무료 VPN이 위험한 5가지 이유 — 당신의 데이터가 상품

핵심 요약

• 무료 VPN 앱의 상당수는 사용자 데이터를 수집·판매하여 수익을 창출하므로, 프라이버시 보호 도구가 오히려 감시 도구로 전락할 수 있다.
• CSIRO(호주 국립 과학기술연구소) 2016년 연구에 따르면 분석 대상 무료 VPN 앱의 38%가 악성코드를 포함하고 있었으며, 84%가 사용자 트래픽을 유출하고 있었다.
• 완전한 온라인 프라이버시를 원한다면 신뢰할 수 있는 유료 VPN 서비스를 선택하는 것이 실질적인 유일한 대안이다.

---

들어가며

"공짜라면 양잿물도 마신다"는 속담이 있다. 디지털 세계에서도 이 말은 무섭도록 적중한다. 매달 구독료를 아끼고 싶은 마음에 무료 VPN을 선택하는 사람들이 늘고 있지만, 정작 그 선택이 얼마나 큰 대가를 치르는지 깨닫는 사람은 드물다.

VPN(Virtual Private Network)은 본래 인터넷 연결을 암호화하고 사용자의 IP 주소를 숨겨 온라인 프라이버시를 보호하는 도구다. 기업 환경에서 원격 접속 보안 수단으로 시작된 이 기술은 이제 일반 소비자들 사이에서도 널리 쓰이고 있다. 그런데 문제가 있다. VPN 서비스를 운영하려면 서버 인프라 비용, 트래픽 비용, 인건비 등 막대한 운영 비용이 든다. 그렇다면 무료 VPN 업체들은 어떻게 수익을 낼까?

답은 간단하다. 당신이 상품이다.

이 글에서는 무료 VPN 위험을 구체적인 사례와 데이터를 바탕으로 낱낱이 파헤치고, 진정한 온라인 보안을 위해 어떤 선택을 해야 하는지 안내한다.

---

무료 VPN은 정말 공짜일까? — 절대 그렇지 않다

이 질문에 대한 답은 명확하다. 무료 VPN은 공짜가 아니다. 다만 돈 대신 당신의 데이터, 프라이버시, 때로는 기기 보안까지 지불하는 구조일 뿐이다.

실리콘밸리에는 오래된 격언이 있다. "제품 값을 내지 않는다면, 당신이 제품이다(If you're not paying for the product, you are the product)." 소셜 미디어 플랫폼에서 통용되는 이 원칙은 무료 VPN 업계에서 더욱 노골적인 방식으로 실현된다.

무료 VPN 업체들이 취하는 수익 모델은 크게 네 가지다.

첫째, 사용자 데이터 수집 및 판매다. 방문한 웹사이트, 검색 기록, 위치 정보, 기기 정보를 모아 광고회사나 데이터 브로커에게 파는 방식이다. 둘째, 광고 삽입이다. 사용자 트래픽에 광고를 끼워 넣어 클릭당 수익을 얻는다. 셋째, 대역폭 판매다. 사용자의 인터넷 연결을 다른 목적으로 판매한다. 넷째, 악성코드 유포다. 앱 자체에 스파이웨어나 애드웨어를 심어 다양한 방식으로 수익을 창출한다.

이제 무료 VPN이 얼마나 위험한지, 다섯 가지 핵심 위험 요소를 하나씩 살펴보자.

---

위험 1: 데이터 로깅과 판매 — 당신의 온라인 행동이 거래된다

VPN의 핵심 가치는 "No-log policy", 즉 사용자 활동 기록을 남기지 않는 것이다. 그러나 수많은 무료 VPN은 이 약속을 정반대로 뒤집는다. 이들은 사용자의 모든 온라인 활동을 꼼꼼히 기록하고, 그 데이터를 제3자에게 판매한다.

2015년 적발된 Hola VPN 사건은 이 문제의 심각성을 여실히 드러낸다. 당시 이스라엘 기업이 운영하던 Hola VPN은 전 세계 수천만 명의 사용자를 보유하고 있었다. 그런데 이 서비스는 사용자들에게 알리지 않은 채, 사용자들의 인터넷 연결을 봇넷(botnet)으로 활용해 다른 기업에 판매하고 있었다는 사실이 밝혀졌다. 이 네트워크는 온라인 공격에 악용될 수 있는 방식으로 운영되었으며, 사용자들은 자신도 모르게 이 공격의 발판이 된 셈이었다.

또 다른 사례로 Betternet이 있다. 이 무료 VPN은 프라이버시 보호를 내세웠지만, 실제로는 사용자 데이터를 수집해 광고 업체에 판매했다. 앱 분석 결과 내부에 여러 추적 라이브러리가 포함된 것으로 나타났다.

개인정보 처리방침(Privacy Policy)을 꼼꼼히 읽어보면 무료 VPN의 실체가 드러난다. 많은 무료 VPN의 약관에는 이런 문구가 포함되어 있다. "우리는 익명화된 집계 데이터를 광고 파트너와 공유할 수 있습니다." 여기서 '익명화'라는 단어에 속지 말아야 한다. 현대의 데이터 분석 기술은 소위 익명화된 데이터에서도 개인을 특정할 수 있다는 것이 여러 연구를 통해 증명되어 있다.

수집되는 데이터의 종류는 방대하다. 방문한 URL, 검색 키워드, 온라인 쇼핑 내역, 의료·금융 관련 검색 기록, 위치 정보, 접속 시간 및 패턴까지 모두 포함된다. 이 정보들이 결합되면 당신의 생활 패턴, 건강 상태, 재정 상황, 관심사, 정치적 성향까지 파악 가능한 상세한 프로필이 완성된다.

---

위험 2: 악성코드 삽입 — VPN 앱 자체가 바이러스다

2016년 호주 CSIRO(Commonwealth Scientific and Industrial Research Organisation)의 연구팀은 Google Play 스토어에 등록된 무료 VPN 앱 283개를 대상으로 대규모 분석을 실시했다. 결과는 충격적이었다.

• 38%의 앱에서 악성코드가 발견되었다.
• 84%의 앱이 사용자 트래픽을 유출하고 있었다.
• 75%의 앱이 추적 라이브러리를 포함하고 있었다.
• 18%의 앱이 실제로 트래픽을 암호화하지 않고 있었다.

이 연구는 "무료 VPN은 안전하다"는 사용자들의 믿음을 완전히 뒤흔들었다. 특히 놀라운 것은, 앱스토어에서 높은 평점을 받은 앱들 중에서도 악성코드가 발견되었다는 점이다. 사용자 리뷰와 평점이 보안의 지표가 되지 않는다는 것을 보여준다.

악성코드의 종류도 다양하다. Adware(광고 소프트웨어)는 사용자 브라우저에 광고를 삽입하거나 팝업을 생성한다. Spyware(스파이웨어)는 키보드 입력, 스크린샷, 카메라·마이크 접근 등을 통해 정보를 몰래 수집한다. Trojan(트로이목마)은 겉으로는 정상적인 VPN 앱처럼 보이지만 내부에서 악성 활동을 수행한다. 일부 앱은 사용자 기기를 암호화폐 채굴에 활용하기도 한다.

2019년에는 무료 VPN 앱 'SuperVPN'이 Google Play에서 1억 회 이상 다운로드되었는데, 이 앱이 심각한 보안 취약점을 갖고 있으며 중간자 공격(Man-in-the-Middle attack)에 노출될 수 있다는 사실이 밝혀졌다. 그럼에도 불구하고 앱 마켓에서는 오랫동안 제거되지 않았다.

---

위험 3: 대역폭 판매 — 당신의 인터넷이 다른 용도로 쓰인다

앞서 언급한 Hola VPN 사건에서 가장 충격적인 부분은 단순한 데이터 수집이 아니었다. Hola는 사용자들의 컴퓨터와 스마트폰을 하나의 거대한 P2P(Peer-to-Peer) 네트워크로 묶어, 다른 회사인 Luminati(현재 Bright Data)를 통해 기업 고객들에게 사용자의 인터넷 대역폭을 판매했다.

즉, 당신이 Hola VPN을 사용하는 동안 당신의 인터넷 연결은 사실상 타인의 트래픽을 중계하는 통로가 된 것이다. 더 심각한 문제는 이 대역폭을 구매한 기업이나 개인이 무엇을 위해 그것을 사용하는지 사용자는 전혀 알 수 없다는 점이다. DDoS 공격, 불법 콘텐츠 다운로드, 사기 행위 등에 악용될 경우, 그 IP 주소의 소유자인 당신이 법적 책임을 질 수도 있다.

이것은 단순한 프라이버시 침해가 아니라 법적 위험까지 수반하는 문제다. 한국에서는 저작권법 위반이나 사이버 범죄와 관련하여 IP 주소가 핵심 증거로 사용되는 경우가 많다. 자신도 모르는 사이에 범죄에 연루될 수 있다는 것이다.

일부 무료 VPN 서비스는 이를 더욱 교묘하게 진행한다. SDK(소프트웨어 개발 키트) 형태로 다른 앱에 끼워 넣어, 사용자가 그 앱을 실행하는 동안 백그라운드에서 대역폭을 수집하는 방식이다. 사용자는 VPN 앱을 켜지 않았다고 생각하지만, 이미 그의 기기는 누군가의 인터넷 연결을 중계하고 있을 수 있다.

---

무료 VPN의 암호화 수준은 어떨까? — 암호화가 없거나 허술하다

결론부터 말하면, 많은 무료 VPN은 제대로 된 암호화를 제공하지 않는다.

VPN이 제 역할을 하려면 군사급 암호화가 필요하다. 현재 업계 표준은 AES-256(Advanced Encryption Standard 256-bit) 암호화로, 이를 뚫는 데 현재 최강의 슈퍼컴퓨터를 동원하더라도 우주의 나이보다 긴 시간이 필요하다는 것이 수학적으로 증명되어 있다.

그러나 앞서 언급한 CSIRO 연구에 따르면 조사 대상 무료 VPN의 18%는 트래픽을 전혀 암호화하지 않고 있었다. VPN이라는 이름만 달았을 뿐, 실제로는 아무런 보안도 제공하지 않는 셈이다.

암호화가 이루어지더라도 문제는 있다. 오래된 암호화 프로토콜인 PPTP(Point-to-Point Tunneling Protocol)를 여전히 사용하는 무료 VPN이 많다. PPTP는 1990년대에 개발된 방식으로, 현재는 심각한 보안 취약점이 알려져 있으며 전문 해커라면 충분히 복호화할 수 있다. 반면 신뢰할 수 있는 유료 VPN은 OpenVPN, WireGuard, IKEv2 같은 현대적이고 안전한 프로토콜을 채택한다.

취약한 암호화는 특히 공공 Wi-Fi 환경에서 치명적이다. 카페, 공항, 호텔의 공개된 무선 네트워크에서 VPN을 사용하는 주된 이유가 바로 보안 강화인데, 암호화가 허술하거나 없다면 오히려 VPN을 쓰지 않는 것과 마찬가지이거나 더 위험할 수 있다. 공격자는 중간자 공격을 통해 사용자의 로그인 정보, 금융 데이터, 개인 메시지를 가로챌 수 있다.

---

위험 4: 취약한 암호화 — 당신의 통신이 노출된다

무료 VPN의 암호화 문제는 단순히 구형 프로토콜 사용에 그치지 않는다. 더 근본적인 문제는 암호화 키 관리와 인증서 검증에 있다.

일부 무료 VPN 앱은 SSL/TLS 인증서를 제대로 검증하지 않아 중간자 공격에 취약하다. 이 경우 공격자는 사용자와 VPN 서버 사이에 끼어들어 트래픽을 엿볼 수 있다. 앱을 분석한 연구자들은 일부 무료 VPN이 자체 서명된(self-signed) 인증서를 아무런 검증 없이 수락한다는 사실을 발견했다.

또한 암호화 키 길이 문제도 있다. 128-bit 암호화도 특정 환경에서는 충분할 수 있지만, 무료 VPN 중 일부는 이보다 훨씬 짧은 키를 사용하거나 키 교환 과정에 취약점이 있다.

Perfect Forward Secrecy(PFS) 미지원도 심각한 문제다. PFS는 세션마다 다른 암호화 키를 사용하는 기술로, 설령 하나의 키가 노출되더라도 다른 세션의 데이터는 안전하게 보호된다. 그러나 대부분의 무료 VPN은 이 기능을 지원하지 않아, 암호화 키가 한 번 노출되면 과거의 모든 통신 내용이 복호화될 위험이 있다.

2021년 사이버보안 연구기관 VPNpro의 조사에 따르면, 무료 VPN 앱 상위 20개 중 17개가 중국 기업과 직·간접적인 연관이 있었다. 이는 단순한 보안 문제를 넘어 국가 차원의 데이터 접근 가능성을 시사한다.

---

위험 5: DNS 유출 — 당신이 어디를 방문하는지 ISP가 알고 있다

DNS(Domain Name System) 유출은 무료 VPN의 가장 흔한, 그러나 사용자가 인지하기 가장 어려운 취약점이다.

DNS는 인터넷의 전화번호부다. 사용자가 "naver.com"을 입력하면, DNS 서버가 이를 실제 IP 주소로 변환해준다. VPN을 사용할 때 이 DNS 요청도 VPN 터널을 통해 처리되어야 완전한 익명성이 보장된다. 그런데 DNS 유출이 발생하면, VPN 연결은 되어 있지만 DNS 요청은 여전히 ISP(인터넷 서비스 제공자)의 서버로 직접 전송된다.

결과적으로 ISP는 당신이 어떤 웹사이트를 방문하는지 모두 볼 수 있게 된다. IP 주소는 숨겨졌지만, 방문 기록은 고스란히 노출되는 아이러니한 상황이 벌어진다.

2015년 vpnMentor가 실시한 테스트에서 주요 무료 VPN 서비스들의 DNS 유출 문제가 다수 발견되었다. 사용자들은 VPN을 사용하면 완전히 익명으로 인터넷을 이용할 수 있다고 믿었지만, 실제로는 ISP와 잠재적으로 정부 기관에 자신의 모든 인터넷 사용 내역을 공개하고 있었다.

DNS 유출 외에도 WebRTC 유출이 문제다. WebRTC는 브라우저 간 직접

---

참고: 한국은행 경제통계