다운로드
블로그로 돌아가기
프라이버시··15 분 소요

VPN의 "노로그"가 정말 의미하는 것

언어: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

어떤 VPN 홈페이지를 열어도 상단 근처에서 똑같은 두 글자를 보게 됩니다. “노로그”. 너무 자주 등장한 나머지 더 이상 특별한 의미를 갖지 못합니다. 모든 제공업체가 이렇게 말합니다. 프리미엄 업체도, 저가 업체도, 공항에 광고판을 내건 업체도, 한 번도 들어본 적 없는 업체도. 모두가 이렇게 말합니다. 그런데도 이 말을 하는 사람들은 실제 디스크와 메모리 위에서 돌아가는 실제 서버를 운영하며, 당신이 그 서버를 통해 보내는 모든 패킷을 처리합니다.

그렇다면 노로그 VPN 주장은 실제로 무엇을 뜻하며, 그것이 사실인지 어떻게 알 수 있을까요? 이것이 바로 마케팅 문구가 결코 솔직하게 답하지 않는 질문입니다. 이 글은 답합니다.

짧게 말하면, “노로그”는 유용한 출발점이지 결승선이 아닙니다. 이 말은 폭넓은 관행을 포괄하는데, 그중 일부는 정말로 당신을 보호하지만 일부는 본질적으로 지극히 평범한 데이터 보관을 마케팅 언어로 포장한 것에 불과합니다. 이를 평가하려면 우선 VPN 제공업체가 애초에 무엇을 볼 수 있는지, 어떤 종류의 로그가 존재하는지, 그리고 로그하지 않겠다는 정책과 로그할 수 없는 구조의 차이가 무엇인지 알아야 합니다.

VPN 제공업체가 볼 수 있는 것

로깅을 이야기하기 전에 가시성을 이야기해야 합니다. 로깅은 무엇이 기록되느냐의 문제입니다. 가시성은 애초에 무엇이 서버 앞에 놓여 있느냐의 문제입니다. 이 둘은 서로 다른 문제이며, 이를 뒤섞는 것이 VPN 마케팅이 사람들을 오도하는 주된 방식 중 하나입니다.

VPN에 연결하면 당신의 기기는 제공업체의 서버 중 하나로 암호화된 터널을 만듭니다. 거기서 서버는 당신의 트래픽을 복호화해 공개 인터넷으로 전달합니다. 이 복호화 단계가 핵심입니다 — 트래픽이 당신이 방문하는 사이트에 도달할 때 VPN이 당신의 IP를 자신의 IP로 대체하는 방식이 바로 이것입니다. VPN이 무엇이고 어떻게 작동하는가 에 대한 소개 글에서 그 기반 메커니즘을 더 자세히 다룹니다.

이 구조 자체만으로도 VPN 서버는 기술적으로 다음을 관찰할 수 있습니다.

  • 연결 시점의 실제 IP 주소. 당신의 기기는 암호화된 응답 패킷을 어디로 보낼지 서버에 알려야 합니다. 그 목적지가 당신의 실제 IP입니다.
  • 어느 VPN 서버에 언제 연결했는지. 당신이 고른 서버, 연결한 시각, 연결을 끊은 시각. 이것은 세션에 대한 메타데이터입니다.
  • 당신이 한 DNS 쿼리, VPN이 자체 DNS 리졸버를 운영하는 경우. 브라우저에 도메인을 입력하면 무언가가 그 IP 주소를 조회해야 합니다. VPN이 이를 대신 처리한다면 그 조회 내역을 봅니다.
  • 세션당 사용한 대역폭. 각 방향으로 몇 바이트가 오갔는지.
  • 트래픽의 타이밍 패턴. 내용이 목적지 사이트로 암호화되어 있더라도 패킷의 크기와 타이밍은 작정한 관찰자에게 정보를 드러낼 수 있습니다.

당신의 HTTPS 연결의 암호화된 내용은 이 목록에 없습니다. 일단 브라우저가 예컨대 당신의 은행과 TLS로 통신하기 시작하면, VPN은 은행의 IP로 향하는 암호화된 바이트를 볼 뿐 실제 내용은 보지 못합니다. 보호의 그 부분은 실제적이고 중요합니다.

하지만 위의 메타데이터는 실재합니다. 서버가 제 역할을 하려면 필요하기 때문에, 당신의 세션이 살아 있는 동안 메모리에 존재합니다. “로그”의 문제는 그 데이터에 그 후 무슨 일이 일어나느냐입니다 — 디스크에 기록되는지, 보관되는지, 색인되는지, 유지되는지, 그리고 나중에 법적 압박 아래 제출될 수 있는지.

로그의 종류

모든 로그가 똑같지는 않습니다. 유용한 노로그 VPN 평가는 세 가지 범주를 구분하는 데서 시작합니다. 제공업체들이 일부러 이를 흐려놓기 때문입니다.

연결 로그

이것은 최소한의 세션 메타데이터입니다. 어떤 사용자가 어느 시각에 어떤 서버에 연결했다는 기록으로, 세션 길이와 사용한 대역폭이 포함되기도 합니다. 많은 제공업체가 진단, 남용 방지, 용량 계획을 위해 이 가운데 어떤 형태를 단기간 보관합니다. 소수는 아무것도 보관하지 않습니다.

연결 로그 그 자체만으로는 치명적이지 않습니다. 당신이 무엇을 했는지를 드러내지는 않습니다. 하지만 당신이 그 서비스를 사용했다는 사실은 드러내며, 이것이 어떤 맥락에서는 문제가 될 수 있고, 신원을 식별하는 계정 데이터와 결합되면 훨씬 더 많은 것을 드러냅니다.

트래픽 로그

이것은 존재해서는 안 되는 범주입니다. 트래픽 로그는 당신이 어떤 사이트나 IP를 방문했는지, DNS 쿼리가 무엇이었는지, 극단적인 경우 요청한 URL까지 기록합니다. 트래픽 로그를 보관하는 VPN은 프라이버시 관점에서 VPN이 아예 없는 것보다 더 나쁩니다 — 당신의 브라우징 가시성을 인터넷 서비스 제공업체(ISP)와 방문한 사이트들로 분산시키는 대신 한 제공업체의 데이터베이스에 집중시킨 셈이기 때문입니다.

평판 있는 어떤 VPN도 트래픽 로그를 보관해서는 안 됩니다. 제공업체의 정책이 이 점에서 모호하다면, 그 모호함을 “아니오”로 받아들이세요.

식별 메타데이터

이것은 대부분의 사람이 잊어버리는 범주이며, 진짜 프라이버시 이야기가 담긴 곳인 경우가 많습니다. 여기에는 다음이 포함됩니다.

  • 가입할 때 사용한 이메일 주소
  • 결제 수단과 청구 세부 정보
  • 가입한 IP 주소
  • 지원 문의와 그것이 전송된 IP
  • 모든 계정 복구 정보
  • 계정 보안에 사용되는 로그인 시각과 기기 핑거프린트

식별 메타데이터는 그 VPN에서의 당신의 신원입니다. 제공업체가 정말로 트래픽 로그도, 연결 로그도 전혀 보관하지 않더라도, 이메일과 신용카드가 있다면 “이 특정 사람이 우리 서비스에 계정을 갖고 있었는가?” 라는 질문에 답할 수 있습니다 — 그리고 그것이 누군가가 답을 원하는 유일한 질문인 경우가 많습니다.

그래서 노로그 VPN 주장은 그 자체만으로는 불완전합니다. 로그를 전혀 보관하지 않지만 이메일과 카드로 가입하도록 요구하는 제공업체는 프라이버시 이야기를 구조가 아니라 정책 위에 세운 것입니다. 데이터는 여전히 존재합니다. 그저 다른 테이블에 있을 뿐입니다. 같은 논점이 이메일 없는 익명 VPN 서비스 에 관한 글에서도 등장합니다.

정책 대 구조

제공업체가 로그하지 않는다고 말할 때 의미할 수 있는, 근본적으로 다른 두 가지가 있습니다.

“우리는 로그하지 않습니다”는 정책 주장입니다. 시스템은 로깅을 할 수 있습니다. 일시적으로, 메모리에서, 혹은 어딘가의 지원 도구에서 로그를 남길 수도 있습니다. 약속은 회사가 그 데이터를 보관하지 않기로, 혹은 폐기하기로 선택한다는 것입니다. 이것은 실제적인 약속이며 가치가 있습니다 — 그러나 회사를 신뢰하는 데 의존합니다. 정책은 바뀔 수 있습니다. 직원은 실수할 수 있습니다. 법원 명령은 광고되지 않는 변경을 강제할 수 있습니다.

“우리는 로그할 수 없습니다”는 구조 주장입니다. 시스템이 데이터가 남지 않도록 설계되었습니다. 서버는 메모리에서만 돌아가며 재부팅 시 모든 것을 잊습니다. 누군가 원한다 해도 관련 정보를 보관할 수 있는 데이터베이스 테이블이 존재하지 않습니다. 계정 생성 자체가 애초에 식별 정보를 수집할 필요가 없습니다. 이것은 훨씬 더 강력한 주장입니다. 지속적인 선의에 의존하지 않기 때문입니다 — 데이터가 갈 곳이 없기 때문에 사라진 것입니다.

구조는 적어도 원칙적으로는 검증 가능합니다. 정책은 신뢰를 요구합니다.

대부분의 제공업체는 그 둘을 섞어서 제공합니다. 마케팅은 정책 약속을 구조처럼 들리는 언어로 묘사하는 경향이 있습니다 (“노로그 서버”, “RAM 전용 인프라”). 꼼꼼히 읽으세요. 던져야 할 질문은 이것입니다. 만약 내일 누군가 이 제공업체에 특정 계정에 대해 가진 모든 것을 요구하는 적법한 법적 요청을 제출한다면, 실제로 무엇을 내놓을 수 있는가? 솔직한 답이 “이메일, 결제 기록, 가입 IP, 지원 이력, 그리고 어쩌면 연결 시각”이라면, 그것이 홈페이지에 무엇이 쓰여 있든 당신의 프라이버시 하한선입니다.

주장을 평가하는 방법

VPN이 어떤 데이터를 수집하는지, 그리고 그 주장이 믿을 만한지 가늠하기 위한 실용적인 체크리스트입니다.

독립적인 제3자 감사

제공업체의 시스템, 방법론, 인프라를 검토한 평판 있는 보안 업체의 공개된 보고서를 찾아보세요. 확인할 두 가지가 있습니다.

  • 최신성. 4년 전 감사는 더 이상 같은 형태로 존재하지 않을 수도 있는 회사를 묘사합니다. 2년 이내가 합리적인 기준입니다.
  • 범위. 감사는 실제로 무엇을 검토했는지에 따라 엄청나게 다릅니다. 노로그 정책에 대한 감사가 일반적인 보안 감사보다 더 의미 있습니다. VPN 블로그에 실린 요약이 아니라 보고서 자체의 범위 항목을 읽으세요.

투명성 보고서와 워런트 캐너리

일부 제공업체는 매년 사용자 데이터에 대한 법적 요청을 몇 건이나 받는지를 관할권과 유형별로 나누어 공개하고, 그에 응해 무엇을 넘길 수 있었는지도 공개합니다. “N건의 요청을 받았고 내놓을 것이 없었기에 그중 어느 것에도 데이터를 제공하지 않았다”고 공개하는 제공업체는 아무것도 공개하지 않는 곳보다 더 강한 진술을 하는 것입니다.

워런트 캐너리는 제공업체가 특정 유형의 법적 요구를 받지 않았다는 것을 주기적으로 밝히는 진술입니다. 그 진술이 사라지거나 갱신이 멈춘다면, 그 부재 자체가 하나의 신호입니다. 캐너리에는 알려진 법적 약점이 있지만, 그것이 존재한다는 것만으로도 적어도 제공업체가 이 차원을 고민했다는 것을 보여줍니다.

법적 관할권

VPN이 설립된 국가는 어느 나라의 법이 적용되는지, 그리고 어떤 국제 협력 협정 아래에서 운영되는지를 결정합니다. 일부 관할권은 통신 제공업체에 대해 의무적 데이터 보관법을 둡니다. 다른 곳은 국경을 넘는 협력을 의무화하는 공식 정보 공유 동맹에 속해 있습니다.

이것은 좋다 나쁘다의 이분법적 축이 아닙니다 — 위협 모델마다 중요하게 여기는 것이 다릅니다. 하지만 어느 홈페이지가 가장 깔끔해 보이는지로 고르기보다는, 당신의 VPN이 어디에 설립되어 있고 그것이 무엇을 의미하는지 아는 편이 좋습니다.

계정 모델

이것은 대부분의 사람이 건너뛰는 부분입니다. 어떻게 가입하는지를 살펴보세요. 계정을 만드는 데 작동하는 이메일 주소가 필요하다면, 그 VPN은 당신의 작동하는 이메일 주소를 갖고 있는 것입니다. 결제가 신용카드라면, VPN은 당신의 이름과 연결된 청구 기록을 갖고 있습니다. 제공업체가 다른 무언가를 “로그”하든 하지 않든 이 기록들은 프라이버시 그림의 일부입니다.

익명 결제 옵션(기프트 카드, 일부 암호화폐)은 이를 어느 정도 바꿉니다. 이미 가지고 있는 플랫폼 신원에 의존하는 구독 모델, 예컨대 App Store를 통한 Apple ID는 이를 다른 방식으로 바꿉니다. VPN 제공업체는 당신의 신원을 받지 않지만, 플랫폼은 받습니다.

오픈소스 클라이언트 코드

당신의 기기에 있는 앱이 오픈소스라면, 보안 연구자들은 그 앱이 실제로 무엇을 어디로 보내는지 검증할 수 있습니다. 이것이 서버 쪽을 다루지는 않지만, 한 가지 불확실성의 범주는 제거합니다. 클라이언트가 당신이 동의하지 않은 텔레메트리로 조용히 본사에 신호를 보내는지 알 수 있게 됩니다.

폐쇄형 클라이언트가 자동으로 의심스러운 것은 아니지만, 검증 가능성이 떨어집니다. 감사 상황과 결합하면, 오픈소스 클라이언트는 당신이 독립적으로 확인할 수 있는 것의 하한선을 끌어올립니다.

과거 법적 사례

어떤 VPN이 로그가 요구된 법적 절차에 연루된 적이 있다면, 공개 기록이 무슨 일이 있었는지 보여줄 것입니다. 데이터를 내놓았는가? 내놓을 데이터가 있었는가? 그 대응이 정책 주장과 일치했는가?

이런 사례는 흔하지 않지만, 존재할 때는 대단히 유익합니다. 제공업체의 이름에 “소환장”이나 “법원 명령”을 더해 검색해 보고, 제공업체 자신의 표현이 아니라 뉴스 보도를 읽으세요.

간단한 비교 틀

위의 질문들을 보는 압축된 방법은 다음과 같습니다.

질문정책 답변구조 답변
트래픽을 로그하나요?“하지 않기로 선택합니다”“시스템에 그것을 저장할 곳이 없습니다”
제 이메일을 갖고 있나요?“네, 하지만 공유하지 않습니다”“애초에 수집한 적이 없습니다”
가입 시 제 IP를 갖고 있나요?“네, 하지만 N일 후 삭제합니다”“물어본 적이 없습니다”
제가 사용자였는지 알 수 있나요?“알 수 있지만, 알리지 않습니다”“아무 기록도 없습니다”
법원이 강제하면 어떻게 하나요?“저항하다가, 강제되면 따릅니다”“내놓을 것이 없습니다”

어느 열도 모든 제공업체에 한결같이 옳지는 않으며, 대부분은 그 중간 어딘가에서 운영됩니다. 하지만 특정 VPN을 이 표에 대입해 보는 것이 홈페이지의 “노로그”에 고개를 끄덕이는 것보다 더 유용합니다.

Snap VPN의 접근 방식

Snap VPN은 정책 열보다 구조 열에 더 가깝습니다. 구체적으로 말하면 이렇습니다.

  • 이메일이나 계정 가입 없음. 구독은 App Store를 통해 당신의 Apple ID로 처리됩니다. 우리는 이메일 주소, 사용자 이름, 전화번호, 어떤 계정 자격 증명도 결코 수집하지 않습니다. 통상적인 의미의 계정 데이터베이스가 없습니다.
  • 트래픽 로그 없음. 우리는 당신이 방문하는 사이트, 당신이 통신하는 IP, 당신이 하는 DNS 쿼리를 기록하지 않습니다.
  • 지속적인 연결 로그 없음. 우리는 어떤 Apple ID가 어느 시각에 어느 서버에 연결했는지에 대한 보관된 기록을 남기지 않습니다. 활성 세션을 라우팅하는 데 필요한 운영 상태는 저장된 연결 이력과 같지 않습니다.
  • 실제 사람과 연결된 사용자 식별자 없음. 내부적으로 당신의 구독은 App Store가 제공하는 불투명한 값으로 식별됩니다. 우리는 그 값에 연결된 이름, 이메일, 전화번호를 갖고 있지 않으며, 그것으로부터 도출할 수도 없습니다.

실제로 존재하는 것에 대해 솔직히 말하자면, VPN을 운영하려면 일정한 운영 상태가 필요합니다. 서버는 당신에게 패킷을 되돌려 보내려면 활성 세션이 있다는 것을 알아야 합니다. 네트워크가 작동하기 위해 필요한 단기 카운터와 메타데이터가 존재하는데, 이는 어떤 라우터든 제 역할을 하려면 활성 연결을 추적해야 하는 것과 같습니다. 위 분류의 연결 로그 범주가 실제로는 이렇게 보입니다. 단기적이고, 살아 있는 세션에 한정되며, 당신의 활동 기록으로 보관되지 않고, 당신을 식별하는 어떤 것과도 연결되지 않습니다.

이러한 선택의 바탕에 있는 원리는 평범합니다. 수집한 데이터가 적을수록 잃거나, 유출되거나, 강제로 내놓아야 할 데이터가 적습니다. 어떤 정보가 애초에 수집되지 않았다면, 그것은 유출에서 빠져나갈 수 없고, 소환될 수 없으며, 나중에 사업 필요가 바뀌거나 누군가 회사를 인수할 때 다른 용도로 쓰일 수도 없습니다. 구조가 정책을 이기는 것은 정책이 진심이 아니어서가 아니라, 구조가 그 선택지 자체를 제거하기 때문입니다.

계정 모델 자체를 더 깊이 파고들고 싶다면, 이메일 주소 없는 익명 VPN 가입 에 관한 설명 글을 보세요.

어떤 VPN도 할 수 없는 것

한계에 대해 명확히 말해 두는 것이 좋겠습니다. VPN에 부여되는 신뢰의 일부는 잘못 놓인 것이어서, 기술이 제공할 수 있는 것 이상을 기대한 사람들을 결국 실망시키기 때문입니다.

  • VPN은 당신이 로그인하는 사이트로부터 당신을 숨길 수 없습니다. VPN을 통해 Gmail을 열어도 Google은 여전히 당신이 당신임을 압니다. 당신이 로그인했으니까요. VPN은 경로를 바꿀 뿐 신원을 바꾸지 않습니다.
  • VPN은 브라우저 핑거프린팅을 막을 수 없습니다. 사이트는 당신의 브라우저 버전, 화면 크기, 글꼴, 시간대, 그 밖의 수많은 사소한 세부 정보로 식별자를 만듭니다. VPN은 이 계층을 전혀 다루지 않습니다.
  • VPN은 악성코드를 막지 못합니다. 트래픽을 암호화할 뿐 위협이 있는지 검사하지는 않습니다. 백신은 별개의 문제입니다.
  • VPN은 이미 인증을 마친 서비스에서 마법처럼 익명성을 부여할 수 없습니다. 익명성은 설계되어야 합니다. 출발점이 인증된 계정이라면, VPN은 그 계정의 트래픽을 다르게 라우팅할 뿐입니다 — 그것이 전체 효과입니다.

VPN은 프라이버시 스택의 한 계층이지 스택 전체가 아닙니다. 관련해서 읽을 거리는 다음과 같습니다. 흔한 VPN 오해 바로잡기, VPN이 실제로 무엇인가, 그리고 나머지를 겹겹이 쌓기 위한 더 폭넓은 iPhone 프라이버시 체크리스트.

결론

“노로그”는 훨씬 더 큰 대화를 줄인 표현입니다. VPN 홈페이지에서 이 말을 보면, 답이 아니라 헤드라인으로 받아들이세요. 정말로 중요한 질문들은 이렇습니다.

  • 가입 시의 식별 메타데이터를 포함해, 시스템이 애초에 어떤 데이터를 수집하는가?
  • 수집하는 데이터 중에서 무엇을, 어떤 형태로, 얼마나 오래 보관하는가?
  • 노로그 주장이 정책(약속한다)인가 구조(할 수 없다)인가?
  • 최근에 독립적인 누군가가 그 주장을 검증했는가, 그리고 실제로 무엇을 검토했는가?
  • 법적 압박이 가해졌을 때 제공업체의 전력은 어떠한가?

이 질문들에 평이한 언어로, 약속한 것과 구조상 불가능한 것을 분명히 구분해 답하는 제공업체는 당신이 헤아려 판단할 수 있는 제공업체입니다. “노로그”를 모호하게 가리키며 화제를 돌리는 곳은 그렇지 않습니다.

이 구분이 중요한 이유는 단순합니다. 전적으로 한 회사의 지속적인 선행에 의존하는 프라이버시는 당신이 온전히 통제하지 못하는 프라이버시입니다. 데이터가 애초에 수집되지 않았기에 구조적으로 제약된 프라이버시는, 소유권, 관할권, 경영진, 법적 환경의 변화를 견디고 살아남는 형태입니다.

Snap VPN 은 바로 그 두 번째 발상을 중심으로 설계되었습니다. 이메일 가입 없음, 계정 자격 증명 없음, 실제 사람과 연결된 사용자 식별자 없음. 구독은 App Store를 통해 당신의 Apple ID에 얹히고, 트래픽은 로그되지 않으며, 네트워크를 운영하는 데 필요한 운영 상태는 당신이 누구인지와 연결되지 않습니다. 이것이 VPN을 만드는 유일한 방법은 아니며, 모든 프라이버시 우려를 해결하지도 않습니다. 하지만 어떤 정책 약속만으로도 할 수 없는 한 부류의 위험을 제거합니다. 그런 종류의 설계를 당신의 트래픽 뒤에 두고 싶다면, 여기 그것이 있습니다. 그저 우리가 내린 선택과 그 이유에 대한 솔직한 설명일 뿐입니다.

The Snap VPN Team
Editorial