신경써야 할 기준이 있다.
- 파이브 아이즈 외부에서 운영되는 회사
- 외부 보안감사와 투명성 보고서
- 오픈 소스로 공개된 VPN 소프트웨어
- 공정한 마케팅
PrivacyTools에 의하면 여기 해당되는 VPN은 3개밖에 없다.
각자 신념과 지갑사정에 맞춰서 VPN을 고르도록 하자. 익명성이 필요하면 VPN이 아니라 토르를 사용하고 말이다.
마지막으로 한가지, 속도빠른 VPN을 추천해달라는 사람이 있는데 사실 그게 의미가 없다. 아까 말한 것처럼 VPN 회사는 전세계 여기저기서 서버를 임대하기 때문에 국가마다 또 서버마다 속도가 다 다르다. 속도가 느리면 서버를 바꿔가면서 접속해보자. 정 답답하면 직접 호스팅 계정을 임대해서 VPN 서버를 구축해도 된다.