미국 지디넷, 인터넷 이용자 데이터 매매 허용에 관심 집중된 VPN의 실효성 부정

(지디넷코리아=임민철 기자)지난 3월말 미국 국회가 인터넷 프라이버시 보호 규정 가운데, 사업자들이 사용자의 브라우저 사용 이력(browsing history)과 관련 데이터의 거래를 막았던 조항을 폐지하기로 의결했고, 이달초 미국 대통령이 해당 법안에 서명했다. 쉽게 말해 포르노 사이트를 포함한 콘텐츠 서비스 업체, 인터넷 회선을 제공하는 통신사업자 등이 사용자의 온라인 행동 정보가 담긴 데이터를 사고 팔 수 있게 된 것이다.

일부 인터넷 이용자들 사이에선 기술적인 프라이버시 보호 수단에 관심이 쏠렸다. 특히 가상사설망(VPN) 서비스가 유력 후보로 떠올랐다. VPN서비스는 콘텐츠 서비스 운영자와 통신사업자가 이용자의 인터넷 활동을 추척하고 데이터를 수집할 수 없도록 고안됐기 때문이다.

하지만 이론과 실제는 다른 법이다. 실제로 괜찮은 VPN 서비스가 있지만, 함량 미달인 서비스도 VPN이라는 이름을 달고 제공된다. 단지 프라이버시 보호에 대한 우려 때문에 VPN 서비스를 의존해서는, 실제로 프라이버시 보호라는 목적을 달성할 수 없다는 얘기다.

VPN 기술 자체는 보안상 안전함을 제공하지만, 해당 서비스 업체가 그걸 충실히 구현했느냐, 운영하느냐는 별개다. 이달초 미국 지디넷에 게재된 기사 "인터넷프라이버시 차원에서, VPN은 여러분을 구해 주지 않는다"가 이를 지적했다. 아래에 전문을 번역해 소개한다.

지난주(3월말) 미국 국회는 퇴임 오바마 정부에서 제안한 인터넷프라이버시 보호 규정을 표결함으로써 인터넷 사업자가 여러분의 브라우저 사용 이력을 광고주에게 팔지 못하게 막았던 조항을 무효화했다. 도널드 트럼프 대통령은 이튿날 그 의안에 서명해 법으로 제정했다.

많은 이들은 명백한 해결책으로 보이는 것으로 눈을 돌렸다. VPN이다.

VPN을 쓴다는 아이디어는 충분히 간단하다. 좋은 VPN은 여러분의 인터넷 트래픽을 보호되고 보안상 안전한 터널로 통과시키도록 설계됐다. 여러분이 방문한 웹사이트를 들여다볼 수 있는 브라우저 사용 기록을 인터넷 서비스 사업자로부터 숨겨 준다. (결과적으로 일부 VPN은 다른 나라에 위치한 서버로 여러분의 인터넷 트래픽을 보내, 지역별로 콘텐츠 접근 권한을 구분하는 넷플릭스같은 콘텐츠 서비스 사업자가 여러분을 다른 장소에 있는 것처럼 속이기도 한다.)

하지만 대부분 VPN은 질이 떨어지고 종종 용량이 초과되며 거의 항상 여러분의 인터넷 속도를 크게 떨어뜨린다. 더불어 서비스는 여러분이 VPN을 사용하고 있다는 걸 알아차릴 수 있어 때로는 동작하지 않는다. 장기적으로 VPN 사용에 따른 이점을 없애버림으로써 여러분이 VPN을 쓰지 않게 강요한다.

그리고 아주 많은 경우, 나쁜 VPN은 그게 내세우는만큼 여러분의 프라이버시를 보호해주지 않는다.

다른 서비스보다 나은 것도 더러 있다. 우리는 여기서 여러분에게 최고의 VPN을 알려 주거나 추천하려는 건 아니지만, 선택을 위한 기준 몇 가지는 자매 사이트 씨넷이나 이곳 지디넷에서 볼 수 있다. 예를 들어, 여러분의 트래픽을 숨기는 덴 고객이 곧 제품으로 취급되는 무료 서비스보다 유료 서비스가 일반적으로 더 낫다.

뉴스사이트 마더보드에 따르면 문제를 복합적으로 만드는 건 일부 가짜 VPN서비스가 여러분의 프라이버시를 보호하겠다고 약속했지만 그러지 않고 수익화에 이용하고 있다는 점이다.

여러분이 스스로에게 던질 큰 물음은 이것이다: 이 VPN 서비스 사업자를 믿어야 하나? 대개 그럴 수 없고, 그래서도 안 된다.

왜일까? 적어도 VPN 서비스 사업자가 여러분의 웹 트래픽을 항상 암호화하지 않거나 자체 도메인네임서버를 쓰지 않고 (따라서 여러분의 인터넷 서비스 사업자가 여전히 당신이 접속하는 웹사이트를 들여다볼 수 있고) 일부 업체는 도메인네임서버를 다른나라에 두고 있는데 이는 여러분이 해당 지역의 법률을 따르는 걸 의미하기 때문이다. 보안연구원 트로이 헌트는 최근 블로그를 통해 VPN 서비스 사업자가 여러분의 트래픽을 제어하기 때문에 "그들은 그걸 조사하고, 수정하고, 기록하고, 여러분에게 책임을 지울 수 있는 게 뭔지 아주 잘 알 수 있다"고 지적했다.

보안전문가 브라이언 크렙스 역시 많은 VPN 서비스 사업자가 "고객 활동 관련 기록을 일체 보존하지 않는다고 주장한다"면서 그럼에도 "여러분이 (사용자 약관의) 주의 사항을 읽는 데 시간을 할애한다면 이는 거의 항상 사실이 아니다"고 평했다.

종종 접하게 될 현실은 여러분이 인터넷 서비스 사업자보다 여러분의 데이터를 수집, 감시, 판매하지 않을 것이라고 더 신뢰하는 VPN 서비스에 돈을 지불한다는 점이다.

스위프트온시큐리티(Swift on Security)는 최근 이렇게 말했다. (주: 스위프트온시큐리티는 트위터에서 가수 테일러스위프트를 패러디하는 사이버보안 정보 전문가의 계정이다.)

"사람들이 계속 내게 묻는데 크렙스의 VPN 관련 글이 쐐기를 박았다: (VPN을 쓰더라도) 실제로 바뀌는 건 없으며 대부분 VPN은 가짜라는 점. VPN은 "더 안전할지도 모르는 것" 대 "아무것도 아닌 것"이 아니다. 이건 "여러분이 누군가에게 돈을 지불하면서 여러분이 하는 모든 걸 보게 해 주는 것" 대 "해커 기분을 못 느끼는 것"이다. 여러분이 만일 여러분에게 VPN이 필요한지 모르겠으면, 필요하지 않다고 여겨라."

좋은 VPN 서비스 사업자가 존재하지 않는다는 얘긴 아니지만, 여러분은 여러분의 브라우저 사용 이력과 다른 데이터를 보호하려는 이유를 저울질해봐야 한다.

(프라이버시를 보호해야 하는) 압박이 밀려올 때는 VPN을 쓰는 것보다 여러분의 브라우저 사용 이력을 보호하는 더 나은 방법이 있다.

그리고 완벽한 건 없고, 웹은 절대로 완전히 보안상 안전할 수 없을 것이기에 (이제껏 그래왔듯) 여러분은 'HTTPS 에브리웨어'같은 플러그인을 활용하는 게 낫다. 이는 보안상 안전하지 않은 페이지 위에서 가능하면 안전한 페이지를 쓰게 해 준다.

아마존, 구글, 페이스북, 트위터, 그리고 폰허브와 유폰같은 인기 온라인 성인 사이트에서조차 HTTPS가 기본으로 제공된다. 이는 (도메인은 아니지만) 해당 페이지와 콘텐츠를 인터넷 브라우저 사용 이력 감시자로부터 감춰 준다.

다른 방법이 모두 실패하더라도, 여러분의 인터넷 서비스 사업자는 당분간 여러분의 활동을 익명 네트워크 토르(Tor)에서 감시할 수 없을 것이다.

평범한 인터넷 이용자가 광범위하게 VPN서비스를 채택하는 일은 거의 일어나지 않을 거고, 그래서도 안 된다. 많은 이들은 본질적으로 보안을 위해 속도저하를 감수하기보단 그런 요점을 무효화하는 편의성, 쉬움, 빠른 속도를 선택한다.

의회가 폐지에 투표한 인터넷 프라이버시 보호 규정이 발효됨에 따라 시작된 이 얘기에서 던져야 할 질문은 "내 인터넷 사용 이력을 어떻게 보호할 수 있느냐"가 아니라, "이 난장판에서 어떻게 벗어나야 하느냐"다.

임민철 기자(imc@zdnet.co.kr)