WireGuard는 작고 빠르며, 가장 좋은 의미에서 단조롭다는 점으로 현대 프로토콜 논쟁에서 승리했습니다. 그러나 애초에 숨도록 설계되지는 않았습니다. 심층 패킷 검사로 VPN 트래픽을 찾아내는 네트워크에서 평범한 WireGuard는 알아보기 가장 쉬운 프로토콜 중 하나이며 — AmneziaWG는 WireGuard가 잘하는 점을 포기하지 않으면서 바로 그 문제를 고치려고 나선 프로젝트입니다.

짧은 답: AmneziaWG는 WireGuard의 오픈소스 포크로, 암호화와 속도는 그대로 유지하면서 프로토콜의 알아볼 수 있는 핸드셰이크를 — 정크 패킷, 무작위 패딩, 다시 쓴 헤더 바이트로 — 위장해, 심층 패킷 검사가 WireGuard 시그니처와 대조하지 못하게 합니다. 아래에 깔린 터널은 같고, 회선 위의 실루엣만 다릅니다.

핵심 요약

  • AmneziaWG는 WireGuard에 난독화 계층을 더한 것입니다. 암호화, 키 모델, 성능은 본질적으로 바뀌지 않습니다.
  • 평범한 WireGuard는 고정되어 핑거프린팅되는 핸드셰이크를 가집니다 — 검열자가 아무것도 복호화하지 않고 그것을 차단하는 방식이 바로 이것입니다.
  • AmneziaWG는 그 핑거프린트를 깨뜨립니다: 핸드셰이크 앞의 정크 패킷, 핸드셰이크에 붙는 무작위 패딩, 무작위화된 헤더 값.
  • 만능 해법은 아닙니다. 차단된 서버 주소, UDP 차단, 허용 목록 방화벽은 어쨌든 그것을 막습니다.
  • 평범한 네트워크에서는 추가로 얻는 것이 없습니다. VPN 프로토콜을 적극적으로 사냥하는 네트워크에서 의미가 있습니다.

평범한 WireGuard가 차단하기 쉬운 이유

검열자는 VPN을 차단하려고 암호화를 깰 필요가 없습니다. 프로토콜을 알아보기만 하면 되는데, WireGuard는 그 핸드셰이크가 매번 똑같아 보이기 때문에 그 일을 쉽게 만듭니다. 모든 WireGuard 세션의 첫 패킷은 정확히 148바이트의 UDP 메시지이며, 그 첫 4바이트는 항상 1 다음에 0이 세 개 오는 메시지 유형 필드입니다. 서버의 응답은 정확히 92바이트, 유형 2입니다. 모든 구현에서, 모든 연결에서, 어디서나요.

그 규칙성은 엔지니어에게는 멋진 일이지만, 국가 방화벽 뒤에 있는 누구에게나 괴로운 일입니다. 검사 장비는 그 형태를 — 고정된 크기, 일정한 유형 바이트, 주고받는 리듬을 — 패턴 매칭해, 터널이 설정을 마치기도 전에 연결을 버립니다. 안쪽의 모든 것은 암호화된 채 남지만, 바깥이 정체를 들통내는 것이죠.

이는 실수가 아닙니다. WireGuard 프로젝트는 트래픽 난독화를 명시적인 비목표로 명시합니다. 프로토콜은 최소한으로, 감사 가능하게 유지하려는 것이고, 위장은 그 위에 쌓는 계층에 맡깁니다. 여러 해 동안 그것이 빈틈을 남겼는데, 가장 강하게 필터링하는 나라들이 — 이란, 러시아, 중국이 VPN을 차단하는 방식을 짚어 봅니다 — WireGuard의 시그니처를 일찌감치 자신들의 필터에 추가했기 때문입니다.

AmneziaWG는 그 빈틈에 대한 하나의 답입니다.

AmneziaWG가 바꾸는 것

AmneziaWG는 자체 호스팅 VPN을 위한 오픈소스 도구 모음인 Amnezia를 만든 팀에서 나왔으며, 그것을 이해하는 가장 쉬운 방법은 의상을 입은 WireGuard로 보는 것입니다. 이 포크는 검사 시스템이 지켜보는 바로 그 순간에 연결이 어떻게 보이는지를 다시 빚는 일련의 설정 매개변수를 더합니다.

  • 정크 패킷이 먼저(Jc, Jmin, Jmax 매개변수). 진짜 핸드셰이크에 앞서, 클라이언트가 크기가 제각각인 무의미한 무작위 패킷의 무리를 보냅니다. 더 이상 깔끔한 148바이트 메시지로 대화가 시작되지 않습니다.
  • 무작위 패딩(S1, S2). 핸드셰이크 개시와 응답에 무작위로 여분의 바이트가 붙어, 패킷 크기가 알려진 시그니처와 더는 일치하지 않게 됩니다.
  • 다시 쓴 헤더(H1–H4). 모든 WireGuard 패킷에 꼬리표를 다는 네 개의 고정된 메시지 유형 값이, 양쪽 끝이 미리 합의한 값으로 대체됩니다. 정체를 드러내는 1, 2, 3, 4가 회선 위에 절대 나타나지 않습니다.

최신 릴리스는 그 발상을 더 밀어붙입니다. 버전 1.5는 다른 프로토콜의 첫 바이트를 흉내 내도록 특별히 만든 개시 패킷을 추가했고, 뒤이어 2026년에 나온 2.0 계열은 그 방향을 이어 갑니다 — 목표가 "WireGuard처럼 보이지 않기"에서 "무해한 무언가처럼 보이기"로 옮겨 가는 것이죠.

실제로는 두 가지 세부 사항이 중요합니다. 양쪽 끝이 같은 매개변수 값을 공유해야 합니다. 이것은 설정 파일에 담겨 운반되는 합을 맞춘 의상이지, 클라이언트가 즉흥적으로 지어내는 것이 아닙니다. 그리고 모든 난독화 매개변수를 0으로 두면 AmneziaWG는 평범한 WireGuard를 말합니다 — 이는 더해진 계층이 실제로 얼마나 얇고 정밀한지를 알려 줍니다.

그대로 유지되는 것

의상 아래의 프로토콜은 손대지 않았습니다. 핸드셰이크 수학, 현대적인 암호, 키 교환 — 모두 다시 발명한 것이 아니라 WireGuard에서 그대로 물려받았습니다. 그것이 옳은 판단입니다. 새 난독화는 잘못 만들었다가 고치는 비용이 싸지만, 새 암호화는 잘못 만들면 파국이기 때문입니다. 포장만 바꾸는 포크는 WireGuard의 작고 철저히 검토된 핵심을 그대로 지킵니다.

성능도 유지됩니다. 정크 패킷이 연결을 시작할 때 약간의 추가 데이터를 더하고, 그 이후로 터널은 WireGuard가 하는 방식으로 트래픽을 옮깁니다. 주요 프로토콜들이 속도와 배터리에서 어떻게 비교되는지 궁금하다면, WireGuard vs OpenVPN vs IKEv2에서 그 비교를 해 두었습니다 — 그리고 AmneziaWG는 더 오래되고 무거운 선택지들이 아니라 WireGuard 쪽 열에 자리합니다.

AmneziaWG가 여전히 지는 지점

난독화는 여러분을 차단하는 비용을 높입니다. 차단을 불가능하게 만들지는 않으며, 솔직한 비교라면 그 의상이 도움이 되지 않는 곳을 말해야 합니다.

  • 차단된 주소. 검열자가 여러분 서버의 IP를 이미 블랙리스트에 올렸다면, 패킷이 어떻게 보이는지는 중요하지 않습니다. 위장은 프로토콜 필터를 이기지, 주소 목록을 이기지 못합니다.
  • UDP 차단과 속도 제한. 어떤 네트워크는 낯선 UDP 트래픽을 통째로 버리거나 조입니다. AmneziaWG는 여전히 UDP입니다. 그런 네트워크에서는 TCP 위의 평범한 웹 트래픽으로 차려입은 터널이 그 자리를 넘겨받습니다.
  • 허용 목록 방화벽. 가장 엄격한 네트워크는 논리를 뒤집습니다. 알아본 프로토콜만 통과시킵니다. 그곳에서는 아무것도 아닌 것처럼 보이는 트래픽 자체가 수상하며, 분류할 수 없는 고엔트로피 흐름은 원칙적으로 버려집니다. 잡음처럼 보이는 것은 차단 목록에는 도움이 되고 허용 목록에는 해가 됩니다.
  • 군비 경쟁. 검열자는 흐름의 타이밍, 시간에 따른 패킷 크기 패턴, 의심되는 서버가 찔러봤을 때 어떻게 반응하는지도 측정합니다. 모든 난독화 기법은 움직이는 표적이며, 그래서 진지한 프로젝트들은 새 버전을 계속 내놓습니다.

현실적인 표현은 이렇습니다. AmneziaWG는 프로토콜 시그니처로 필터링하는 네트워크에서 여러분을 차단하기 비싸게 만듭니다. 차단이 주소로, 전송 방식으로, 혹은 허용 목록으로 이뤄지는 곳에서는 다른 수가 필요하며 — 그 지형 전체를 VPN은 어떻게 검열을 우회하는가에서 그려 봅니다.

정말 VPN 난독화가 필요한가?

난독화된 VPN에 손을 뻗기 전에 던질 가치가 있는 질문 하나: 여러분의 문제가 정말 프로토콜 차단인가요? 대부분의 나라에서 가정용 연결이라면 평범한 WireGuard가 문제없이 연결되며, 난독화는 개인정보 보호를 더해 주지 않으면서 움직이는 부품만 더합니다 — 암호화는 어느 쪽이든 같으니까요. 솔직한 시험은 단순합니다. 표준 VPN이 여러분의 네트워크에서 안정적으로 연결된다면, 그 의상은 필요 없습니다.

난독화는 특정한 상황에서 제값을 합니다. VPN 프로토콜을 핑거프린팅하는 국가 방화벽, 알아본 VPN 트래픽을 속도 제한하는 ISP, 그리고 정책상 터널을 차단하는 일부 기업·캠퍼스·호텔 네트워크입니다. 그중 하나가 여러분의 한 주를 설명한다면, 이 비교의 나머지는 여러분을 위한 것입니다. 그렇지 않다면 — 우리 주요 비교에서 다루는 — 프로토콜 선택이 위장보다 더 중요합니다.

iPhone에서의 AmneziaWG

iOS 클라이언트를 포함해 공식 AmneziaWG 앱이 있습니다. 서버를 빌려 Amnezia 도구로 설정하면, 난독화 매개변수를 담은 설정을 가져와 끝낼 수 있습니다. 서버를 관리하고 매개변수를 동기화하는 데 익숙한 사람에게는 진정으로 좋은 길이며 — 우리 Shadowsocks vs VPN 비교는 같은 자체 호스팅 정신으로 프록시 형태의 대안들을 다룹니다.

대부분의 사람은 인터넷을 읽으려고 인프라를 운영하고 싶어 하지 않으며, 그럴 필요도 없습니다. 실용적인 대안은 양쪽 끝을 같은 제공업체가 관리하면서, 앱이 여러분을 대신해 난독화를 적용하는 VPN입니다.

Snap VPN은 그렇게 만들어졌습니다. 터널 자체는 WireGuard이고, 그 위에 우리 자체의 난독화 기법을 적용해, 연결이 검사 시스템에 교과서적인 VPN 시그니처를 내보이지 않도록 형태를 빚습니다. 우리는 회선 수준의 세부 사항을 의도적으로 문서 밖에 둡니다 — 공개된 위장은 가장 먼저 필터에 추가되니까요 — 그러나 그 원칙은 AmneziaWG가 입증하는 바로 그것입니다. WireGuard의 엔지니어링은 지키고, 네트워크가 보는 것을 바꾸는 것이죠. 설정할 것도, 만들 계정도 없습니다.

자주 묻는 질문

AmneziaWG는 WireGuard와 같은가요? 포크입니다. 암호화와 터널 동작은 WireGuard의 것이고, 바뀌는 것은 패킷이 회선 위에서 어떻게 보이는가입니다 — 정크 패킷, 패딩, 무작위화된 헤더가 알아볼 수 있는 시그니처를 대체합니다. 그 매개변수를 0으로 두면 표준 WireGuard처럼 동작합니다.

AmneziaWG는 WireGuard보다 느린가요? 유의미하게 느리지 않습니다. 난독화가 연결 설정 때 약간의 데이터를 더하고, 정상 상태의 속도는 평범한 WireGuard와 같은 수준입니다 — 실제 일을 하는 암호화는 동일하니까요.

DPI가 여전히 AmneziaWG를 탐지할 수 있나요? 시도할 수 있고, 때로는 성공합니다. 난독화는 쉬운 시그니처 매칭을 없애지만, 검열자는 여전히 서버 주소를 차단하거나, UDP를 속도 제한하거나, 아예 분류할 수 없는 트래픽을 표시할 수 있습니다. 면역이 아니라 계속되는 군비 경쟁에서의 강력한 한 수로 여기세요.

AmneziaWG는 iPhone에서 작동하나요? 네 — 공식 iOS 앱이 있고, 여러분 설정의 난독화 매개변수가 서버의 것과 정확히 일치해야 합니다. 그것을 직접 관리하고 싶지 않다면, 대안은 난독화가 내장된 VPN 앱입니다.

결론

  • WireGuard는 핸드셰이크가 어디서나 똑같아 보이기 때문에 차단하기 쉽습니다. 암호화는 내용을 숨기지, 프로토콜의 윤곽을 숨기지 않습니다.
  • AmneziaWG는 WireGuard의 암호화와 속도를 지키면서, 검사 시스템이 대조하는 바로 그 부분을 무작위화합니다.
  • 프로토콜 필터에는 이기지만, IP 차단 목록, UDP 차단, 허용 목록 방화벽은 이기지 못합니다.
  • iPhone에서 직접 자체 호스팅하는 것은 공식 앱으로 됩니다. 손이 덜 가는 길은 난독화를 제품의 일부로 제공하는 VPN입니다.

WireGuard의 속도에 난독화까지 이미 처리된 것을 원한다면 — 빌릴 서버도, 동기화할 매개변수도, 계정도 없고 트래픽 로그도 없이 — Snap VPN이 App Store에 있습니다.