VPN이란? 완벽 가이드

가상 사설망, 즉 VPN은 기기의 인터넷 트래픽을 제공업체가 운영하는 서버까지 암호화된 터널을 통해 전달하는 서비스입니다. 이 가이드는 VPN이 기술적인 차원에서 어떻게 작동하는지, 개인정보와 보안을 위해 무엇을 할 수 있고 무엇을 할 수 없는지, 그리고 선택 가능한 옵션을 어떻게 평가할지를 설명합니다.

VPN이 실제로 하는 일

VPN 앱은 사용자의 기기와 원격 서버 사이에 네트워크 터널을 만듭니다. 기기에서 나가는 모든 인터넷 트래픽은 캡슐화되고 암호화되어 이 터널을 통해 서버로 전송되며, 서버는 그 트래픽을 공용 인터넷상의 목적지로 전달합니다. 돌아오는 트래픽은 반대 경로를 따릅니다.

이 구조에서 두 가지 실질적인 변화가 생깁니다. 첫째, 기기와 VPN 서버 사이의 네트워크 — 로컬 와이파이, 인터넷 서비스 제공업체(ISP), 그리고 중간을 거치는 모든 네트워크를 포함해 — 는 기기와 VPN 서버 사이의 암호화된 트래픽만 볼 수 있습니다. 둘째, 공용 인터넷은 기기의 실제 주소가 아니라 VPN 서버의 IP 주소에서 요청이 시작된 것으로 봅니다.

따라서 VPN은 누가 트래픽을 볼 수 있는지, 그리고 원격 서비스에 어떤 주소가 노출되는지를 바꿉니다. 그러나 그 자체로 연결을 익명으로 만들지는 않으며, 모든 형태의 추적을 없애지도 않습니다.

VPN이 작동하는 방식

핵심 메커니즘은 캡슐화와 암호화의 결합입니다. VPN 클라이언트가 활성화되면 운영체제는 나가는 패킷을 VPN 앱이 만든 가상 네트워크 인터페이스를 통해 전달합니다. 각 패킷은 새로운 패킷 안에 감싸지고 — 캡슐화되고 — 연결이 설정될 때 협상된 세션 키로 암호화됩니다.

터널링

캡슐화란 원래 패킷이 — 목적지 주소와 페이로드를 포함해 — VPN 서버를 향해 주소가 지정된 외부 패킷의 페이로드가 된다는 뜻입니다. 외부 패킷은 공용 인터넷을 통해 서버로 이동하고, 서버는 페이로드를 복호화한 뒤 원래 패킷을 다시 전달합니다.

암호화

최신 VPN 프로토콜은 ChaCha20-Poly1305나 AES-GCM 같은 인증 암호화 알고리즘을 사용합니다. 세션 키는 연결 시점에 공개키 암호화를 기반으로 한 키 교환 프로토콜을 사용해 협상됩니다. 이를 통해 연결 중간에 있는 관찰자는 캡슐화된 트래픽을 읽거나 탐지되지 않게 변경할 수 없습니다.

라우팅과 DNS

암호화를 넘어, VPN 앱은 운영체제의 라우팅 테이블도 다시 구성해 모든 트래픽 — 또는 일부 설정에서는 특정 목적지만 — 이 터널을 통해 전송되도록 합니다. DNS 질의 역시 로컬 네트워크로의 유출을 막기 위해 대개 VPN을 통해 전달됩니다.

일반적인 활용 사례

VPN은 서로 구분되는 여러 목적에 쓰이며, 어떤 제공업체 설정이 적절한지는 그중 무엇이 주된 동기인지에 따라 달라집니다.

• 로컬 네트워크로부터의 개인정보 보호. 공용 와이파이 연결 — 카페, 호텔, 공항 — 은 암호화되지 않은 트래픽을 같은 네트워크의 다른 사용자에게 노출시킬 수 있습니다. VPN은 트래픽이 기기를 떠나기 전에 암호화되기 때문에 이런 노출을 없앱니다.
• 인터넷 서비스 제공업체로부터의 개인정보 보호. 인터넷 서비스 제공업체(ISP)는 암호화되지 않은 DNS 조회의 목적지와 TLS 연결의 메타데이터를 볼 수 있습니다. VPN은 이 가시성을 ISP에서 VPN 제공업체로 옮깁니다.
• 지리적 위치 선택. 일부 서비스는 사용자의 IP 주소를 기준으로 접속을 제한합니다. VPN을 사용하면 사용자는 VPN 서버가 위치한 국가에서 접속하는 것처럼 보일 수 있습니다.
• 조직을 위한 네트워크 접근. 기업용 VPN은 원격 근무자가 공용 인터넷에 노출되지 않은 내부 사설 서비스에 접근하도록 하는 데 쓰입니다.

최신 VPN의 프로토콜

프로토콜은 터널이 어떻게 설정되는지, 어떤 암호화 알고리즘이 사용되는지, 그리고 패킷 손실이나 네트워크 변화 속에서 연결이 어떻게 동작하는지를 결정합니다. 소비자용 VPN 서비스에서 가장 흔히 접하는 프로토콜은 WireGuard, OpenVPN, IKEv2/IPsec입니다.

WireGuard는 셋 중 가장 최근에 나온 것입니다. 소수의 최신 암호화 기본 요소를 사용하고, 약 4천 줄의 코드에 담기며, Linux 커널은 물론 대부분의 소비자용 운영체제에 통합되어 있습니다. 그 설계는 단순함, 성능, 그리고 작은 감사 범위를 우선합니다.

OpenVPN은 더 오래되었고 훨씬 더 유연합니다. 다양한 암호 제품군, 전송 방식, 설정 옵션을 지원합니다. 이 유연함은 복잡성을 대가로 합니다. OpenVPN은 특히 기업 환경에서 여전히 널리 사용됩니다.

IKEv2/IPsec은 iOS, macOS, Windows에 기본 내장되어 있습니다. 모바일 기기에서 성능이 좋고, 네트워크 변화 — 예를 들어 와이파이와 셀룰러 사이의 전환 — 를 매끄럽게 처리합니다.

가장 흔한 두 소비자용 프로토콜에 대한 자세한 비교는 WireGuard와 OpenVPN 비교에서 확인할 수 있습니다.

VPN과 프록시, Tor 비교

VPN은 때때로 프록시나 Tor 네트워크와 혼동됩니다. 메커니즘과 위협 모델이 다릅니다.

프록시 서버는 특정 애플리케이션 트래픽 — 가장 흔하게는 HTTP — 을 사용자를 대신해 목적지로 전달합니다. 프록시는 대개 트래픽 자체를 암호화하지 않으며, 네트워크 차원이 아니라 애플리케이션 차원에서 동작합니다.

Tor는 자원봉사로 운영되는 집합에서 선택된 세 개의 릴레이를 통해 트래픽을 전달하며 각 홉을 따로 암호화하는 익명 네트워크 입니다. Tor는 네트워크에 대한 익명성을 제공합니다 — 어떤 단일 릴레이도 출발지와 목적지를 동시에 볼 수 없기 때문입니다 — 하지만 VPN보다 느리고 높은 처리량이 필요한 작업에는 적합하지 않습니다.

VPN은 로컬 네트워크에 대해 암호화를 제공하고 관찰 가능한 IP 주소를 바꾸지만, 신뢰를 VPN 제공업체로 옮깁니다. 제공업체는 사용자의 실제 주소와 사용자가 도달하는 목적지를 봅니다.

알아두어야 할 한계

VPN은 더 넓은 개인정보 보호 태세의 한 구성 요소일 뿐이며 완전한 해결책으로 여겨서는 안 됩니다. 몇 가지 중요한 한계가 있습니다.

VPN 제공업체는 새로운 신뢰 지점입니다. 예전에는 ISP가 연결에 대한 가시성을 가졌다면, 이제는 VPN 제공업체가 동등한 가시성을 갖습니다. 따라서 제공업체의 노로그 정책과 인프라 설계의 신뢰성이 중요해집니다. 노로그 VPN 정책 에 대한 가이드에서 그런 주장이 실제로 무엇을 뜻하는지 다룹니다.

엔드포인트 보안은 그대로입니다. VPN은 기기에서 실행 중인 멀웨어, 피싱 공격, 손상된 브라우저 확장 프로그램, 또는 이미 사용자의 데이터에 접근 권한을 받은 앱에 의한 추적을 막아주지 않습니다.

웹사이트 차원의 추적은 계속됩니다. VPN은 원격 서비스에 보이는 IP 주소를 바꾸지만, 쿠키, 브라우저 지문, 또는 사용자가 로그인되어 있는 계정에는 영향을 주지 않습니다.

제공업체 선택하기

VPN 서비스를 평가할 때 살펴볼 만한 몇 가지 요소가 있습니다.

• 프로토콜 지원. 최신 제공업체라면 WireGuard나 IKEv2/IPsec을 지원해야 합니다. OpenVPN은 호환성 측면에서 여전히 합리적인 선택입니다.
• 개인정보 처리방침과 감사 이력.짧고 구체적인 개인정보 처리방침에 독립적인 감사 결과가 더해진 것이, 별다른 설명 없이 “군사급 암호화”를 내세우는 마케팅 문구보다 더 신뢰할 만합니다.
• 계정 요구 사항. 사용자 계정 없이 운영되는 서비스는 더 적은 데이터를 보관하며, 침해가 발생했을 때 노출될 수 있는 정보의 양을 줄입니다.
• 킬 스위치 구현. 제대로 작동하는 킬 스위치는 터널이 끊겼을 때 트래픽 노출을 막습니다. VPN 킬 스위치 에 대한 개요에서 킬 스위치가 올바르게 작동하는지 확인하는 방법을 설명합니다.
• 관할권. 제공업체가 설립된 국가는 그 업체가 적용받는 법적 체계에 영향을 미칩니다.

Snap VPN은 이러한 원칙 가운데 여럿을 중심으로 만들어졌습니다. 단일 프로토콜, 사용자 계정 없음, 기본 활성화된 킬 스위치, 그리고 잘 쓰이지 않는 수십 개의 위치 대신 엄선된 서버 네트워크를 세 개 지역에 둔 것입니다. 자세한 설정 단계는 아이폰 설정 가이드에 정리되어 있습니다.