팁/정보 무료 VPN 위험성을 뒤늦게 알게됨 - 해킹? 개인정보 유출? 공부한 정보 정리

아무 생각없이 잠깐 써야할 때 저렴한 유료 VPN을 가지고 있음에도 불구하고 크롬에서 바로 사용할 수 있는 무료 VPN이 켰다 껐다하기 편해서 사용했었는데, 우연히 무료 VPN 위험성에 관한 글들을 보게 되었고 많은 글을 읽을수록 굳이 위험을 감수하면서까지 사용할 필요는 없겠다는 생각에 도달하게 되었습니다.

 

그냥 무료 VPN 위험해! 라고하면 설득력이 없기 때문에 난 어떤 내용의 글을 보았고 왜 내가 무료 VPN이 위험하다고 생각하게 되었는지 정리하고자 글을 써둡니다.

 

대단한 글은 아니고 개인의 생각을 정리한 뻘글이므로 너무 심각하게 접근하진 않으셔도 됩니다. "이 사람은 이래서 이런 결정을 내렸구나." 정도만 생각해주세요.

 

어떤 무료 VPN을 사용했나?

사실 최근 VPN을 사용할 일이 그렇게 많지 않습니다. 교육용.. 영상도 나이가 들수록 보기 귀찮고.. 

• 오래전에 구매해둔 KeepSolid사의 VPN Unlimited라는 제품이 있는데 가끔 사용해보면 느리기도하고, 몇 번의 연결 실패를 겪으면서 짜증나 크롬 웹스토어에서 검색해 다운로드수 많은 VPN 확장프로그램을 설치했음.
• 핫스팟쉴드, 젠메이트 같은 추억의 VPN도 사용했는데 무료로 쓰기에는 너무나 불편하고 느릴 땐 웹 서핑도 어려웠음. 모르고 결제 됐다가 해지도 해봄. (흑우될뻔..)
• Sniper라는 DNS 우회 앱(VPN이 아니었음..)도 예전에 사용. (유니콘 https가 더 나음)
• 그 뒤에 토마토 VPN 설치
• 터치 VPN
• Browsec
• Hola VPN(나중에 홀라 VPN이 대표적으로 욕먹는 무료 VPN 앱이라는 알게 됨.)
• Opera VPN(오페라 브라우저 안에 내장되어있는 것.)

몇개 더 있었는데 그냥 크롬 확장프로그램에서 VPN 검색 후 첫 번째 페이지에 나오는 것을 썼습니다. 아마 다른 분들도 거의 마찬가지일거라 생각해요.

 

내가 뭘 사용했는지는 중요하지 않으므로 여기서 대충 마무리.

 

😱 무료 VPN 쓰면 큰일남?

그건 아닌 것 같아요. 내가 아는 선에서 지금까지 뭐 엄청 큰 난리난 것도 없는 듯 한데.. 세상일이 다 그렇듯 다 알고 쓰는 것과 모르고 그냥 쓰는 것의 차이는 크다고 생각합니다.

 

커뮤니티 글 보다 링크타고 작년 쯤 보게 된 관련 리포트가 시작이었습니다. 저기에 대부분이 정리되어있지만 내가 직접 확인해보고 싶기도 했고, 좀 더 추가할 부분도 있어서 써봅니다.

 

정말 필요한 정보가 있으면 번역기 돌려서 해외 사이트 위주로 검색을 많이 하는 편입니다. 무료 VPN 관련 정보를 틈틈히 찾아볼 땐, 개인 블로그 보단 연구소, 비영리 단체 등 "여기 정보는 좀 믿을만 한데?"라고 생각되는 곳에서 제공하는 정보를 좀 더 신뢰했고 관련된 정보를 더블체크 하려고 노력(..)은 했습니다.

 

내 인생에서 엄청나게 중요한 부분이 아니고 호기심 충족을 위해서 생각날 때 알아본 것들인데 이 시간들이 쌓이다보니 꽤 가치있는 정보가 되겠다 싶어서 글로 남깁니다. (그냥 알고 버리기엔 아깝기도 했음)

 

무료 VPN 위험성 구체적으로 어떤 부분이?

내가 열심히 검색해서 찾아본 케이스들을 보면 가장 파장이 큰 부분은 '회사가 유저 몰래 정보를 팔아 먹었다.', 'FBI, CIA같은 수사 기관이나 법원에 유저 정보를 제공했다.', '악성코드가 심어져 있었다.' 이 3개 종류의 뉴스가 많았고 시장에서 강력한 이슈로 작용했습니다.

 

🚨개인정보 판매

가장 뉴스 건수도 많았고 제일 흔한 문제인데, 그럴 수 밖에 없는 것이 무료로 VPN 서비스를 제공하기 위해 돈이 필요한데 광고 넣어봤자 제대로 봐주지도 않을거고.. 결국 하다하다 안되면 달콤한 유혹에 빠질 수 밖에 없겠죠.

이러다 걸려서 철퇴맞을거면 차라리 처음부터 개인을 특정하지 않는 사용 정보만 판매한다고 밝히고 서비스하는게 낫지 않았을까.. 또 그럼 사람들이 안쓰겠죠?

비즈니스의 시작부터 이 목적이었을 VPN 회사들도 적지 않을테니 이러나저러나 이 부분을 피하기는 어려워 보입니다.

 

🚨악성코드

악성코드는 VPN 앱 뿐 아니라 각종 앱에 주기적으로 몰래 첨가(?)되어 올라오고 매년 앱이 대량 삭제되었다는 기사도 나옵니다. 이는 편법으로 한탕 벌고싶어하는 사람 혹은 조직이 끊임없이 시도할 방식이고 이 끝없는 창과 방패의 싸움을 피하려면 규모가 큰 회사의 서비스를 이용하는게 맞겠죠. 우리가 애플, 구글, 삼성 등의 서비스를 사용할 때 악성코드나 해킹 걱정은 하지 않는 것 처럼요.

 

개발자가 의도하지 않았고 거기다 스토어 측의 심사를 거친다 하더라도 매년 피해는 발생하게 되는데요. 지인에게 물어보니 이런 답변이 돌아왔습니다. 정리 설명하자면,

질문 : 앱스토어에 매년 수많은 앱들이 출시되는데, 그 중에는 사용자의 개인정보를 훔치거나 기기에 악영향을 미치는 악성코드가 포함된 앱들도 있다. 어떻게 심사를 통과해 앱스토어에 올라올 수 있는 걸까?

답변 : 개발자들의 보안 의식 부족도 한 몫한다. 일부 개발자들은 편의성을 위해 보안 조치를 소홀히 하거나, 신뢰할 수 없는 라이브러리를 사용해서 일이 터지는데 해커들이 앱의 취약점을 악용하는 것을 하나의 예로 들 수 있다.

또한, 앱스토어의 심사 과정도 사람이 개입하는 부분이 있기 때문에 완벽하지 않으며 언제든 휴먼 에러가 발생할 수 있다. 애플과 구글은 수많은 앱을 처리해야 하다 보니 심사가 느슨해질 수도 있고 이를 악용해 악성코드를 교묘히 숨기는게 가능하지도 않을까?

마지막으로, 일부 개발자들은 악의적인 목적으로 앱을 만들기도 하는데 보통 인기 있는 앱을 모방하거나, 무료로 위장해서 사용자들을 현혹한다. 이런 앱들은 사용자의 개인정보를 탈취하거나 기기에 악성코드를 설치하는 것이 주된 목적이다.

 

그럼 앱 제작 주체가 굳이 저런 싸구려짓을 하지 않아도 되거나, 숙련된 개발자가 일하는 회사면 우리가 고민할 필요가 없겠죠.

 

🚨해킹

그 외에 사람들이 걱정하는 무료 VPN 해킹 논란 같은 것은 공식 앱이라면 가능성의 극히 낮은 위험성이라 생각합니다. 특히 애플 앱스토어, 안드로이드 플레이스토어 같은 경우 앱을 올릴 때 심사를 받기 때문에 해킹까지 당할 가능성은 매우 낮다고 생각할 수 있으며 여기에 실체가 존재하는 회사의 서비스를 사용한다면 책임 주체가 좀 더 명확하므로 VPN 해킹에 대한 걱정은 접어도 되지 않을까.. 라고 생각합니다.

 

정리하자면, 아래 두 가지만 체크해도 해킹 걱정은 안해도 될 듯?

• 공식 앱스토어, 공식 사이트에서 제공하는 파일
• 누군지 모를 제작자가 아닌 실제 존재하는 회사에서 제공하는 서비스

두가지 원칙만 지켜도 큰 문제는 없으리라 판단됩니다.

 

사례

너무 많지만 대표적인 사례들만 정리해보면.

 

✔️CSIRO 연구 사례

CSIRO는 Commonwealth Scientific and Industrial Research Organization 호주의 연방과학산업연구기구 입니다. 이 곳에서 2016년에 작성된 보고서는 엄청난 파급력을 불러왔습니다. 엄청 긴 내용이고 영어로 작성되었습니다. 저도 번역기의 도움을 받아서 읽어봤는데요. 요약해드릴게요.

• Google Play 스토어에서 VPN 권한을 사용하는 283개 앱을 추출해서 정적 및 동적 분석을 수행했습니다.
• 많은 VPN 앱들이 프라이버시와 보안을 강화한다고 주장하지만, 실제로는 서드파티 추적 라이브러리를 사용하고 있었고 민감한 권한을 요청하고 있었습니다.
• 38%의 앱이 바이러스토탈에서 멀웨어로 감지되었지만, 사용자 리뷰에서는 보안 우려사항이 거의 제기되지 않았습니다.
• 일부 앱은 암호화되지 않은 터널링 프로토콜을 사용하거나 IPv6, DNS 트래픽 누수가 발견되어 안전하지 않았습니다.
• 일부 앱은 JavaScript 삽입, 광고 리디렉션, TLS 가로채기 등의 악용 행위를 하고 있었습니다.
• VPN앱들은 사용자 트래픽을 어떻게 처리하는지에 대해 투명하지 않았고, 피어 전달 방식으로 다른 참여 노드를 통해 트래픽을 전달하기도 했습니다.

여기에 등장하는 VPN 앱 이름을 보면 깜짝 놀랍니다. 

• 핫스팟쉴드 : 광고추적 코드 및 트래픽을 특정 사이트로 돌림
• HolaVPN : 아래 자세히 따로 설명올려요.
• CrossVPN : 멀웨어
• ArchieVPN : 멀웨어
• Betternet : 멀웨어 및 서드파티 추적 라이브러리
• Fast Secure Payment, sFly Network Booster : 멀웨어
• HideMyAss : JP Morgan, LinkedIn으로 이동하는 트래픽을 관찰 됨
• TigerVPN : 존재하지 않는 도메인으로 이동

그리고 바이러스 토탈(온라인 백신)에 멀웨어 양성으로 뜬 앱은 EasyOvpn, VPN free, Tigervpns, DNSet, CM Data Manager, Rocket VPN, Globus VPN, Spotflux VPN, CyberGhost. - *모바일 앱의 멀웨어 존재에 대한 유효한 지표로 'AV-Rank' ≥ 2를 고려했고, 악성코드 탐지에 대한 보다 보수적인 임계값을 설정하기 위해 'AV-랭크'를 5 이상의 값으로 높였고 멀웨어 종류는 애드웨어(43%), 트로이 목마(29%), 멀버타이징(17%), 리스크웨어(6%), 스파이웨어(5%).

 

Flash Free VPN 및 Betternet은 총 설치 수가 600만 건 이상으로 가장 많은 트래킹 라이브러리를 내장하고 있습니다.

 

내용이 많아서 대충 추렸습니다. 꽤 오래전에 발각되어서 크게 뒤집어졌으니.. 요즘은 안그러겠죠...

 

✔️Hola VPN

Hola VPN에 대해서 사람들 중 아마도 99%는 모르고 사용할 수 있는 부분은 홀라 VPN이 바로 'P2P 네트워크'라는 것 입니다. P2P 하면 토렌트를 먼저 떠올리실텐데, 뭐 비슷 합니다. Hola VPN을 사용하시면 여러분의 IP 주소와 대역폭은 다른 사용자가 사용하게 됩니다. 여러분도 당연히 다른 사람의 것을 사용해서 접속하는 거구요. (*Chrome 브라우저 확장 프로그램, Opera 브라우저 추가 기능 및 Edge 브라우저 추가 기능은 표준 서비스로 작동하며 Hola P2P 네트워크의 일부가 아닙니다. - https://hola.org/faq)

 

Hola VPN 관련 2015년 기사를 요약하면 아래와 같습니다.

인기 무료 VPN인 Hola가 사용자들의 동의 없이 그들을 봇넷으로 변환했다는 사실이 밝혀졌습니다.

Hola는 무료 서비스를 제공하기 위해 자체 대역폭이나 서버를 제공하지 않고, 사용자들의 연결을 서로의 장치를 통해 라우팅하는 Peer-to-Peer VPN으로 운영됩니다. Hola는 Luminati 브랜드 하에서 무료 사용자들의 유휴 대역폭을 판매하여 수익을 창출합니다.

문제는 Hola가 사용자들의 대역폭을 판매하고 있다는 사실을 사용자들이 거의 알지 못했다는 것입니다. 일부 사용자들은 자신의 연결이 저작권이 있는 콘텐츠나 아동 학대 이미지 등 불법적인 목적으로 사용되었을 수 있다는 점을 우려하고 있습니다.

Hola의 창업자인 Ofer Vilenski는 이 비즈니스 모델이 어떻게 작동하는지 항상 분명히 해왔다고 말했지만, Hola 사용자들은 자신들의 대역폭이 판매되고 있다는 사실을 거의 알지 못했던 것으로 보입니다. 

우리집 인터넷 회선을 남이 사용해도 좋다면 써도 됩니다.

 

✔️PureVPN

FBI는 PureVPN, WANSecurity라는 두 VPN 회사를 통해 로그를 확보한 후 사이버 스토커를 검거했습니다. 제공할 정보가 있었다는 것은 한마디로 'No Log'가 아니었다는 것을 증명한 것이죠. 레딧글을 보면 뉴스 출처와 당시 사람들의 토론을 볼 수 있습니다. 이 사건은 "유료 VPN도 함부로 믿을 수 없다."는 인식을 심어주게 됩니다.

 

✔️Hotspot Shield

아까 위에서도 광고 및 추적 목적의 자바스크립트 삽입과 파트너 사이트로의 트래픽 리디렉션 문제도 있었고, 여기에 또 한번 등장한 것은 더 큰 문제가 있었기 때문입니다.

 

FTC complaint(*Federal Trade Commission-연방거래위원회) 문서에 따르면 워싱턴 DC에 본부를 둔 민주주의 기술 센터(CDT)는 VPN 제공업체가 웹 트래픽을 가로채서 광고 회사를 포함한 파트너 웹사이트로 리디렉션함으로써 "익명 브라우징" 약속을 위반했다고 밝혔습니다. 그리고 뉴스에는 핫스팟쉴드가 고객 정보를 팔아먹었다고 대서특필되며 난리가 났었죠. 당시 AnchorFree 측에서는 아니라고 반박했습니다.

 

✔️ 그 외

굵직한 사건들만 소개해드렸고, 찾아보면 상당히 많은 VPN 앱이 만들어지고 개인정보 이슈 등으로 사라지는 것을 반복합니다.

 

크롬 VPN 확장 프로그램 중 70% DNS 유출 문제를 일으켰다는 기사도 나왔었는데 거기에는 Hola VPN, OpenVPN, TunnelBear, HotSpot Shield, Betterment, PureVPN, VPN Unlimited, ZenMate, Ivacy VPN, DotVPN 의 이름이 나옵니다. 

 

WebRTC 유출 이력까지 찾아본다면 Astrill VPN, Hide-me.org, widscribe extention 등 유명 회사들의 이름을 더 찾아볼 수 있습니다.

 

여기에 중국 쪽에서 만들어 배포하는 VPN까지 포함한다면 피해가기가 쉽지 않다는 것을 알 수 있습니다.

 

🏢비즈니스적 관점

우리가 직접 무료 VPN 회사 운영한다고 생각하면.. 좀 더 명확해집니다. 저도 그렇고 다들 공짜라면 환장하죠.

 

일단 무료 VPN 앱을 계획하는 단계부터 생각해보죠. 이 수많은 VPN 앱은 왜 만들어졌을까요? 우리 한국인처럼 전세계의 인터넷 검열에 고통받는 사람들을 구원해주기 위해서?

 

앱을 만들어 출시까지 하게 되었다면 대부분 '돈을 벌기 위해서' 입니다. 극히 일부는 호기심, 공부용, 재미 등의 이유가 있겠죠. 하지만 적극적으로 유저를 끌어모으고 계속해서 서비스를 지속 제공하려는 주체는 '수익' 이외에 다른 것을 생각할 수 없습니다.

 

그럼 비용 문제를 생각해볼까요? (혼자 상상해봄) 여러분이 학교나 직장에서 주변 사람들에게 무료 핫스팟을 제공한다면 몇시간? 며칠? 몇달정도 가능할까요? 거기다 무료로 공개해놨더니 사용하는 사람들이 점점 늘어난다면?

 

물론 우리가 사용하는 데이터와 VPN 업체들이 계약하는 트래픽 요금은 차이가 크지만, 다운로드수 100만짜리만 생각해보더라도 그 중 활성 유저 10%만 잡아도 10만명인데 이 십만명이 사용하는 트래픽 규모만 보더라도 어마어마할거예요. 특히나 요즘은 동영상 시청이 굉장히 많고 사진들도 화질구지 저용량이 아니기 때문에 그냥 생각없이 웹서핑만 하더라도 시간당 수십기가는 그냥 잡수실텐데..  십만여명이 사용한다? 한달 트래픽 비용이 도대체 얼마나 나올지 어질어질 합니다.

 

최근에 클리앙 사태로 회원들이 떨어져나가서 만들어진 새로운 커뮤니티 중 최후의 승자라 할 수 있는 '다모앙'을 지켜보고 있는데 회원수 4월 마지막주 기준으로 4만명이 넘었는데 그 전부터 서버비가 한달에 500~600만원 이야기가 나왔으니.. 다운로드 백만에 활성유저 십만이면 서버 비용이 얼마정도 될까요?

 

적어도 수십만명이 매일 사용할텐데 이 비용을 어떻게 감당할까? 정보 안팔아먹고 어떻게 가능할까?

 

🤑무료 VPN 서버 및 회사 운영 비용 추측

- AI를 통해서 재미로 알아봤습니다. 사실과 다를 수 있어요. - 

 

VPN 회사 운영 비용은 일반 개인인 제가 알 수 없습니다. 그렇기 때문에 VPN 서버 비용을 토대로 AI에게 한번 물어봤습니다.

 

'10만명의 유저'가 '하루에 10GB 사용' 기준 월 비용 입니다.

---

VPN 서비스 제공 업체의 서버 비용은 회사마다 다를 수 있으며, 대부분의 경우 이러한 정보는 공개되지 않습니다. 하지만 클라우드 서비스 제공 업체들의 가격 정책을 통해 대략적인 비용을 추정할 수 있습니다.

 

가정:

• 사용자 수: 100,000명
• 사용자 당 일일 데이터 사용량: 10GB
• AWS EC2 인스턴스 유형: t3.micro (1GB RAM, 2 vCPU)

계산:

• 총 일일 데이터 전송량: 100,000명 × 10GB = 1,000,000GB = 1PB
• AWS EC2 데이터 전송 비용 (아웃바운드):
  • 월 100TB까지: $0.09/GB
  • 다음 400TB까지: $0.085/GB
  • 다음 500TB까지: $0.07/GB
  • 다음 4PB까지: $0.05/GB
• 일일 데이터 전송 비용: (100TB × $0.09/GB) + (400TB × $0.085/GB) + (500TB × $0.07/GB) + (1PB - 1000TB × $0.05/GB) = $94,000/일
• 월간 데이터 전송 비용: $94,000 × 30일 = $2,820,000/월

인스턴스 비용 (t3.micro):

• 시간당 비용: $0.0104 ~ $0.0208
• 하루 비용: $0.2496 ~ $0.4992
• 월간 비용 (744시간): $185.69 ~ $371.39

총 월간 비용:

• 데이터 전송 비용 + 인스턴스 비용 = $2,820,000 + ($185.69 ~ $371.39) = $2,820,185.69 ~ $2,820,371.39

출처:

• AWS EC2 인스턴스 가격: https://aws.amazon.com/ec2/pricing/on-demand/
• AWS 데이터 전송 가격: https://aws.amazon.com/ko/blogs/korea/aws-data-transfer-prices-reduced/

따라서, 10만 명의 사용자가 매일 10GB의 데이터를 사용할 경우, 매월 약 $2,820,185.69 ~ $2,820,371.39의 비용이 발생할 것으로 예상됩니다. 이는 상당히 높은 비용으로, 대규모 사용자 기반을 가진 VPN 서비스 제공 업체는 비용 최적화를 위해 다양한 전략을 취해야 할 것입니다. 예를 들어, 장기 계약을 통한 할인, 예약 인스턴스 사용, 자체 서버 인프라 구축 등의 방안을 고려해 볼 수 있습니다.

---

10hul...  한달 280만 달러-_-; 물론 실제 얼마나 드는지 회사마다 다르고, 계약, 상품 등 모두 제각각이겠지만 여기에 회사를 운영할 때 '인건비', '임대료', '마케팅 비용' 등을 다 따져보면 상당히 많은 고정 비용이 필요한 사업인 것은 틀림없습니다. 그리고 유명한 무료 VPN 회사들 활성 사용자는 10만명 그냥 넘겠죠. 거기다 10기가만 쓰겠어요.. 동영상 보고 뭐 다운로드 받고.. 

 

1년 수백억 사람들에게 공짜로 뿌리기 가능? 진짜 전부 무료로?.. 제 머리로는 도무지 계산이 안나오네요.

 

이 글의 결론은 무료 앱은 이게 왜 무료인지 생각해보자는 겁니다.

 

그러다가 유료 VPN이 얼마나 좋은지 써보게 되었는데..

다음 편으로 Mullvad 사용기로 넘어갑니다.