많은 사용자가 인터넷 서비스를 무료로 사용하고는 한다. 그러나 개인 데이터와 광고를 대가로 이메일, 클라우드 저장, 이미지 최적화 기능 등을 사용하고자 한다면, 플레이스토어나 앱스토어에서 무료 VPN 서비스를 임의로 고르기 전에 다시 한번 생각해보아야 한다.
VPN에 접속하면 사용자 컴퓨터와 최종 서버 간 암호화된 터널이 생성돼, 새로운 IP 주소를 얻을 수 있다. 새로 얻는 IP 주소는 해외 주소일 것이다. 그리고, 사용자 인터넷 트래픽이 ISP나 사용자 로컬 네트워크의 관리자 때문에 코드가 해독되는 일이 없도록 한다. 그러나 수많은 무료 VPN이 사용자의 예상대로 작동하지 않고, 데이터를 유출할 수 있다. 심지어는 사용자를 활발하게 감시할 수도 있다.
Top10VPN.com 소속 연구 총괄인 사이먼 미그리아노(Simon Migliano)는 “무료 VPN 모바일 앱의 가장 큰 문제점 세 가지는 데이터 수집과 완벽하지 않은 보호, 면밀하지 않은 행위로 인한 취약점 발생 가능성이다”라고 설명했다.
‘윈드스크라이브(Windscribe)’나 ‘터널베어(TunnelBear)’, ‘프로톤VPN(ProtonVPN)’ 등 주요 상업용 VPN 공급사는 상업용 서비스를 홍보하거나 공공 서비스를 위해 손해를 감수하면서 무료 서비스를 제공한다. 대부분이 종종 데이터 수집이나 잘못된 운영을 하는 것으로 보고된 광고로 자금 지원을 받는 모바일 중심 VPN 서비스는 아직 나아가야 할 길이 멀다.
어떤 문제가 발생할 수 있나?
요약하자면, 무료 VPN 때문에 많은 문제가 발생할 수 있다. 2020년 7월, 컴패리테크(Comparitech) 연구진이 사용자 활동 내역을 보관하지 않는다고 주장한 홍콩 VPN 공급업체인 UFO VPN에서 실제로 사용 기록을 저장하며, 공개적으로 접근할 수 있는 데이터베이스의 기록과 암호화하지 않은 패스워드에 접근할 수 있다는 사실을 확인했다.
초기 보호 이후, 데이터베이스는 불과 며칠 후에 다시 노출된다. UFO VPN이 수정했다고 주장한 초기의 확인 조치 이후, 컴패리테크 에디터 폴 비쇼프(Paul Bischoff)는 이후 UFO VPN에 대해 들어본 적이 없다고 밝혔다. 심지어 사용자 데이터가 재차 유출된 후에도 들어본 적이 없다고 말했다.
연구진이 확인한 VPN 멘토(VPN Mentor)의 자회사 7곳과 함께 드림파이 HK 리미티드(Dreamfii HK Limited)라는 기업과 관련이 있는 것으로 확인된 UFO VPN은 유료 VPN 서비스와 무료 VPN 서비스를 모두 제공한다. 그러나 UFO VPN은 광고 기반 무료 서비스로 더 널리 알려졌다. UFO VPN은 사용자 활동에 대한 “기록 활동과 감시활동이 없다”라고 주장하지만, 보안 문제를 통해 사실이 아닌 것으로 입증됐다. UFO VPN은 이 기사가 보도되는 시점에 관련 문의에 대한 답변을 하지 않았다.
컴패리테크의 비쇼프 총괄은 “항상 구독자들에게 무료 VPN 서비스 사용을 경고한다. 종종 보안 강화와 개인 정보 보호 정책이 비교적 약하기 때문이다”라고 설명했다. 그는 “무료 VPN 다수가 광고 수익을 견인하기 위한 목적으로 사용자 데이터를 수집한다. 이는 개인 정보를 위해 VPN을 사용한다는 목적을 무너뜨리는 행위이다. UFO VPN에서는 우연히 데이터가 노출되는 문제만 발생했다”라고 말했다.
이러한 일반 데이터 저장 및 오남용 문제가 극도로 심각한 것으로 들었다. 또, Top10VPN가 2019년 분석을 통해 밝힌 바에 따르면, 다수 무료 모바일 VPN이 형편없는 데이터 보호 정책을 지녔거나 데이터 보호 정책이 없다.
게다가 무료 VPN과 함께 개인 정보 보호가 전혀 제공되지 않는다. 미그리아노 총괄은 제대로 구성되지 않은 VPN이 IP 주소를 성공적으로 바꾸어도 사용자의 온라인 활동과 관련된 정보를 유출할 수 있다고 경고한다. 그는 “2019년, 안드로이드에서 인기 상위 150개의 VPN을 실험했을 때, 전체 앱 중 무려 25%에서 정보 유출 문제가 발생했다. 문제는 크게 나아졌지만, 10개 중 1개꼴로 추가 테스트에서도 문제가 발견됐다”라고 설명했다. 테스트한 앱 중에는 안드로이드에 5,000만 번 이상 설치된 홀라 VPN(Hola VPN)도 포함됐다. 미그리아노 총괄은 “앱스토어에서 VPN 앱의 비율이 매우 높다는 사실을 고려했을 때, 새로 설치한 VPN앱이 실제로 지속해서 사용자 ISP에서 사용자의 활동을 보호할 확률은 복권에 당첨되는 것과 비슷한 수준으로 낮다”라고 말했다.
Top10VPN은 외부 기업의 구성요소를 사용해 일반 앱의 기능을 구축하는 무료 VPN 앱을 다수 발견했다. 그러나 기기의 카메라, 마이크, GPS 추적과 관련된 사항을 포함, 거슬리는 허가 요청과 기능을 없애지는 못했다.
[사진=Unsplash]
기록과 법률문제
VPN이 기반을 두고 있는 곳이 매우 중요하다. 지역 법률에 어느 국가 정부와 법률 집행 기관의 명령을 따르는지 명시됐기 때문이다. 2020년 6월, Top10VPN은 개인 정보 보호 및 보안 기록 문제를 겪고 있는 무료 VPN 제공업체가 중국이나 홍콩에 본거지를 두고 있다고 강조했다. 동시에 올해 홍콩 보안법이 사용자 활동 기록을 서비스 제공업체가 기록하도록 요구하도록 개정된 사실도 강조했다.
홍콩은 이전에 데이터 보관 관련 법률을 두지 않았다. 그러나 미그리아노 총괄 연구팀은 현재, 그리고 과거부터 중국 기업이 홍콩 VPN 다수를 소유한 사실을 확인했다. 미그라이노 총괄은 이를 두고 “VPN 앱이 당국에 사용자의 브라우징 데이터 공유와 같은 개인 정보 보호를 약화하지 않고 얼마나 지속해서 운영할 수 있을지 의문이다”라고 말했다.
홍콩, 영국, 러시아, 아일랜드의 데이터 보관법은 개인 정보 보호를 기반으로 한 VPN 제공업체들이 파나마나 영국령 버진 아일랜드 등 국제 정부 감시 및 ‘포틴 아이즈(Fourteen Eyes)’와 같은 정보 공유 협약 대상이 아닌 곳에 본거지를 둘 수 있도록 한다.
영국과 같은 국가에서는 데이터 보관 요구사항 때문에 사용자 기록을 법률 집행 기관에 건네줄 수 있게 됐다. 그러나 법률을 가장 잘 준수하는 VPN 사용자라도 기록이 존재한다는 사실만으로 사용자 활동 데이터가 유출될 가능성이 존재한다. UFO VPN에서 확인한 바와 같은 부분이다.
이러한 이유로 ‘익스프레스VPN(Express VPN)’이나 ‘퍼펙트 프라이버시(Perfect Privacy)’ 등 서버가 압류돼 사용자 활동 기록을 공개하지 않는 VPN 기업이 개인 정보 보호를 위한 최상의 선택으로 간주된다. 개인 정보 보호에 중점을 둔 VPN 서비스 업체가 제공하는 부분은 법률 집행 기관의 데이터 요청 사항을 유지하는 투명성 보고서이다. 또, 외부 협력 업체의 기록과 보안, 개인 정보 보호 정책 감사가 갈수록 인기를 얻고 있다.
데이터 수집
간혹 VPN 서비스의 지나친 데이터 수집이 행위가 문제가 된다. 사용자는 무조건 유명 기업의 브랜드명을 신뢰할 수 없다. 특히 VPN이나 정보 보안이 기업이 운영하는 사업의 일반적인 영역을 벗어난다면 더욱더 신뢰할 필요가 없다.
현재는 VPN 서비스 제공을 중단한 페이스북이 특히 신뢰도 문제로 악명 높았다. 페이스북은 2018년, 자체 VPN 서비스인 오나보(Onavo) 공급을, 2019년에는 페이스북 리서치 VPN(Facebook Research VPN) 공급을 중단했다. 모두 사용자 데이터를 수집해, 사용자의 데이터와 온라인 활동 내역을 수집했기 때문이다.
과거, 개인 정보 보호를 기반으로 설립된 VPN 서비스인 오나보는 모바일 추적 정보를 수집하면서 브라우저 활동 보호를 약속했다. 페이스북 리서치 VPN은 13세밖에 되지 않는 어린 사용자에게 월 20달러를 지급하면서 노골적으로 사용자의 활동을 감시했다.
대중적인 정보 유출 문제 때문에 오나보와 페이스북 리서치 VPN 모두 서비스를 종료했다. 그러나 2020년 3월, 안드로이드 앱 분석 플랫폼 센서 타워(Sensor Tower)가 무료 VPN 앱을 사용해 사용자가 기기에 설치한 앱을 확인했다는 사실이 발각됐다.
이것이 전부가 아니다. 테크크런치(TechCrunch)가 2014년에 보도한 바에 따르면, 센서 타워의 경쟁 기업인 앱 애니(App Annie)의 스마트 센스(Smart Sense) 자회사가 현재는 제 기능을 하지 않는 VPN 디펜더로 알려진 VPN 앱을 제공해, 사용자가 설치한 앱 목록을 감시했다. 테크크런치는 ‘디츠모(Distmo)’라는 이름으로 알려진 앱 애니 베이직스 소프트웨어 라벨도 데이터를 수집하는 벡터일 가능성이 있다는 사실도 함께 밝혔다. 앱 애니의 앱에는 ‘아스트로 파일 매니저(Astro File Manager)’라는 인기 앱과 함께 ‘폰 가디언 모바일 시큐리티 & VPN 보호(Phone Guardian Mobile Security & VPN protection)’ 앱이 포함됐다.
사용자 데이터를 수집하는 앱이 스마트폰 사용자가 설치한 앱과 사용 습관을 기록할 때, 이러한 가치가 있는 시장 데이터가 개발자나 앱 배포 업체, 기타 앱 배포 공간에 판매된다.
사용자가 취할 수 있는 조치는?
보안 문제 때문에 VPN을 사용하고 있다면, 일반 ISP보다 더욱 보안을 강화할 수 있는 대책으로 의도적으로 투명성이 없는 정책을 지닌 알 수 없는 서비스 제공업체로 변경하는 것은 좋지 않다. 광대역 서비스 제공업체 대신 사용자의 활동을 모두 볼 수 있는 다른 기업을 효과적으로 택하고 있다는 사실을 기억해야 한다.
단순히 미국의 넷플릭스 시청자가 볼 수 있는 콘텐츠에 더 빨리 접근하기 위한 목적으로 접속 지역을 바꾸려 한다면, 자신의 데이터가 지닌 의미와 함께 타인에게 자신의 휴대폰 및 활동 정보를 건네게 될 수 있다는 점을 생각하는 것이 중요하다.
개인 정보 보호를 위한 최상의 표준이 사용자가 제어할 수 있도록 VPN 최종 목적에 올바르게 구성됐더라도 모든 사용자에게 실질적이면서도 데이터를 지나치게 수집하는 상업적 VPN 서비스(무료 서비스 포함)는 존재하지 않는다.
연구가 중요하다. 와이어드는 ‘최고의 VPN을 위한 와이어드 가이드(WIRED guide to the best VPN)’와 함께 사용자에게 도움을 주고자 한다. 그러나 특정 사항을 우려하고, VPN 제공 업체가 해당 우려사항을 해결할 수 있도록 확인하고자 할 수 있다. 그렇다면, 해당 기업의 투명성 페이지와 기록 정책, 과거의 법적 조치 및 법률문제 처리 방식 등을 확인하면 된다.
무료 VPN 서비스가 시급히 필요한 상황이라면, 윈드스크라이브와 프로톤VPN을 추천한다. 보안과 투명성을 위한 확실한 트랙 기록을 지니고 있다. 또한, 사용자가 플레이스토어에서 가장 인기가 있거나 홍보 목록에서 임의로 택한 VPN 서비스보다 더 나은 서비스를 제공할 것이다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202011/2617_3624_5021.jpeg)
뉴스레터 신청