VPN은 익명성을 주지 않는다.
트래픽의 첫 번째 홉을 다른 곳으로 보낼 뿐이다.
그 차이가 광고 카피보다 덜 극적이다. 광고 카피가 피하는 이유가 바로 그거다. VPN 업계가 익명성, 완전한 프라이버시, 투명 브라우징이라는 모호한 약속 위에 거대한 마케팅 머신을 세웠다. 기술이 실제로 하는 일은 더 좁고, 더 지루하고, 맞는 상황에서는 여전히 유용하다.
문제는 VPN이 아니다. VPN 주변에 팔리는 판타지가 문제다.
VPN이 실제로 바꾸는 것
VPN은 디바이스와 VPN 서버 사이의 트래픽을 암호화한다. 로컬 네트워크 — 카페 WiFi, 호텔, ISP — 가 터널 내용을 쉽게 읽을 수 없다. VPN 서버가 트래픽을 인터넷으로 보내서 웹사이트는 내 IP 대신 VPN 서버의 IP를 본다.
두 가지가 바뀌었다: 로컬 네트워크가 가시성을 잃었고, 겉보기 IP가 바뀌었다.
그게 전부.
VPN이 안 바꾸는 것
VPN 제공자가 ISP가 봤을 것 전부를 본다. 감시를 제거한 게 아니라 옮긴 것이다. ISP가 DNS 쿼리와 연결 메타데이터를 봤다. 이제 VPN 제공자가 본다. 눈 한 쌍을 다른 한 쌍으로 바꿨다.
“근데 노로그 정책인데요.” 어쩌면. 검증할 수 없다. VPN 제공자는 느슨한 데이터 보존법 때문에 특정 관할권을 선택한다. 마케팅이 “노로그”라고 한다. 인프라는 불투명하다. 회사의 약속을 믿는 것이지 암호학적 보장이 아니다.
웹사이트는 여전히 누군지 안다. Google, Facebook, X에 로그인하면 — 정체를 안다. IP가 바뀌었다. 쿠키, 로그인 세션, 브라우저 핑거프린트는 안 바뀌었다.
브라우저 핑거프린팅이 여전히 작동한다. 화면 해상도, 설치된 폰트, 타임존, 언어, WebGL 렌더러, 캔버스 해시 — 결합하면 세션을 넘어 브라우저를 식별하는 핑거프린트가 된다. VPN은 이걸 하나도 안 바꾼다.
아무도 안 하는 신뢰 이전 이야기
핵심 문제다. VPN을 쓴다는 건 트래픽을 VPN 제공자에게 맡긴다는 뜻이다. 대부분의 사람에게 ISP는 자기 나라의 규제받는 회사다. VPN 제공자는 프라이버시 친화적으로 들리는 관할권에 등록된 불투명한 회사인 경우가 많다.
실제로 어떤 쪽을 더 신뢰하나?
ISP가 신뢰할 수 있다는 게 아니다. 대체가 자동으로 나은 게 아니라는 것이다. 알려진 주체를 모르는 주체로 바꾸고 프라이버시라고 불렀다.
VPN이 실제로 도움 되는 때
공용 WiFi 보호. 신뢰할 수 없는 네트워크에서 VPN이 로컬 네트워크의 트래픽 검사를 막는다. 원래 유스케이스고 아직 유효하다. 다만 HTTPS가 보편화되면서 오픈 WiFi의 공격 표면이 VPN 광고가 암시하는 것보다 훨씬 작다.
지역 제한 우회. 리전 잠금된 콘텐츠를 보고 싶으면 맞는 나라의 VPN 엔드포인트를 쓰면 된다. 소비자 VPN의 가장 흔한 실제 용도일 것이다. 보안과 관계없다.
ISP 수준 검열 회피. ISP가 DNS나 IP로 특정 사이트를 차단하는 나라에서 VPN이 차단을 우회한다. 정당하고 중요한 유스케이스다.
실제로 익명성을 주는 것
Tor. 상당한 트레이드오프와 함께.
Tor는 트래픽을 세 개의 릴레이를 통해 라우팅하고, 각 릴레이는 이전 홉과 다음 홉만 안다. 단일 릴레이가 당신이 누구인지와 뭘 접속하는지를 동시에 알지 못한다.
Tor는 느리다. 많은 사이트가 Tor 출구 노드를 차단한다. UX가 고통스럽다. 하지만 익명성을 위해 설계됐다. VPN은 아니다.
광고 문제
VPN 회사들이 대부분의 보안 회사가 R&D에 쓰는 것보다 더 많은 돈을 YouTube 스폰서십에 쓴다. 광고가 공포 기반이다: “해커가 공용 WiFi에서 데이터를 훔칠 수 있습니다!” “VPN 없이는 노출됩니다!”
일부는 대충 맞다. 대부분은 과장이다. 암시되는 해결책 — “우리 VPN을 사면 이 문제가 사라집니다” — 은 틀리다.
반-VPN이 아니다. 반-과대광고다. 실제 문제를 풀 때 VPN을 쓰면 된다. 다른 첫 번째 홉을 투명인간으로 착각하지만 마라.