VPN이 당신의 이메일을 요구하지 말아야 하는 이유
대부분의 VPN 제품의 핵심에는 조용한 모순이 있습니다. 당신은 사용하는 웹사이트와 네트워크로부터 IP 주소를 숨기려고 가입합니다. 그런데 그 일을 하기도 전에, 제공업체는 당신의 이메일을 요구합니다. 그다음 카드에 적힌 이름. 그다음 청구 주소. 가입은 당신의 집 IP에서 이루어지니, 그것도 가져갑니다. 앱 설치가 끝날 무렵이면, 당신의 프라이버시를 지켜 달라고 돈을 내는 그 회사는, 당신이 익명으로 대하려 했던 대부분의 사이트보다 당신에 대해 더 많이 알게 됩니다.
진정으로 당신이 누구인지 모르는 익명 VPN 이야말로 드문 예외가 아니라 기본 모델이 되어야 합니다. 이 글은 그 모순이 왜 존재하는지, 현실적인 대안은 어떤 모습인지, 그리고 iPhone에서 App Store를 통해 구독하는 것이 업계가 15년 동안 우회해 온 문제를 어떻게 조용히 해결하는지에 관한 것입니다.
현관 앞의 모순
트래픽에 대한 노로그 정책은 대부분의 프라이버시 중심 VPN의 대표 기능입니다. 제공업체가 당신이 어떤 사이트를 방문했는지, 무엇을 다운로드했는지, 어떤 IP에 연결했는지에 대한 기록을 남기지 않는다는 뜻입니다. 그것이 약속입니다.
그 약속이 흔히 건너뛰는 것은 두 번째 데이터베이스입니다 — 당신의 계정이 들어 있는 그 데이터베이스. 당신의 이메일, 등록된 카드에 적힌 이름, 가입한 IP, 로그인하는 IP, 지원 문의, 갱신 이력. 그중 어느 것도 “트래픽”이 아닙니다. 전부 신원입니다. 그리고 당신이 이름을 댈 수 있는 거의 모든 VPN이 그것을 보유합니다.
그러니 진짜 질문은 “이 VPN이 내 트래픽을 로그하는가”가 아닙니다. 질문은 “이 VPN이 나에 대해 무엇을 아는가, 통틀어서” 입니다. 트래픽 쪽과 계정 쪽은 서로 다른 두 문제인데, VPN 프라이버시에 관한 거의 모든 대화는 첫 번째 것만 다룹니다.
VPN 업계에서 보게 될 계정 모델들
한발 물러서서 보면 정말로 몇 가지 패턴뿐입니다. 어느 제공업체가 어느 것을 쓰는지 가려낼 수 있도록 각각을 짚어 둘 가치가 있습니다.
이메일과 비밀번호
고전적인 SaaS 가입 방식. 이메일을 주고, 비밀번호를 설정하고, 링크로 확인합니다. 이제 제공업체는 당신을 가리키는 영구 식별자와, 당신이 언제 어디서 가입했는지에 대한 기록을 갖습니다. 이것이 지배적인 모델이며, 상당한 차이로 가장 노출이 큽니다.
이메일에 결제 대행사를 더한 방식
위와 같지만, Stripe 같은 곳을 통해 카드가 추가로 등록됩니다. 대행사가 카드 세부 정보를 처리하지만, VPN은 여전히 당신의 이메일, 카드에 적힌 이름, 청구 기록을 갖습니다. 환불과 갱신에는 이메일이 존재해야 합니다.
매직 링크 또는 일회용 코드
“비밀번호 없음”으로, 때로는 “프라이버시 친화적” 으로 광고됩니다. 프라이버시 측면에서 의미 있는 어떤 뜻으로도 그렇지 않습니다. 제공업체는 여전히 당신의 이메일을 갖고 있습니다. 다만 그것을 위한 비밀번호를 외우라고 요구하지 않을 뿐입니다.
당신의 Apple ID를 통한 App Store 구독
대부분의 iPhone 사용자가 한 번도 자세히 들여다보지 않는 모델입니다. 구독을 탭하고, Face ID로 확인하면, 거래는 Apple을 통해 이루어집니다. 개발자는 당신의 이메일, 카드, 이름을 보지 못합니다. 구독이 활성 상태임을 확인하는, Apple이 서명한 영수증을 받을 뿐입니다. 이 모델은 뒤에서 다시 다루겠습니다.
계정 없는 암호화폐
극단적인 선택지. Monero 같은 것으로 결제하고, 토큰이나 자격 증명을 받고, 제공업체에 아무것도 주지 않습니다. 원칙적으로는 진정으로 익명이지만, 운영 면에서는 번거롭습니다 — 손쉬운 갱신, 손쉬운 환불, 손쉬운 기기 이전을 잃고, 자격 증명을 스스로 관리하는 부담을 떠안습니다. 대부분의 사용자에게는, 그 결과에 신경을 쓴다 해도 이것이 현실적인 선택지가 아닙니다.
신원과 묶인 VPN 계정의 위험
계정 쪽 데이터를 “뭐, 내 이메일을 갖고 있는 거지, 그게 뭐 어때서”라며 가볍게 넘기기는 쉽습니다. 그 “그게 뭐 어때서”는 꽤 빨리 구체화됩니다.
소환장과 법적 요청의 영향 반경
트래픽 쪽의 노로그 정책은 정말로 유용하지만, 계정 데이터까지 확장되지는 않습니다. 법원이 제공업체에게 특정 이메일이나 청구 신원에 대해 가진 것을 넘기라고 명령하면, 따라야 합니다. 제공업체는 “우리는 트래픽 로그를 남기지 않으니 가진 게 없습니다”라고 말할 수 없습니다 — 계정 기록, 가입 IP, 지원 문의, 갱신 이력을 넘겨야 합니다.
그 기록만으로도 특정 인물이 특정 기간 동안 고객이었음을 확인하기에 충분한 경우가 많습니다. 관할권과 요청에 따라, 그것은 어떤 트래픽 데이터가 붙어 있지 않더라도 의미 있는 정보 공개입니다.
데이터 유출 노출
계정 데이터베이스는 유출됩니다. 주요 VPN 제공업체, 비밀번호 관리자, 그리고 그 사이의 모든 곳에서 유출되어 왔습니다. CRM이나 인증 데이터베이스가 뚫리면, 그 유출은 당신의 이메일만 드러내는 것이 아닙니다 — 그 이메일을 쓰는 당신이 어느 VPN의 고객이었다는 사실을 드러냅니다. 이는 사소한 일이 아닙니다. 어떤 곳의 어떤 사용자에게는, 바로 그 한 가지 사실이 민감한 부분입니다.
유출 간 교차 대조
더 깊은 문제는 어떤 유출도 단독으로 일어나지 않는다는 것입니다. 당신의 VPN 계정 이메일은 쇼핑 이메일이기도, 포럼 이메일이기도, 아마 업무에 가까운 이메일이기도 합니다. 몇몇 데이터베이스가 유출되고 나면, 같은 이메일이 그 모든 곳에 나타나기 시작하고, 그 잔해로부터 하나의 프로필이 저절로 짜맞춰집니다. 계정에 관해 가장 사적인 것은 흔히 애초에 계정을 갖지 않는 것입니다.
제공업체가 “노로그”라고 말할 때 실제로 무엇을 뜻하는지에 대한 맥락은 노로그 VPN이 정말 의미하는 것에 관한 글을 보시고, 어떤 VPN 주장이 검증을 견디는지에 대한 더 큰 그림은 흔한 VPN 오해 안내서를 참고하세요.
Apple ID 구독이 신원을 개발자에게서 떼어내는 방식
App Store 구독 모델은 구조적으로 SaaS 계정 모델과 매우 다르며, 이것이 익명 VPN에 왜 중요한지 이해할 가치가 있습니다.
App Store를 통해 앱을 구독할 때, 당신은 개발자가 아니라 Apple과 거래에 들어가는 것입니다. Apple이 당신의 결제 수단, Apple ID, 청구 주소, 구독 이력을 보유합니다. 개발자 — 이 경우 VPN 제공업체 — 는 그 벽의 반대편에 있습니다.
당신이 구독할 때 개발자가 실제로 받는 것은 서명된 영수증입니다. Apple의 StoreKit 프레임워크가 앱에 암호화된 거래 객체를 건네고, 개발자의 서버는 그 거래를 Apple의 서버에 대조해 검증합니다. 검증은 중요한 한 가지 정보와 함께 돌아옵니다. 그렇다, 이 구독은 활성 상태이고, 그렇다, 이 익명 식별자에 속한다. 이메일도, 이름도, 카드도, 주소도 없습니다.
취소하려면 Apple을 통해 취소합니다. 환불을 원하면 Apple에 요청합니다. 카드가 만료되면 Apple ID 설정에서 갱신합니다 — 개발자는 새 카드도, 옛 카드도, 심지어 무언가 바뀌었다는 사실조차 결코 보지 못합니다. 갱신에 대해서도 마찬가지입니다.
사용자에게 이는 평범한 구독 흐름처럼 보입니다. 구조적으로는 깔끔한 분리입니다. Apple이 신원과 돈을 다루고, 개발자가 제품을 다룹니다. 그리고 개발자 쪽에는 가입 양식이 없기 때문에, 개발자 쪽에는 계정 데이터베이스가 없습니다. 유출에서 새어 나갈 그것이 애초에 새어 나갈 수 있게 존재하지 않습니다.
이것은 프라이버시 꼼수가 아닙니다. 모든 App Store 구독이 작동하는 방식입니다. 이를 사용하는 대부분의 앱은 이로써 들려줄 프라이버시 이야기가 없습니다. 앱 안에서 별도로 당신의 이메일을 요구해 “계정을 만들기” 때문입니다. VPN은 그럴 필요가 없는데도, 대부분은 습관적으로 어쨌든 그렇게 합니다.
Snap VPN이 이를 다루는 방식
Snap은 App Store 흐름만으로 충분하다는 전제 위에 만들어졌습니다. 첫 실행 시 가입 양식이 없습니다. 어디에도 이메일 입력란이 없습니다. 연결하기 전에 “계정 만들기” 단계가 없습니다.
앱을 설치하고, 구독을 탭하고, Face ID로 확인합니다. Snap 쪽에 도착하는 것은 검증된 영수증과 익명 식별자입니다. 영수증은 당신이 구독 중이라고 말합니다. 식별자는 이 기기에서 당신이 구독 중임을 앱이 기억하게 해줍니다. 둘 중 어느 것도 당신의 이메일, 이름, 결제 정보를 담고 있지 않습니다. Snap의 서버는 그것들을 받지 않기 때문입니다 — Apple이 받습니다.
실세계 신원과 묶인 사용자 식별자는 우리 쪽에 저장되지 않습니다. 당신이 Snap에 두는 신뢰는 운영적인 신뢰(네트워크, 서버, 프로토콜)이지, 모든 이메일·비밀번호 계정에 따라붙는 “우리가 당신의 신원을 보유하니 부디 그것을 우리에게 믿고 맡겨 달라”는 종류의 신뢰가 아닙니다.
실질적으로 말하자면, 누군가 Snap에게 “이 이메일 주소의 사람에 대해 가진 모든 데이터”를 요구한다면, 내놓을 기록이 없을 것입니다. 등록된 이메일 주소가 없기 때문입니다. 이것은 마케팅 주장이 아니라, 가입 양식을 만들지 않은 데서 비롯된 결과입니다.
기기 자체에서 이를 한 걸음 더 밀고 나가고 싶다면, 우리의 iPhone 프라이버시 체크리스트 가 익명 VPN과 함께 켜둘 가치가 있는 설정들을 다룹니다.
솔직한 한계
이 모델이 하지 못하는 것을 짚지 않고 여기서 글을 끝낸다면 오해를 부를 것입니다. Apple ID 위에 세운 익명 VPN은 신뢰 의존성이 전혀 없는 VPN과 같은 것이 아닙니다.
당신은 여전히 Apple을 신뢰합니다. Apple은 당신이 구독했다는 것을 압니다. 그것이 신경 쓰인다면 — 당신의 위협 모델에 Apple 자체가 포함된다면 — App Store 구독 모델은 맞지 않으며, 계정 없는 암호화폐 경로가 유일하게 솔직한 답입니다. 대부분의 사용자에게 이 거래는 괜찮습니다. Apple은 알려진 대상이고, 그 관계는 이미 존재하며, 데이터는 당신이 이미 속해 있는 생태계 안에 담겨 있습니다.
당신은 여전히 VPN 제공업체가 네트워크를 정직하게 운영하리라 신뢰합니다. 어떤 계정 모델도 그것을 해결하지 못합니다. 당신의 이메일을 갖고 있지 않은 제공업체라도 여전히 서버를 잘못 구성하거나, 로그하지 않는다고 주장한 연결을 로그하거나, 팔아서는 안 될 집계 데이터를 팔 수 있습니다. 계정 모델은 침해가 노출할 수 있는 것을 줄이는 것에 관한 것이지, 운영자를 신뢰할 필요 자체를 없애는 것에 관한 것이 아닙니다.
그것이 바꾸는 것은 영향 반경의 크기입니다. 만약 Snap의 서버가 내일 침해된다면, 공격자는 실제 신원과 묶인 이메일 목록도, 이름 목록도, 카드 번호도, 청구 주소도, 지원 문의 보관함도 찾지 못할 것입니다. VPN 침해에서 보통 새어 나가는 것 — 계정 데이터베이스 — 가 존재하지 않습니다. 수집한 것이 적기 때문에 침해할 것도 적습니다.
그것이 핵심입니다. 설계로 익명이라는 것은, 민감한 것이 “보호” 되거나 “저장 시 암호화”되거나, “갖고 있지만 조심스럽게” 라는 뜻의 다른 어떤 표현이 적용되도록 하는 것이 아니라, 그것이 애초에 거기 있지 않도록 시스템을 설계하는 것을 뜻합니다.
결론
당신의 이메일을 요구하는 VPN의 모순은 실재하며, 업계는 그것을 해결하기 보다는 대체로 우회해 왔습니다. 해결책은 새로운 암호 기술이나 새로운 노로그 감사가 아닙니다. 애초에 계정 데이터베이스를 만들지 않는 것입니다. App Store 구독 모델은 iPhone에서, 사용자에게는 보이지 않고 개발자에게는 구조적으로 깔끔한 방식으로 그것을 가능하게 합니다. 계정 쪽을 트래픽 쪽만큼 진지하게 다룰 때 익명 VPN은 이런 모습이 됩니다.
VPN을 고르고 있는데 그것이 가장 먼저 요구하는 것이 당신의 이메일이라면, 그것은 그 제품의 나머지가 당신의 데이터를 어떻게 여길지에 대한 정당한 신호입니다. 더 나은 기본값이 존재합니다.
맺음말
당신의 이메일을 모르는 VPN이 올바른 기본값처럼 들린다면 — 실제로 그러하기에 — Snap 은 첫 탭부터 그렇게 만들어졌습니다. 가입 없음. 양식 없음. 등록된 신원 없음. 그저 앱 하나, 당신의 Apple ID에 묶인 구독, 그리고 사용할 수 있는 네트워크.