기술·2026년 6월 1일·11 분 소요

WireGuard vs OpenVPN vs IKEv2: 솔직한 비교

언어: English العربية Deutsch Español فارسی Français हिन्दी Bahasa Indonesia Italiano 日本語 Polski Português Русский ไทย Türkçe Українська Tiếng Việt 简体中文繁體中文

거의 어떤 VPN 앱을 열어 보든, 앱이 실제로 어떻게 동작할지를 결정하는 화면은 설정 속에 묻혀 있습니다. 바로 프로토콜 선택기입니다. WireGuard vs OpenVPN vs IKEv2는 마케팅상의 선택이 아닙니다.

이 선택은 터널이 얼마나 빠른지, 배터리를 얼마나 소모하는지, 휴대폰이 Wi-Fi에서 셀룰러로 전환할 때 얼마나 빨리 복구되는지, 그리고 여러분의 트래픽과 네트워크 사이에 얼마나 많은 코드가 자리하는지를 바꿉니다.

이 글은 2026년 iPhone과 Mac의 VPN 앱에서 보게 될 세 가지 프로토콜을 차분한 현업 엔지니어의 시각으로 살펴봅니다. 공포 조장도, 제휴 페이지에서 가져온 순위표도 없습니다. 각각이 실제로 무엇인지, 무엇을 잘하는지, 무엇을 잘못하는지, 그리고 현대 모바일 사용에서 어느 것이 올바른 기본값이 되는 경향이 있는지만 다룹니다.

프로토콜 선택이 애초에 왜 중요한가

VPN 프로토콜은 두 컴퓨터가 암호화된 터널을 설정하고 그 안으로 패킷을 주고받기 위해 사용하는 규칙집입니다. 프로토콜은 키가 어떻게 교환되는지, 어떤 암호가 데이터를 보호하는지, 연결이 네트워크 변화를 어떻게 견뎌내는지, 그리고 패킷마다 얼마나 많은 연산이 드는지를 결정합니다.

그 결과를 알아차리기 전까지는 추상적으로 들립니다. 더 무거운 핸드셰이크는 첫 연결이 더 느려진다는 뜻입니다. 더 큰 코드베이스는 보안 버그가 생길 표면이 더 넓다는 뜻입니다. 네트워크를 가로질러 재개하지 못하는 프로토콜은 여러분이 커피숍 Wi-Fi 밖으로 나갈 때마다 터널을 끊어 버립니다. 커널에서 실행되는 프로토콜은 사용자 공간에서 실행되는 것보다 배터리를 덜 씁니다.

그래서 사람들이 어떤 VPN이 “가장 빠른지” 또는 “가장 안전한지” 물을 때, 그들은 보통 자신도 모르게 프로토콜 질문을 하고 있는 것입니다. 여기 솔직한 답이 있습니다.

WireGuard

WireGuard는 셋 중 가장 최신이며, 현대 VPN이 어떻게 만들어지는지를 가장 많이 바꿔 놓은 프로토콜입니다. 의도적으로 작게 설계되었습니다.

참조 구현은 약 4,000줄의 코드입니다. 이에 비해 OpenVPN은 OpenSSL 의존성까지 포함하면 수만 줄에 이릅니다. 코드 줄 수가 보안을 보장하지는 않지만, 감사 표면을 가늠하는 척도는 됩니다. 작은 코드베이스는 유능한 팀이 합리적인 시간 안에 처음부터 끝까지 검토할 수 있습니다. 방대한 코드베이스는 사실상 그럴 수 없습니다.

WireGuard는 또한 프리미티브를 협상하는 대신 직접 고릅니다. 암호는 하나 (ChaCha20-Poly1305), 키 교환도 하나(Curve25519), 해시도 하나(BLAKE2s)입니다. 암호 스위트 메뉴도 없고, 걱정할 다운그레이드 공격도 없습니다. 프로토콜이 언젠가 프리미티브를 바꿔야 한다면 버전 번호가 바뀌고 오래된 클라이언트는 연결을 멈춥니다. 이는 이례적이며 의도된 것입니다.

핸드셰이크는 서버의 관점에서 상태가 없습니다. 서버는 터널을 살아 있게 하기 위해 클라이언트의 현재 네트워크 주소를 기억할 필요가 없습니다. 이것이 바로 네트워크 사이를 오갈 때 WireGuard가 빠르게 느껴지는 이유입니다. 휴대폰이 Wi-Fi에서 LTE로 전환하고, 새 IP에서 패킷 하나를 보내면, 터널은 계속 동작합니다. 재협상 단계가 없습니다.

짚어 둘 만한 WireGuard에 대한 솔직한 비판이 하나 있습니다. 기본적으로 피어는 세션 간에 동일한 내부 IP를 유지하는데, 서버가 세션마다 부여하는 임대가 아니라 공개 키로 클라이언트를 식별하기 때문입니다. 기업 네트워크에서는 괜찮습니다. 하지만 프라이버시 제품에서는 제공자가 이를 의도적으로 다뤄야 합니다. 내부 IP를 교체하고, 피어 수명을 제한하며, 로그가 그 고정된 주소를 장기 식별자로 만들지 않도록 해야 합니다. 프로토콜은 구성 요소를 제공할 뿐, 제공자가 그것을 올바르게 사용해야 합니다.

WireGuard는 UDP만 사용합니다. 이는 의도적인 설계 선택이자 동시에 가장 큰 실용적 단점입니다. UDP를 차단하거나 TCP 443 포트의 트래픽만 허용하는 네트워크(일부 호텔 Wi-Fi, 일부 기업 게스트 네트워크, 일부 검열 환경)에서는 WireGuard가 그냥 연결되지 않습니다. 내장된 TCP 폴백이 없습니다.

알아 둘 만한 다른 점은 WireGuard가 메인라인 Linux 커널에 들어 있다는 것입니다. 이는 Linux 서버에서 데이터 경로가 커널 속도로 동작하며 사용자 공간 복사가 없다는 뜻입니다. iOS와 macOS에서는 시스템이 관리하는 Network Extension 프로세스에서 구현이 실행되는데, 이는 서드파티 커널 확장을 허용하지 않는 플랫폼에서 가장 가까운 대응책입니다. 여전히 샌드박스화된 사용자 공간 프로세스이지만, Apple의 네트워킹 프레임워크가 패킷을 효율적으로 넘겨주므로 실제로 부하는 작습니다.

OpenVPN

OpenVPN은 셋 중 가장 오래되었습니다. 2001년부터 운영 환경에 배포되고 패치되어 왔는데, 이는 여러분이 상상할 수 있는 거의 모든 장애 양상이 이미 누군가의 네트워크에서 겪어졌고, 보고되었으며, 고쳐졌다는 뜻입니다. 이는 실질적인 가치입니다.

OpenVPN은 UDP와 TCP를 모두 지원합니다. UDP는 정상적인 조건에서 더 나은 성능을 냅니다. TCP는 보통 443 포트에서 터널이 평범한 HTTPS 트래픽인 척할 수 있게 합니다. 제한적인 네트워크에서는 이것이 연결을 통과시키는 유일한 방법일 때가 있습니다. 웹 브라우징을 제외한 모든 것을 차단하는 컨퍼런스 Wi-Fi에서 접속해 본 적이 있다면, 아마 TCP/443 폴백의 고마움을 느꼈을 것입니다.

암호화는 OpenSSL이 제공합니다. 이는 유연하고, 잘 이해되어 있으며, 운영자에게 폭넓은 암호 메뉴를 제공합니다. 동시에 WireGuard의 잠긴 프리미티브보다 의미 있게 더 넓은 공격 표면이기도 합니다. 2014년의 Heartbleed가 교과서적 예입니다. 널리 배포된 라이브러리의 결함이, 취약한 OpenSSL 빌드를 사용한 OpenVPN 환경을 포함해, 그것에 의존하는 모든 제품에 조용히 영향을 미쳤습니다. 패치는 늘 나옵니다. 요점은 그 표면이 WireGuard가 노출하는 것보다 넓다는 것입니다.

성능 이야기는 솔직합니다. OpenVPN의 핸드셰이크는 더 무겁고(완전한 TLS 방식의 협상을 수행합니다), 패킷당 부하도 더 높습니다. 빠른 연결에서는 그 차이를 측정할 수 있습니다. 느린 연결에서는 알아차리지 못할 수도 있습니다. 더 많은 작업이 사용자 공간에서 일어나기 때문에 모바일에서의 배터리 사용량도 더 높습니다.

오늘날 OpenVPN의 자리는 “가장 빠른 것”도 “가장 가벼운 것”도 아닙니다. “가장 호환되는 것”입니다. VPN 트래픽에 적극적으로 간섭하는 네트워크에서, TCP/443을 통한 OpenVPN은 WireGuard가 하지 못하는 경우에도 여전히 통과합니다. 그 호환성의 대가는 TCP-over-TCP 붕괴입니다. 내부 TCP 계층이 이미 재전송한 탓에 외부 TCP 계층이 재전송하면, 불안정한 회선에서 처리량이 무너질 수 있습니다. 이것은 올바른 비상구일 뿐, 올바른 일상의 터널은 아닙니다.

IKEv2 / IPsec

IKEv2(Internet Key Exchange 버전 2)는 IPsec 터널에서 키 교환을 담당하는 절반입니다. Apple 플랫폼에서는 운영체제가 기본적으로 이해하는 프로토콜입니다. 서드파티 앱을 전혀 설치하지 않고도 iOS 설정에서 IKEv2 프로필을 구성할 수 있습니다. 추가 소프트웨어가 끼어들지 않기를 원할 때 이는 실질적인 장점입니다.

모바일에서 IKEv2의 핵심 기능은 MOBIKE입니다 — 재협상 없이 IP 주소 변경을 터널이 견뎌낼 수 있게 해 주는 작은 확장입니다. Wi-Fi에서 셀룰러로 넘어갈 때 MOBIKE는 서버에게 “나는 여전히 나야, 주소만 새로워졌어”라고 알리고, 세션은 계속됩니다. 사용자에게 재연결 시간은 사실상 0입니다.

내부적으로 데이터 평면은 IPsec이며, Apple 플랫폼에서는 커널에 구현되어 있습니다. 이는 좋은 처리량과 낮은 CPU 비용을 뜻합니다 — 많은 경우 WireGuard와 비슷한 수준이지만, 대부분의 독립적인 벤치마크는 여전히 WireGuard를 앞에 둡니다.

문제는 구성의 복잡성입니다. IPsec에는 손댈 것이 많고(암호화 알고리즘, 인증, 완전 순방향 비밀성, IKE 수명, 재키 간격), 잘못된 조합은 동작은 하지만 보이는 것보다 약한 터널을 남길 수 있습니다. 프로토콜 자체는 괜찮습니다. 잘못 구성될 위험이 실제입니다.

IKEv2는 또한 WireGuard만큼 오픈소스 생태계에 흥미로운 대상이 아니어서, 클라이언트 혁신이 WireGuard에 비해 느려졌습니다. 프로토콜 자체는 안정적이고 성숙해서, 어느 방향으로든 여러분을 놀라게 할 가능성이 낮습니다. 반대로 말하면, OS가 주는 것을 그대로 물려받게 됩니다. 킬 스위치와 온디맨드 규칙을 위한 UI까지 포함해서요. 그리고 그것은 전용 클라이언트가 제공할 수 있는 것보다 더 제한적인 경향이 있습니다.

비교 표

속성	WireGuard	OpenVPN	IKEv2
속도(일반적)	가장 빠름	더 느림	빠름
모바일에서의 배터리	최고	최악	양호
네트워크 변경 시 재연결	빠름(상태 없음)	느림(재협상)	빠름(MOBIKE)
코드 규모 / 감사 가능성	약 4,000줄	수만 줄	큼(IPsec 스택)
포트 유연성	UDP만	UDP와 TCP, 모든 포트	UDP 500/4500
모바일 친화성	탁월함	적당함	탁월함
현대 암호화 프리미티브	잠긴 현대식	구성 가능, 레거시 포함	구성 가능, 현대식 사용 가능
네이티브 iOS/macOS 지원	Network Extension	Network Extension	네이티브, 앱 불필요

이 표를 솔직하게 읽기 위한 몇 가지 참고. “가장 빠름”은 사실이지만 작습니다. 일반적인 가정용 연결에서는 50Mbps의 차이를 알아차리지 못할 것입니다. 서드파티 벤치마크는 하드웨어, 거리, 그리고 테스트를 어떻게 수행하는지에 따라 크게 달라지지만, 세 프로토콜 사이의 상대적 순위는 수년째 일관되게 유지되어 왔습니다. “배터리 최고”는 사실이며 오래 지속되는 연결에서 그것을 체감할 것입니다. “코드 규모”는 감사 표면에 대한 논거이지, 취약점 개수가 아닙니다.

실제 휴대폰에서의 재연결

이 프로토콜들이 휴대폰에서 가장 크게 차이가 나는 부분은 네트워크가 바뀔 때 무슨 일이 일어나느냐입니다. 사무실에서 나오기, 기차에 타기, 포털 페이지가 끝내 로드되지 않아 캡티브 포털 Wi-Fi에서 LTE로 전환하기. 모바일 VPN은 수명의 상당 부분을 이러한 전환을 처리하는 데 씁니다.

WireGuard는 이를 거의 눈에 띄지 않게 처리합니다. 서버가 클라이언트의 주소에 대해 상태가 없기 때문에, 휴대폰은 그저 새 IP에서 패킷 하나를 보내고 터널은 이어집니다. MOBIKE를 갖춘 IKEv2도 설계상 비슷하게 동작합니다. 동일한 보안 연관이 새 주소로 이전됩니다. 두 경우 모두 재연결 시간은 사실상 0입니다.

OpenVPN은 셋 중 네트워크 변경을 가장 못 다룹니다. 기본 동작은 회선이 바뀐 것을 감지하고, 터널을 끊은 뒤, 처음부터 다시 세우는 것입니다 — 완전한 TLS 방식의 핸드셰이크죠. 이는 휴대폰에서 체감되는데, 보통 1~2초이며 첫 시도가 실패하면 더 길어지기도 합니다. 현대 OpenVPN 클라이언트는 재연결 로직으로 이를 가리지만, 기반 프로토콜은 복구가 가장 느립니다.

솔직한 견해

현대 모바일 VPN에는 WireGuard가 올바른 기본값입니다. 암호화는 현대적이고 협상 대상이 아니며, 코드베이스는 실제로 검토할 수 있을 만큼 작고, 핸드셰이크는 빠르며, 배터리 비용은 낮고, 네트워크 사이의 재연결은 깔끔합니다. 이것은 유행에 따른 결정이 아닙니다. 지난 5년간 진지한 모든 모바일 VPN 팀이 수렴해 온 결론입니다.

OpenVPN은 여전히 실질적인 쓰임새가 있습니다. 제한적인 네트워크에서의 TCP/443 폴백입니다. 일 때문에 가끔 웹 트래픽을 제외한 모든 것을 차단하는 네트워크에 놓인다면, 주머니 속의 OpenVPN 클라이언트는 진짜로 유용합니다. 휴대폰에서의 일상적인 소비자 사용에는 잘못된 기본값입니다.

IKEv2는 앱을 설치하지 않고 VPN 프로필을 원한다면 완벽하게 합리적인 선택입니다. 네이티브 iOS 구성은 견고하고 재연결은 깔끔합니다. 절충점은 진짜 클라이언트가 주는 기능들을 잃는다는 것입니다 — 읽을 수 있는 연결 로그, 명확한 킬 스위치 UI, 서버 선택기, 빠른 전환 같은 것들이죠. 네이티브 프로필은 상시 켜 두는 기업 구성에는 훌륭하지만, 개인 용도로는 조금 아쉽습니다.

프로토콜이 프라이버시 문제의 나머지를 해결하지는 않습니다. 제공자는 여전히 무로그 정책이 진짜로 무엇을 의미하는지에 대해 솔직해야 하고, 앱은 여전히 키를 올바르게 다뤄야 하며, VPN은 여러분의 운영체제나 브라우저가 여러분에 대한 정보 를 다른 곳에 흘리는 것을 막을 수 없습니다. 프로토콜은 답의 한 조각일 뿐, 답 전체가 아닙니다.

결론

2026년에 VPN 프로토콜을 고르고 있고 우선순위가 빠르게 연결되고, 배터리를 적게 쓰며, Wi-Fi에서 LTE로 넘어가는 기차 여정을 견뎌내는 제대로 동작하는 iPhone 터널이라면 — WireGuard를 고르세요. 여러분을 가로막는 네트워크에서 정기적으로 접속해야 한다면, OpenVPN을 예비로 두세요. 앱을 설치하지 않은 네이티브 프로필을 원한다면 IKEv2가 올바른 답입니다.

Snap VPN은 WireGuard만 사용합니다. 우리가 그렇게 결정한 이유는, 휴대폰에서 중요한 측면들(속도, 배터리, 재연결, 감사 가능성)에서 프로토콜을 실제로 비교해 보면 다른 것들을 기본값으로 제공할 솔직한 명분이 없기 때문입니다. 프로토콜을 더 추가한다는 것은 터널에 더 많은 코드, 더 많은 암호 메뉴, 잘못 다룰 구성이 더 많아지고, 어차피 프로토콜 선택기를 한 번도 바꾸지 않을 사용자에게 더 느린 기본값을 준다는 뜻입니다. 우리는 한 가지를 잘하는 쪽을 택하겠습니다.

WireGuard vs OpenVPN은 현대 iPhone에서 사실 그리 흥미로운 싸움이 아닙니다. WireGuard는 몇 년 전에 기술적 우위로 그 비교에서 이겼습니다. 흥미로운 질문은 프로토콜을 둘러싼 제품의 나머지가 같은 절제로 만들어졌느냐입니다. 익명 신원, 트래픽 로그 없음, 실제로 작동하는 킬 스위치, 작은 클라이언트 코드베이스 말이죠.

WireGuard가 iOS에서 마땅히 동작해야 하는 방식대로 동작하는 것을 보고 싶다면, Snap은 지금 App Store에 있으며 macOS도 곧 나옵니다. 이메일 가입 없음. 트래픽 로그 없음. 실제 인물에 연결된 식별자 없음. 설계부터 익명이며, 기본값의 자리를 얻어낸 프로토콜 위에서 동작합니다.

The Snap VPN Team

Editorial