TunnelBear의 디자인은 재미있지만, 보안에 있어서는 진지합니다. TunnelBear은 전반적으로 안전한 VPN이라고 할 수 있습니다.
무료 버전과 프리미엄 버전 모두 윈도우, macOS, iOS, 안드로이드 앱에 AES-256 암호화를 사용합니다.
OpenVPN 프로토콜을 기본값으로 사용하며, iOS와 윈도우에서는 와이어가드, IPSec, IKEv2 프로토콜도 사용할 수 있습니다.
와이어가드와 OpenVPN은 둘 다 안전하고 신뢰할 수 있는 VPN 프로토콜이지만, 현재 업계 표준은 와이어가드이며 Top10VPN도 와이어가드 사용을 선호합니다.
HTML5 위치 정보 유출이 우려됩니다
IP와 DNS 유출은 사용자의 IP 주소, 물리적 위치, 브라우징 활동과 같은 개인 정보를 노출시킬 수 있습니다.
Top10VPN의 IP 및 DNS 유출 테스트 도구를 사용하여 테스트한 결과, TunnelBear는 IPv4/IPv6 누출 테스트, DNS 누출 테스트, WebRTC 테스트를 통과했지만 위치 정보를 숨기는데 실패했습니다.
TunnelBear의 웹 브라우저 확장 프로그램을 사용할 때도 HTML5 위치 정보가 노출되었으며, 이는 매우 실망스러운 결과입니다. 모든 최상위 VPN은 브라우저 확장 프로그램 및 클라이언트에서 이를 방지하기 위한 누출 방지 기능 또는 위치 정보 스푸핑 기능을 갖추고 있어야 합니다.
TunnelBear는 위치 세부정보를 유출해서는 안됩니다.
HTML5 위치 정보 유출은 매우 걱정되는 점이지만, IP 주소나 DNS 요청 유출만큼 심각한 문제는 아닙니다. 최악의 경우, 더 많은 스트리밍 서비스에서 차단되거나 웹 검열 지역에서 성능이 떨어질 수 있습니다.
결국, 모든 종류의 데이터 누출은 TunnelBear가 최상위 VPN이 되는데 부적격하게 만듭니다.
하지만, 웹 사이트가 사용자의 HTML5 위치 정보 수집을 할 수 없도록 권한을 거부할 수 있기 때문에 완전히 복구할 수는 있습니다.
전문가의 팁: HTML5 위치 정보는 엄밀히 권한 기반입니다. 즉, 각 웹사이트에서 팝업 알림을 통해 이 정보를 요청해야 하기 때문에 사용자가 그 권한을 쉽게 거부할 수 있습니다. 확실히 권한을 거부하면 TunnelBear가 HTML5 위치 정보를 누출하는 것을 방지할 수 있습니다.
TunnelBear는 자체 베어메탈 서버를 보유하고 있습니다
TunnelBear의 모든 서버는 가상이 아니라 물리적(베어메탈) 서버입니다. 물리적 서버는 실제로 해당 지역에 위치해있습니다.
또한, TunnelBear는 자체 DNS 서버를 비롯한 전체 서버 네트워크를 소유하고 있으므로 서버 유지 관리에 또 다른 제3자가 관여하지 않습니다.
서버 인프라를 직접 제어하는 것은 보안 사고를 방지하는 데 큰 역할을 합니다. NordVPN의 해킹 사건은 제3자 데이터 센터 사용이 중대한 위험을 초래할 수 있다는 것을 입증했습니다.
민주주의 및 기술 센터의 보고서에 따르면, TunnelBear의 각 서버는 완전한 디스크 암호화, 악성 코드 스캔, 침입 방지 소프트웨어에 의해 보호됩니다.
많은 VPN들이 전체 서버 네트워크를 직접 소유 및 관리하거나 실제 위치에 기반한 전체 베어 메탈 서버 네트워크를 보유하고 있는 것이 아니기 때문에 TunnelBear는 다른 중간급 VPN과 비교했을 때 보안 면에서 두각을 보입니다.
효과적으로 작동하는 VigilantBear (킬 스위치)
TunnelBear의 VPN 킬 스위치는 “VigilantBear”라고 불립니다. 킬 스위치는 VPN 연결이 끊어질 때 웹 트래픽을 차단하여 실제 IP 주소가 노출되는 것을 방지하는 기능으로, 최상위 VPN이라면 필수적으로 가지고 있어야 하는 기능입니다.
macOS에서 TunnelBear는 킬 스위치 테스트를 통과했습니다.
VigilantBear는 윈도우, Mac, 안드로이드 버전에서 제공되지만 iOS 앱에서는 지원되지 않습니다.
이것은 애플의 엄격한 지침으로 인한 것이기 때문에 일반적이라고 볼 수 있지만, PIA나 NordVPN 같이 iOS에서도 킬 스위치를 제공하는 VPN도 있습니다. 따라서, 애플의 지침에도 불구하고 지원이 불가능한 부분이 아니기 때문에 이 부분은 다소 실망스럽습니다.
추가 보안 기능
TunnelBear의 유용한 기능 중 하나는 GhostBear 프로토콜입니다. 이 프로토콜은 VPN 트래픽을 ‘일반적인’ HTTPS 트래픽으로 가장하도록 설계되어 있어, 정부, 기업, ISP가 VPN 연결을 감지하고 차단하기가 더 어렵습니다. 하지만, 이 기능은 트래픽 속도를 느리게 만들 가능성이 있습니다.
TunnelBear의 추가 기능은 사용하기 쉽습니다.
안드로이드용 RememBear (암호 관리자)와 SplitBear (분할 터널링)도 제공됩니다.
정기적인 감사를 통해 보안 유지
TunnelBear는 투명성과 사용자 안전에 대한 약속을 증명하기 위해 여러 독립 보안 감사를 거쳤습니다.
TunnelBear는 2017년 이후 매년 독립적인 보안 감사를 수행하기 위해 사이버 보안 회사 Cure53을 고용했습니다. 감사에서는 TunnelBear의 앱, 코드, 인프라를 조사합니다.
2019년, Cure53는 TunnelBear에서 12개의 심각한 취약점을 발견했으며, TunnelBear가 이러한 취약점들을 개선할 수 있도록 지원했습니다. 이후의 감사에서 결국, TunnelBear는 “경쟁 VPN 중 보안 측면의 명백한 선두주자”라는 평가를 받을 수 있었습니다.
2020년 감사에서는 “2개의 낮은 수준, 2개의 중간 수준, 1개의 높은 위험 수준의 취약점”이 발견되었습니다. TunnelBear는 고위험 취약점을 즉시 해결했다고 주장했습니다.
2021년, Cure53는 4개의 낮은 수준, 9개의 중간 수준, 3개의 높은 위험 수준의 취약점을 발견했습니다. 이전 해보다 훨씬 더 많은 취약점이 발견된 것입니다.
중요한 점은 심각한 취약성이 TunnelBear의 관리자 플랫폼에서 발견되었다는 것입니다. 이러한 취약점을 악용하면 공격자가 관리자 계정을 탈취하여 “새 관리자를 생성하고 TunnelBear와 PolarBear 관리 포털에 대한 완전한 액세스”를 얻을 수 있습니다.
또한, Cure53는 2018년에 이미 보고한 적이 있는 낮은 위험 취약점 1개를 2021년에 또 발견했습니다.
정기적인 보안 감사를 진행하고 대부분의 문제를 신속하게 해결하는 TunnelBear의 노력은 높이 평가하지만, 매년 더 많은, 심각한, 높은 위험 및 중간 위험 수준의 취약점이 발견된다는 점이 걱정스럽습니다.
기대했던 추가 기능
TunnelBear는 우리가 일반적으로 프리미엄 VPN 서비스에 기대하는 몇 가지 보안 기능을 갖추고 있지 않습니다. 향후 TunnelBear가 추가했으면 하는 기능들은 다음과 같습니다:
- iOS에서의 킬 스위치
- 효과적인 누출 방지 기능 및 위치 데이터 유출 해결
- IP 주소 차단과 검색 엔진에서의 귀찮은 CAPTCHA를 방지하기 위한 전용 또는 고정 IP 주소
- VPN 연결 시 보안 및 개인정보 보호를 향상시키기 위한 이중 또는 멀티홉 VPN 서버
- 투명성을 높이고 여러 사람들이 TunnelBear의 보안을 분석할 수 있도록 오픈 소스 소프트웨어 코드 제공
- 스트리밍 서비스의 지역 차단을 우회하기 위한 스마트 DNS