크롬에서 Hola VPN을 사용하는 것이 위험한 이유
2021년 9월, 구글은 Hola VPN 확장 프로그램에 맬웨어가 포함되었음을 발견, 크롬 웹 스토어에서 삭제했습니다.
Hola는 크롬 확장 프로그램에 맬웨어가 포함되어 있다는 구글 측의 제기을 “명백한 거짓“이라 주장하며 강력하게 부인했습니다.
현재 Hola VPN 확장 프로그램을 구글 웹 스토어에 다시 등록된 상태이지만, 저희가 직접 시행한 테스트 결과에선 여전히 어떠한 기기나 브라우저에서도 사용하기에 안전하지 않은 것으로 나타났습니다.
Hola VPN 소프트웨어를 설치하는 것만으로도 사용자는 개인 정보 및 보안을 위협받을 수 있습니다.
VPN은 사용자가 온라인에서 하는 거의 모든 활동을 기록하고 보안 침해 가능성 및 취약점에 대한 기록을 보유합니다. 또한 이 무료 VPN은 웹 트래픽이 암호화하지 않고 있었습니다.
따라서 구글 크롬을 비롯한 모든 브라우저나 기기에서 Hola VPN을 사용하지 않는 것을 권장합니다.
이 섹션에서는 Hola VPN이 크롬은 물론 일반적으로 사용하기에 안전하지 않은 이유에 관해 자세히 다뤄보겠습니다.
크롬에서 Hola VPN을 삭제하는 방법 또는 크롬에서 안전하게 사용할 수 있는 대체 VPN을 알아보려면 관련 섹션으로 바로 이동하실 수 있습니다.
1. 과도하게 침입적인 로깅 정책
Hola는 지금까지 테스트해 본 VPN 중 가장 개인 정보 보호에 반하는 로깅 정책을 펼치고 있습니다.
이 업체는 무료 사용자에 대한 정보를 기록 및 저장하는 것을 공개적으로 인정하고 있으며 대표적인 예는 다음과 같습니다.
- 방문 웹사이트
- 웹사이트 방문 날짜 및 시간
- 웹사이트에서 보낸 시간
- 생년월일, 프로필 사진 및 친구 목록(소셜 네트워크를 통해 등록하거나 로그인한 경우)
- 사용자의 공개 IP 주소
VPN 서비스가 사용자로부터 수집하기에는 상당히 개인적인 데이터입니다. 특히 보관 기간을 “필요한 기간만큼”으로 규정한다는 데에서 사용자 측의 권리를 위축시킵니다. 이러한 조건에서 VPN 업체는 사용자 데이터를 제삼자와 공유하고 있을 가능성이 높습니다.
설마 하는 생각으로 간과할 수 없는 것이 사실 그러한 전례가 있었습니다. Touch VPN의 크롬 확장 프로그램은 사용자 데이터를 기록할 뿐만 아니라 광고주 및 사법 기관과 공유한 것으로 밝혀졌던 것입니다.
이처럼 온라인 프라이버시를 존중하지 않는 VPN은 굳이 사용할 필요가 없습니다. 그리고 이것이 저희가 독자들에게 Hola VPN을 사용 기기에서 삭제하라고 조언하는 주된 이유 중 하나입니다.
2. IP 주소 및 대역폭 공유
Hola 무료 VPN은 일반 VPN과 작동하는 방식이 다릅니다.
일반적으로 VPN 서비스는 전 세계에 위치한 서버 네트워크를 소유하거나 임대합니다. 그래서 서비스 이용자가 VPN을 연결하면 트래픽이 이러한 사설 서버 중 하나를 통해 라우팅 됩니다. 그래서 방문하는 웹사이트 측에선 사용자의 실제 위치가 아닌 VPN 서버 위치에서 요청한 것으로 보게 됩니다.
이와 다르게 Hola VPN은 P2P(Peer-to-Peer) 네트워크를 사용합니다. 즉, 다른 Hola 사용자의 장치를 통해 인터넷 연결을 라우팅하는 것입니다. 트래픽은 다른 사용자의 IP 주소를 사용하여 원래 사용자 위치에서 접근할 수 없지만 다른 사용자의 위치에서 접근 가능한 웹 사이트에 액세스합니다.
P2P 아키텍처를 통해 Hola는 자체적으로 서버 네트워크를 소유하고 운영할 필요가 없고 운영 비용을 크게 줄일 수 있습니다.
그러나 이는 사용자의 개인 정보 보호 및 보안을 위협합니다. Hola 무료 VPN에 가입하고 크롬에서 해당 확장 프로그램을 사용하면 사용자는 P2P 네트워크에 가입하는 데 동의하는 것으로 간주됩니다. 즉, 여러분의 IP 주소를 다른 Hola 회원이 온라인 활동에 사용하는 데 동의하게 되는 것입니다. 이렇게 되면 익명의 누군가가 여러분의 IP 주소로 온라인에서 불법적인 행위를 할 수 있으며 이를 역추적 할 시 여러분의 IP 주소나 장치로 판명될 될 수 있습니다.
네트워크에서 피어가 된다는 것은 Hola에게 사용자 기기의 대역폭을 사용하도록 허용한다는 의미하기도 합니다. 이는 보안 면에서 위험할 뿐만 아니라 월별 데이터 한도가 넉넉지 않은 경우 인터넷 연결 속도를 느리게 하고 추가 비용을 발생시킬 수 있습니다.
Hola 측에선 기기를 충전하는 중이거나 사용하지 않을 때만 대역폭을 빌려 하루 최대 사용량은 휴대폰의 경우 3MB, 데스크톱은 100MB에 불과하다고 주장하고 있으나, 여전히 위와 같은 우려를 불식시킬 수 없습니다.
참고: Hola의 FAQ 섹션에는 크롬 확장 프로그램은 “표준 VPN 서비스와 같이 작동하며 Hola VPN P2P 네트워크의 일부가 아닙니다”라고 명시되어 있습니다.
이 주장을 입증할 구체적인 자료는 없지만 만약 이 주장이 사실이라면 Hola VPN 크롬 확장 프로그램이 Hola의 P2P 아키텍처와 관련된 위험을 가졌을 가능성은 적습니다. 하지만 사용자에게 침입적 로깅 정책을 적용한 것은 부인할 수 없습니다.
3. Hola의 신뢰할 수 없고 논란이 되는 전적
Hola VPN은 한 사용자 장치의 유휴 리소스를 다른 사용자가 접근해 사용할 수 있도록 하기 때문에 회사의 투명성, 보안 및 사용자 개인 정보 보호의 취약성을 거론하는 문제와 관련해 해당 소프트웨어가 반복해 거론되었습니다.
- 루미나티(Luminati): 2014년, Hola는 자매 회사인 루미나티를 통해 VPN의 P2P 네트워크에 대한 액세스를 판매하는 것으로 밝혀졌습니다. 즉, 다른 Hola 무료 VPN 사용자 외에도 제삼자가 여러분의 IP 주소와 대역폭을 사용할 수 있는 것입니다.
루미나티 고객은 기가바이트당 $20만 내면 Hola 사용자의 기기에 접근할 수 있는 권한을 구매할 수 있습니다. 참고로, 루미나티는 최근 ‘브라이트 데이터(Bright Data)’로 브랜드명을 변경했지만, 여전히 동일한 비즈니스 모델을 바탕으로 운영하고 있습니다. - 8chan 봇넷 공격: 루미나티의 한 고객이 수천 명의 Hola 무료 VPN 사용자들의 유휴 리소스를 사용하여 8chan에 DDoS(Distributed Denial of Service) 공격한 사건이 있었고 이로 인해 Hola와 루미나티의 연계가 확실히 밝혀지게 되었습니다. 이 사건 이후, 한 보안 연구팀은 ‘아디오스, 홀라!(Adios, Hola!)‘를 설립하였고, Hola VPN을 ‘보안이 허술한 봇넷’이라고 칭하며 모든 사용자에게 해당 VPN을 제거할 것을 권고했습니다.
- 맬웨어: 아디오스 보안 연구팀은 또한 해커들이 Hola의 P2P 구조를 통해 해당 VPN 사용자의 컴퓨터에서 침입하여 원하는 코드를 실행할 수 있다는 것을 발견했습니다. 이를 사용하여 스파이웨어를 설치하거나 개인 정보를 도용, 또는 기기를 악성코드에 감염시킬 수 있습니다.
- 크롬 확장 프로그램 해킹 피해: 2018년엔 Hola VPN 크롬 확장 프로그램이 무려 5시간 동안 해킹에 노출된 사건이 있었습니다. 이때 해커들은 암호화폐 관리 플랫폼인 마이이더월렛을 사용하는 Hola 사용자로부터 엄청난 금액의 암호 화폐를 빼돌렸습니다. 한 개인으로부터 최대 $12.000의 손실이 발생했다고 보고됩니다.
전문가 팁: 구글이 Hola VPN 크롬 확장 프로그램을 차단한 이후 많은 애드온이 APK와 크랙 버전으로 만들어졌습니다. 앞서 설명된 이유뿐만 아니라, 출처를 알 수 없는 APK 파일 및 크랙된 소프트웨어에는 악성코드가 포함되어 있을 수 있기 때문에 이러한 프로그램은 최대한 다운로드하지 않는 것이 좋습니다.
4. 토렌트 및 암호화를 지원하지 않음
앞서 설명된 취약점 즉, 개인 정보 보호, 보안, 투명성 문제 외에도 Hola 무료 VPN은 VPN 기능적 측면에서도 그다지 매력적인 서비스가 아닙니다.
Hola VPN 테스트 결과 속도는 다소 빠르지만, 토렌트 및 P2P 트래픽을 차단하는 것으로 나타났습니다.
이 점은 Hola 웹 사이트의 FAQ에도 확인할 수 있는데, Hola 네트워크에선 토렌트 클라이언트를 허용하지 않는다고 명시되어 있습니다. 게다가 중국을 비롯한 인터넷 검열이 엄격한 국가에서는 해당 VPN이 작동하지 않습니다.
가장 염려되는 부분은 Hola 무료 VPN은 데이터를 전혀 암호화하지 않는다는 것입니다. 사용자의 트래픽이 보안이 되지 않는 상태로 네트워크의 다른 노드로 전송됩니다. 또한 킬 스위치, 데이터 유출 방지, 분할 터널링 기능을 지원하지 않습니다.
Hola 프리미엄 VPN:
Hola의 프리미엄 VPN 구독으로 업그레이드하면 사용자 IP가 Hola P2P 네트워크에서 출구 노드(Exit Node)가 되는 것을 방지할 수 있습니다. 구독료는 3년 약정의 경우 월 ₩4,120이며 월 단위로 연장할 경우 월 ₩20,658입니다.
Hola의 프리미엄 서비스는 다른 VPN 서비스의 베이식 수준과 비슷하며 AES-256 암호화와 IKEv2 프로토콜 및 킬 스위치를 사용합니다. 그런데도 Hola의 침입적 로깅 정책이 그대로 적용되므로 사용 시 위험을 어느 정도 감수해야 하며 이는 프리미엄 서비스에서 기대할 만한 부분은 절대 아닙니다.
Hola VPN 프리미엄보다 저렴하지만 더 나은 기능을 제공하고 사용자의 개인정보를 중시하며 신뢰할 수 있는 회사에서 운영되는 VPN이 있습니다.