다운로드
블로그로 돌아가기
프라이버시··10 분 소요

공용 와이파이 위험 (HTTPS가 어디에나 있어도)

언어: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

몇 년 전, 카페 네트워크를 사용할 때의 조언은 단순하고 암울했습니다. 누군가 당신의 트래픽을 읽고 있다고 가정하라는 것이었죠. 그 뒤 HTTPS가 거의 모든 곳에서 기본이 되었고, 브라우저는 평문 사이트에 대해 큰 소리로 경고하기 시작했으며, 많은 사람들이 조용히 걱정을 멈추었습니다.

바로 그 두 번째 부분이 문제입니다. HTTPS가 승리했을 때 공용 와이파이 위험은 사라지지 않았습니다 — 옮겨 갔을 뿐입니다. 예전에 당신의 Gmail 비밀번호를 공중에서 가로채던 수동적 도청자는 대체로 채산이 맞지 않게 되었습니다. 남아 있는 것은 더 흥미롭고, 더 표적화되어 있으며, 자물쇠 아이콘 때문에 모든 것이 멀쩡해 보여서 알아채기가 더 어렵습니다.

이 글에서는 HTTPS가 실제로 무엇을 고쳤는지, 무엇을 고치지 못했는지, 그리고 당신 소유가 아닌 네트워크에서 노출 정도를 의미 있게 바꾸는 몇 가지 습관을 짚어 봅니다.

HTTPS가 실제로 해결한 것

인정할 것은 인정합시다. HTTPS — 웹 프로토콜의 암호화된 버전 — 는 공용 와이파이 문제의 가장 크고 단순한 버전을 실제로 고쳤습니다.

2014년에는 당신과 같은 공항 네트워크에 있던 사람이 무료 도구를 실행해 브라우저가 Facebook을 불러오는 것을 지켜보고, 당신의 세션 쿠키를 가지고 떠날 수 있었습니다. 그런 종류의 공격은 대부분 사라졌습니다. 기본 HTTPS, HSTS(브라우저에게 “이 사이트를 다시는 일반 HTTP로 불러오지 말라”고 알려 주는 플래그), 그리고 더 엄격한 쿠키 규칙이 결합되면서 주류 사이트에 대한 가벼운 수동 도청으로는 얻을 것이 별로 없습니다.

당신의 위협 모델이 “세 테이블 건너에 있는 심심한 십 대가 내 이메일을 읽는 게 싫다”는 정도라면, HTTPS가 거기까지는 데려다주었습니다.

한 단계 위의 위협 모델에서 이야기는 더 솔직해집니다.

HTTPS가 다루지 못하는 것

HTTPS는 특정 서버로의 연결 내용을 암호화합니다. 그 연결이 맺어지기 전의 단계는 보호하지 않으며, 무언가 조금 이상해 보일 때 당신 자신으로부터 당신을 보호해 주지도 않습니다. 바로 여기에 공용 와이파이 위험이 여전히 남아 있습니다.

캡티브 포털 주입

호텔과 공항 와이파이에서 뜨는 “약관에 동의” 페이지를 캡티브 포털이라고 합니다. 이것이 작동하려면 네트워크가 당신의 첫 번째 웹 요청을 가로채 자신이 정한 곳으로 리디렉션해야 합니다. 그것은 설계상 중간자입니다. 허가된 것이지만, 그래도 중간자입니다.

잘 운영되는 캡티브 포털은 무해합니다. 형편없이 운영되는 것(또는 의도적으로 적대적인 것)은 당신에게 JavaScript를 내려보내거나, 가짜 소프트웨어 업데이트를 들이밀거나, 접속하는 모든 기기를 조용히 프로파일링할 수 있습니다. 당신의 휴대폰은 흔히 포털을 전체 주소 표시줄이 없는 간소화된 브라우저로 보여 주는데, 그러면 실제로 무엇을 보고 있는지 분간하기가 더 어렵습니다.

취약한 리졸버에서의 DNS 하이재킹

당신이 bank.com을 입력하면, 기기는 네트워크의 DNS 리졸버에게 “그 IP 주소가 뭐지?”라고 묻습니다. 공용 네트워크에서 그 리졸버는 액세스 포인트를 소유한 누군가가 운영합니다.

잘못 구성되었거나 악의적인 리졸버는 거짓말을 할 수 있습니다. 당신을 당신의 은행이 아닌 서버로 보낸 다음, 자기 인증서를 제시할 수 있습니다. 최신 브라우저는 경고를 띄웁니다 — 다만 인증서가 잘못된 경우에만, 그리고 당신이 그냥 눌러 넘기지 않고 경고를 읽는 경우에만 그렇습니다.

잘못 구성된 사이트에서의 SSL 스트리핑

SSL 스트리핑은 좁은 경우에 여전히 통하는 오래된 수법입니다. 공격자는 당신과 당신이 가려는 사이트 사이에 자리 잡습니다. 당신이 example.com을 입력하면(https:// 접두어 없이), 네트워크가 그것을 가로채 실제 HTTPS 페이지를 자신이 가져온 뒤, 당신에게는 일반 HTTP 사본을 내어 줍니다.

HSTS 프리로딩을 사용하는 사이트는 면역입니다. 그렇지 않은 사이트(보통 규모가 작은 서비스, 내부 도구, 또는 오래된 북마크로 접속하는 것들)는 그렇지 않습니다. 주소 표시줄은 자물쇠 아이콘 대신 http://를 조용히 보여 주는데, 대부분의 사람들은 보지 않습니다.

불량 액세스 포인트와 Evil Twin

이것은 위의 방어책 대부분을 우회하기 때문에, 제대로 이해할 가치가 있는 것입니다.

당신의 휴대폰은 네트워크를 기억합니다. 전에 접속한 적이 있는 것과 일치하는 비콘(와이파이 이름을 알리는 작은 브로드캐스트 패킷)을 보면, 자동으로 연결할 수 있습니다. 시중에서 구할 수 있는 하드웨어를 가진 공격자는 Starbucks WiFiHotel Guest라고 주장하는 비콘을 송출하고, 인증 해제 프레임을 보내 당신의 휴대폰을 정상 네트워크에서 떨어뜨린 뒤, 당신이 아무것도 건드리지 않았는데도 기기가 자기 것으로 넘어가는 것을 지켜볼 수 있습니다.

그 시점부터 공격자가 곧 네트워크입니다. 그들이 DNS를 통제합니다. 캡티브 포털을 운영합니다. 내용이 암호화되어 있더라도, 당신 기기의 어떤 앱이 어떤 서버에 닿으려 하는지를 봅니다. 자기 캡티브 포털 페이지를 내어 줄 수도, 프리로드되지 않은 것에 SSL 스트리핑을 시도할 수도, 평범한 로그인 흐름처럼 보이는 화면 안에서 자격 증명을 요구할 수도 있습니다.

기술적인 이름은 “evil twin”이고, 조용한 부분은 이 일이 벌어지고 있다고 아무것도 경고해 주지 않는다는 점입니다. 당신의 휴대폰은 그저 익숙한 와이파이 아이콘을 보여 줄 뿐입니다.

인증서 경고에 대한 길들여짐

브라우저는 경고를 잘하게 되었습니다. 사용자는 그것을 무시하는 데 능숙해졌습니다.

전체 화면을 덮는 빨간 인증서 경고를 보면, 거의 항상 연결에 무언가 잘못된 것이 있다는 뜻입니다. 어떤 때는 무해하게(만료된 인증서), 어떤 때는 그렇지 않게(활성 중간자) 말이죠. 해결책은 눌러 넘기지 않는 것입니다. 실제로는 사람들이 여러 해 동안 잘못 구성된 회사 네트워크에 길들여져, 읽지도 않고 “그래도 계속” 버튼을 마구 누르도록 훈련되어 있습니다.

카페 네트워크에서는 그 버튼이 공격의 전부일 수 있습니다.

Evil-Twin 공격은 실제로 어떻게 작동하는가

이 모든 것이 어떻게 맞물리는지 실속 있는 그림 하나가 필요하다면, evil-twin 공격이 가장 깔끔한 예입니다.

공격자는 노트북이나 작은 휴대용 기기를 카페에 가지고 옵니다. 그리고 세 가지 일을 순서대로 하는 소프트웨어를 실행합니다.

먼저, 주변 와이파이 네트워크를 찾으려 공중을 스캔하고 정상 네트워크의 이름(SSID)을 적어 둡니다. 예를 들어 Cafe Guest라고 합시다. 그런 다음 같은 이름으로 자기 비콘 프레임을 송출하기 시작하는데, 기기들이 그것을 선호하도록 흔히 더 높은 출력으로 보냅니다.

둘째, 이미 진짜 네트워크에 연결된 클라이언트에게 인증 해제 프레임을 보냅니다. 인증 해제 프레임은 와이파이가 작동하는 방식의 정상적인 일부입니다 — 기기에게 “연결이 끊겼으니 다시 접속하라”고 알려 주죠. 대부분의 네트워크에서 이 프레임은 인증되지 않으며, 이는 누구나 보낼 수 있다는 뜻입니다. 진짜 네트워크에 있던 휴대폰은 떨어져 나가 다시 연결할 곳을 찾습니다.

셋째, 공격자가 캡티브 포털을 제시합니다. “무료 와이파이에 접속하려면”이라며 이메일과 비밀번호를 물을 수도 있습니다. 호텔의 로그인 페이지를 흉내 낼 수도 있습니다. 그저 조용히 통과시켜 주고, 당신의 트래픽을 자기 연결로 내보내며, 모든 것을 기록할 수도 있습니다. 당신 휴대폰의 관점에서는 온라인 상태입니다. 공격자의 관점에서는 이제 그들이 당신의 ISP입니다.

방어는 패킷 헤더를 읽는 것이 아닙니다. 공격을 시시하게 만드는 것입니다 — 알 수 없는 네트워크에 자동 접속하지 않음으로써, 민감한 트래픽을 로컬 네트워크가 들여다볼 수 없는 무언가를 통해 라우팅함으로써, 그리고 의도적으로 이동하지 않은 페이지에 자격 증명을 입력하지 않음으로써 말이죠.

2026년에 공용 와이파이는 안전한가?

솔직한 답: 대부분의 일에는 충분히 안전하고, 모든 일에는 충분히 안전하지 않습니다.

뉴스를 읽고, 요리법을 찾아보고, 소셜 미디어를 스크롤하는 것 — 괜찮습니다. 그 트래픽이 잘못될 때의 비용은 낮고, 최신 브라우저의 보호 장치는 실재합니다.

은행에 로그인하거나, 업무용 관리자 패널에 접근하거나, 송금을 승인하거나, 복구 코드를 문자로 보내는 새 서비스에 로그인하는 것 — 이것들은 “아마 괜찮음”과 “확실히 괜찮음” 사이의 간격이 중요한, 가치가 더 높은 순간입니다. 그 간격을 메우는 값싼 답은 통제할 수 없는 네트워크에서 그것들을 하지 않는 것입니다.

다섯 가지 실천 단계

이 중 어느 것도 패킷 프레임을 떠올릴 필요가 없습니다. 이것들은 습관입니다.

  1. 알 수 없는 네트워크에 대한 자동 접속을 끄세요.iPhone에서 이것은 설정 → Wi-Fi → Auto-Join Hotspot 아래에 있고, 네트워크별로는 Wi-Fi → (네트워크 이름) → Auto-Join 아래에 있습니다. 핵심은 기기가 익숙한 이름의 무언가에 접속하기 전에 당신에게 묻도록 만드는 것입니다. 관련 단계는 iPhone VPN 설정 안내 를 참고하세요.
  2. 가능하면 셀룰러나 본인의 핫스팟을 우선하세요. 5G 연결이 완벽하게 사적인 것은 아니지만, 책임 소재가 분명한 단일 사업자가 있고, 낯선 사람이 그 한가운데로 끼어들 쉬운 방법은 없습니다. 여행 중 민감한 일에는 호텔 네트워크보다 휴대폰의 핫스팟이 대개 더 나은 답입니다.
  3. 중요한 순간에는 VPN을 사용하세요. VPN, 즉 가상 사설망은 당신의 트래픽을 신뢰하는 서버로 가는 암호화된 터널을 통해 라우팅합니다. 그래서 로컬 네트워크는 그 하나의 연결만 볼 뿐, 그것이 어디로 가는지는 전혀 알지 못합니다. 이것은 위의 범주 대부분을 무력화합니다. 캡티브 포털은 여전히 당신을 귀찮게 할 수 있지만, 당신의 DNS 조회를 볼 수 없고, 당신이 방문하는 사이트에서 SSL을 스트리핑할 수 없으며, 당신이 어떤 앱을 쓰는지 프로파일링할 수 없습니다. 이 개념이 처음이라면, VPN이 실제로 무엇인지에 대한 입문 글 이 기본을 다루고, 여행 중 VPN에 대한 안내 가 구체적인 내용으로 들어갑니다. Snap은 그러한 태도를 중심으로 만들어진 하나의 선택지이지만, 브랜드보다 더 폭넓은 습관이 더 중요합니다.
  4. 공용 네트워크에서는 인증서 경고를 절대 눌러 넘기지 마세요. 인증서에 관한 전체 화면 브라우저 경고가 보이면 탭을 닫으세요. 집 네트워크에서는 거의 항상 잘못 구성된 사이트이지만, 카페 와이파이에서는 누군가 적극적으로 한가운데에 있을 수 있습니다. 틀렸을 때의 비용이 충분히 커서 “나중에 다시 시도”가 올바른 기본값입니다.
  5. 민감한 로그인과 거래는 신뢰하는 네트워크를 위해 아껴 두세요. 뱅킹, 비밀번호 재설정, 복구 코드나 2단계 흐름이 관련된 모든 것 — 이것들은 셀룰러나 집 와이파이로 돌아갈 때까지 기다리는 약간의 번거로움을 치를 가치가 있습니다. 공항에서 그것들을 처리해 얻는 편의는, 잘못될 때 벌어질 수 있는 일의 비대칭성에 비할 바가 못 됩니다.

VPN이 해결하는 것과 해결하지 못하는 것

이 점에 대해서는 잡음이 많으니, 구체적으로 짚어 둘 가치가 있습니다.

VPN이 해결하는 것:

  • 로컬 네트워크가 당신의 DNS 조회를 볼 수 있는 능력
  • SSL 스트리핑(당신의 트래픽이 적대적인 네트워크를 평문으로 지나가지 않습니다)
  • 캡티브 포털을 통과한 뒤의 캡티브 포털 프로파일링
  • 불량 액세스 포인트가 당신의 활동에 관해 쓸모 있는 것을 알아낼 수 있는 능력

VPN이 해결하지 못하는 것:

  • 어쨌든 눌러 넘기는 인증서 경고
  • 당신이 직접 로그인하는 피싱 페이지
  • 이미 당신 기기에 있는 악성 코드
  • 당신이 방문하는 웹사이트가 여전히 계정과 쿠키를 통해 당신을 식별할 수 있다는 사실

이것은 공용 와이파이 위험의 한 특정 부류에 대한 날카로운 도구입니다. 마법의 방패가 아니며, 그렇게 파는 제품들은 그것이 하는 일을 과장하는 것입니다. 우리의 흔한 VPN 미신 정리가 마케팅과 현실 사이의 간격을 더 깊이 다룹니다.

결론

HTTPS는 문제의 쉬운 버전을 해결했습니다. 더 어려운 버전, 즉 DNS와 캡티브 포털과 불량 액세스 포인트가 자리한 연결 아래의 층은, 무언가 잘못되기 전까지는 대체로 보이지 않습니다.

이것에 대해 합리적으로 대처하려고 네트워크 엔지니어가 될 필요는 없습니다. 자동 접속을 끄고, 캡티브 포털을 의심하고, 인증서 경고를 눌러 넘기지 말고, 걸린 것이 실제로 중요할 때는 셀룰러나 VPN을 사용하세요.

iOS에서 VPN 부분을 깔끔하게 처리하고 싶다면 — 가입 시 이메일 없이, 트래픽 로그 없이, 구독은 Apple ID를 통해 조용히 청구되는 방식 — Snap이 바로 그런 태도를 중심으로 만들어졌습니다. macOS도 준비 중입니다. 어느 쪽이든 가장 중요한 것은 어떤 앱을 설치하느냐가 아니라, 카페 네트워크를 더 이상 당신의 것인 양 대하지 않는 것입니다.

The Snap VPN Team
Editorial