Top10VPN은 모든 VPN을 독립적으로 리뷰하지만 Top10VPN을 통해 사용자가 VPN 요금을 결제하는 경우 수수료를 받을 수도 있습니다.

VPN 로깅 정책 명시


Callum Tennent는 VPN 서비스를 테스트 및 리뷰 프로세스를 총괄합니다. IAPP 회원으로, Forbes와 Internet Society에 VPN에 대한 칼럼을 게재하기도 했습니다.

JP Jones에 의해 검토됨

VPN이 수집하는 데이터 유형을 이해하는 것은 개인정보 보호에 있어 중요합니다. VPN 로그에 대한 종합적인 가이드를 참고하여 신뢰할 수 있는 VPN을 찾으세요.

VPN을 연결하여 인터넷을 사용할 시, 중요한 정보에 대해 VPN 공급자를 신뢰할 수 있어야 합니다.

로깅 정책에 따라 VPN은 IP 주소, 선택한 서버 위치, 방문하는 웹사이트까지도 모니터링하고 저장할 수 있습니다.

간단히 말하면, VPN이 필요한 경우 수집하고 공유할 수 있는 수십 개의 민감한 정보에 대한 로그가 존재합니다.

따라서, 디지털 발자국(digital footprint)이 걱정된다면 VPN 로그는 중요한 문제입니다.

Top10VPN이 가장 인기 있는 VPN 70개의 로깅 정책을 철저히 조사했습니다.

놀랍게도 대부분의 VPN은 서비스 개선 또는 문제 해결을 근거로 다음과 같은 데이터들 기록하고 있었습니다:

  • 연결에 대한 타임스탬프 기록 (39%)
  • 원래 IP 주소 저장 (26%)
  • 브라우징 활동 데이터 기록 (10%)
  • 서버 IP 주소 기록 (6%)

VPN이 어떤 데이터를 수집하는지 최고의 노로그 VPN에 대한 가이드에서 확인하세요.

Top10VPN의 연구 결과, 일부 인기 있는 VPN이 사용자의 웹 활동을 수집하고 이 정보를 제3자와 공유한다는 사실이 밝혀졌습니다.

최고의 VPN 서비스는 사용자의 개인정보 보호와 보안을 위해 최선을 다해 노력하며, 수집하는 데이터 유형과 해당 데이터가 필요한 이유 및 저장 기간에 대해 투명하게 공개합니다.

하지만, 슬프게도 이렇게 투명하게 운영하는 경우는 드뭅니다. 

인기 있는 VPN의 로깅 정책은 대부분 모호하고 복잡한 편입니다.

많은 VPN 서비스들이 최소한의 데이터만 수집하거나 데이터를 수집하지 않는다고 거짓으로 주장합니다. 또는, 그들의 로깅 정책에 해당하는 데이터에 대해 의도적으로 애매하게 명시하고 있습니다.

VPN 웹사이트의 마케팅 문구는 실제로 개인정보 보호 정책을 거의 반영하지 않아 혼란을 가중시킵니다. 시중에는 약 300개 이상의 VPN이 있는데, 이 중에서 어떤 것을 신뢰해야 할지 판단하기 어렵습니다.

신뢰할 수 있는 VPN인지 어떻게 알 수 있을까요? 

이번 가이드에서는 다양한 유형의 VPN 로그, VPN이 로그를 보관하는 이유, 개인정보 보호를 위해 우리가 할 수 있는 방법을 정리해보았습니다.

VPN은 어떤 유형의 데이터를 기록하나요?

VPN이 기록할 수 있는 데이터에는 작업 로그, 연결 로그, 집계 로그 3가지 유형이 있습니다. 개인정보를 효과적으로 보호하려면 이러한 데이터 유형을 이해하는 것이 가장 중요합니다.

1작업 로그 (Activity Logs)

웹 활동 데이터 수집은 가장 침습적인 로깅 유형입니다. 개인정보 보호나 익명성 보장과 같은 VPN의 장점을 무색하게 만듭니다.

‘사용 로그’라고도 불리며, 온라인 활동과 명백히 관련된 모든 데이터를 의미합니다.

작업 로그에 해당하는 데이터는 다음과 같습니다:

  • 브라우징 기록
  • DNS 요청
  • 방문한 URL
  • 메타데이터 사용

Hola VPN의 개인정보 보호 정책은 작업 로그 수집을 잘 보여주는 사례입니다:

Hola VPN의 개인정보 보호 정책

Hola VPN의 개인정보 보호 정책

Hola VPN과 같은 무료 VPN은 웹 활동 데이터를 수집하는 일반적인 원흉입니다. 그렇게 수집된 데이터는 주로 광고 목적으로 제3자에게 공유하거나 판매하여 수익을 창출합니다.

유료로 운영하는 일부 ‘노로그’ VPN은 의심스러운 활동이 감지되거나 법적 의무에 해당될 때에 한하여 사용자 활동을 모니터링합니다. 그 외의 다른 VPN은 사용자 활동을 실시간으로 기록한 다음 VPN 세션이 끝나면 데이터를 삭제합니다.

예를 들어, SkyVPN 리뷰에서 SkyVPN이 실제 IP 주소 및 위치 정보와 같은 개인 식별 정보를 기록한다는 것이 밝혀졌습니다:

SkyVPN의 개인정보 보호 정책

SkyVPN의 개인정보 보호 정책

이런 유형의 작업 로그 수집은 데이터를 아주 빨리 삭제하기 때문에 큰 문제가 되지는 않습니다. 그래도 가능하면 작업 로그를 수집하지 않는 VPN을 사용하는 것이 가장 좋습니다.

Hide.me와 같은 VPN은 네트워크 구성 때문에 기술적으로 작업 로그를 수집할 수 없는 시스템입니다. 개인정보 보호 관점에서 본다면 이런 VPN이 가장 좋은 선택지라고 할 수 있습니다.

수집한 웹 활동 데이터를 저장하는 VPN은 무조건 피해야 한다는 것은 말할 필요도 없습니다. 작업 로그가 걱정된다면 웹 활동 데이터를 기록하는 VPN에 대한 글을 읽어보세요.

2연결 로그 (Connection Logs)

연결 로그에 해당하는 데이터는 다음과 같습니다:

  • 대역폭 사용
  • 연결 날짜 및 시간 
  • 실제 IP 주소
  • VPN 서버 IP 주소

연결 로그는 서버 수준(예: 총 서버 대역폭 사용량) 또는 사용자 수준(예: 원래 IP 주소)에서 수집될 수 있습니다.

일반적으로 이러한 데이터는 네트워크 성능을 최적화하고 고객 쿼리 문제를 해결하는데 사용됩니다.

서버 수준에서의 연결 로그는 모든 유형의 로그 수집이 문제가 되는 것은 아님을 보여주는 좋은 예입니다. VPN이 데이터를 전혀 기록하지 않고 성능을 유지하는 것은 사실상 불가능하기 때문입니다.

사실, 적절한 선에서 식별할 수 없는 데이터를 모니터링하고 저장하는 것은 VPN 성능을 최고 수준으로 높이는 데 도움이 됩니다.

그러나, 올바르지 않은 연결 로그 수집은 VPN이 사용자를 식별하는 데 사용될 수 있으며, 이는 프라이버시에 민감한 사용자에게 중요한 문제가 될 수 있습니다.

현재 사용하는 VPN이 수집하고 있는 연결 데이터가 걱정된다면, 이 글을 계속 읽고 허용될 수 없는 로그 수집에는 어떤 유형이 있는지 정확히 알아보세요.

다음은 ThunderVPN 로깅 정책에 명시되어 있는 사용자 수준 연결 로그에 대한 내용입니다:

Thunder VPN의 개인정보 보호 정책

Thunder VPN의 개인정보 보호 정책

많은 VPN 공급 업체들이 이러한 데이터 수집이 단지 “소비자에게 최고의 경험을 제공”하기 위해, 또는 “고객 서비스를 개선”하기 위해서라고 주장합니다. 하지만, 우리는 VPN 네트워크 성능을 높이기 위해서 이 정도 수준의 데이터가 필요하지 않다는 것을 알고 있습니다.

3집계 로그 (Aggregated Logs)

인기 많은 VPN 중에서도 집계 로그를 수집하는 VPN이 있습니다.  이것은 VPN이 익명으로 추정되고 특정 사용자와 관련 시킬 수 없는 정보를 수집하고 있음을 의미합니다.

VPN은 사용자가 방문하는 웹사이트, 사용하는 대역폭, 서버에 연결한 날짜와 시간에 대한 데이터를 수집할 수 있습니다. 그 다음, 이러한 데이터에서 식별 요소를 제거한 후 더 큰 데이터 베이스에 추가합니다.

일부 VPN은 실제로 집계된 로그를 저장하면서도, 대외적으로는 로그를 저장하지 않는 척 한다는 것에 주의하기 바랍니다. Anchorfree의 개인정보 보호 정책은 어떤 점을 주의해야 하는지 보여주는 좋은 사례입니다:

Anchorfree의 개인정보 보호 정책

Anchorfree의 개인정보 보호 정책

결국, 마케팅 팀에서 당신을 현혹시키기 위해 언급하는 집계 로그나 익명 데이터는 마법의 해결책이 아닌 것입니다.

집계되는 데이터의 정확한 유형과 익명화 프로세스의 효율성에 따라 이러한 유형의 로깅이 허용 가능한지 결정됩니다. 그저 VPN이 당신의 데이터를 익명화시키고 있다고 믿어야 하는 것입니다.

무작정 믿는 것이 어렵다면, 완전히 노로그 정책을 적용하는 VPN을 사용하는 것이 좋습니다.

노로그 VPN이란?

진정한 노로그 VPN은 개인을  식별하는 데 사용될 수 있는 활동이나 연결 데이터를 수집하거나 저장하지 않습니다. 가장 중요한 것은 VPN 터널을 통해 전송된 정보는 어떤 경우에도 수집하거나 보관하지 않아야 한다는 것입니다.

그렇게 되면, VPN 네트워크에 대한 연결이나 웹 활동이 개인의 신원과 연관될 수 없습니다. 모든 사용자는 비공개이고 익명이며 VPN 공급자에게도 알려지지 않습니다.

노로그 VPN이 수집할 수 있는 유일한 식별 정보는 이메일 주소(계정 등록을 위한)와 결제 정보(환불을 원하는 경우) 입니다.

참고: ExpressVPN과 같은 일부 VPN 서비스에서는 식별할 수 있는 결제 프로세스를 피하기 위해 비트코인으로 결제할 수 있습니다. MullvadVPN은 현금 결제도 가능합니다.

노로그 VPN에는 사용자 데이터가 아예 존재하지 않기 때문에 당국이나 제3자가 데이터를 제공하도록 강요할 수 없습니다.

강력한 로깅 정책을 적용하면, 안전하지 않은 VPN 관할권 문제를 해결할 수 있다는 뜻이기도 합니다.

“노로그”는 데이터를 전혀 보관하지 않는다는 의미가 아니라는 점에 유의해야 합니다. 강력한 네트워크를 유지하거나 장치에 제한을 두는 것과 동시에 진정한 “제로 로깅”을 구현하는 것은 사실상 불가능합니다.

대부분의 VPN은 집계 서버 로딩 정보(서버당 사용되는 사용자 수 또는 대역폭)와 같이 매우 기본적인 데이터를 수집하고 보관합니다. 식별 정보가 전혀 포함되지 않는 최소한의 로깅 방식이기 때문에 ​​노로그 VPN으로 간주되는 것입니다.

전문가 조언: 개인정보 보호를 신뢰할 수 있는 VPN을 찾는 분들을 위해 Top10VPN에서 제3자에 의해 검증된 노로그 VPN 목록을 만들었습니다.

허용되는 로그 수집 유형은 무엇인가요?

시중에는 개인을 식별하는 데 사용할 수 없는 연결 데이터만을 수집하는 좋은 VPN도 있습니다. 개인정보 보호를 약속하는 VPN 서비스가 다음 정보를 수집하는 것은 합법이며 정당합니다:

  • 집계된 대역폭 사용
  • 집계된 연결 로그
  • VPN 서버 위치
  • 서버 로딩 데이터
  • 원래 IP 주소의 서브넷*

*사용자의 IP 주소 블록으로 ISP를 식별하는 데는 사용될 수 있지만 신원을 식별하지는 못합니다. 

 

허용될 수 없는 로그 수집 유형에는 어떤 것이 있나요?

가상 사설 네트워크는 무엇보다도 개인정보 보호를 위한 역할을 하는 것이 중요합니다. 그렇기 때문에, 어떤 상황에서도 VPN이 수집해서는 안되는 데이터 유형이 있습니다.

다음에 해당하는 데이터를 수집하는 VPN는 사용을 피하세요:

  • 브라우징 활동
  • 원래 IP 주소
  • 할당된 VPN 서버의 IP 주소 
  • 개별 타임스탬프*
  • 개별 대역폭 사용*
  • DNS 쿼리

*이러한 유형의 데이터는 다른 세부적인 연결 데이터와 함께 기록된 경우에만 위험합니다.

작업 로그를 수집하는 VPN

다음 VPN 서비스는 검색 기록활동 데이터를 기록합니다. 이러한 유형은 가장 나쁜 형태의 로깅이며 무슨 수를 써서라도 피해야 합니다.

아래의 표는 작업 로그를 저장하는 VPN의 전체 목록이 아니기 때문에, 사용하려는 VPN의 데이터 수집 및 활용 정책을 반드시 직접 확인하시기 바랍니다.

VPN 이름 수집 데이터 저장 기간
Hola 무료 VPN
  • 방문한 URL
  • 웹 활동 시간
  • 액세스 날짜 및 시간
  • 원래 IP 주소
  • 브라우저 유형
“필요한 만큼”
McAfee Safe Connect
  • 방문한 URL
  • 웹 활동 시간
  • 연결 타임스탬프
  • 원래 IP 주소
  • 고유 장치 ID
  • 브라우저 유형
  • 위치 정보
  • 파일 데이터 (이메일, 첨부 파일 등)
“필요한 만큼”
Psiphon
  • 방문한 도메인
  • 사용된 VPN 프로토콜
  • VPN 세션 시간
  • 대역폭 사용
  • 위치 정보
  • ISP
60일
VPN99
  • 방문한 URL
  • 장치 고유 ID
  • 원래 IP 주소
  • 연결 타임스탬프
  • OS 버전
  • 브라우저 유형
5년

*애플리케이션 내 ‘운영 오류 신고’ 기능을 통해 자동으로 수집된 자료입니다.

VPN이 로그를 수집하는 이유는 무엇인가요?

VPN 공급자가 기본적인 로그를 일부 수집할 수 있는 타당한 이유들도 존재합니다. 다음 사항들이 그에 해당됩니다:

1대역폭 제한

무료 또는 ‘프리미엄(freemium)’ VPN은 기간 내에 전송할 수 있는 데이터 양에 종종 제한을 둡니다. 특정 계정에서 사용하는 대역폭의 양을 제한하려면 어느 정도의 데이터 수집이 필요한 것은 분명한 사실입니다.

이러한 유형의 로깅은 일반적으로 문제가 되지는 않습니다. 하지만, ‘제로 로그’라고 주장하면서 대역폭에 제한을 둔다면, 해당 VPN이 완벽한 제로 로그 정책를 적용하는 것은 아닐 수 있습니다.

2장치 제한

계정당 장치 수 제한은 로그를 저장하게 되는 가장 일반적인 이유 중 하나입니다. 장치 수를 제한하려면 적어도 각 VPN 세션 동안 어떤 형태로든 임시 로그를 수집해야 합니다.

장치 제한은 VPN마다 다르게 적용됩니다. 어떤 개인정보 보호 정책에서는 계정당 동시 연결 수를 기록하는 것에 대해 투명하게 공개합니다. 반면, 일부 ‘노로그’ VPN은 정확한 기준을 설명하지 않고 장치 수를 제한합니다.

NordVPN은 장치 제한뿐만 아니라 개인정보를 보호하기 위해 추가적인 노력을 합니다. 사용자의 연결 데이터를 저장하는 대신, NordVPN은 고유한 알고리즘을 사용하여 동시 세션을 추적합니다:

“동시 접속 수를 제한하기 위해서는 알고리즘이 마지막 세션의 사용자 이름과 타임스탬프를 기록해야 합니다. 세션이 종료되면 이 데이터들은 15분 이내에 삭제 됩니다.”

3가상 사설 서버(Virtual Private Servers)

비용을 절감하기 위해 어떤 VPN 서비스들은 가상 사설 서버를 임대하여 사용하는데, 전용 물리적 서버를 가지고 있는 것보다 훨씬 저렴하기 때문입니다. 특히, 디지털 인프라가 잘 갖춰져 있지 않은 국가에서는 더욱 그렇습니다.

이렇게 하면 VPN 공급업체는 비용을 줄일 수 있지만, 개인정보 보호 측면에서 문제가 될 수 있습니다.

임대한 서버는 VPN 회사의 로깅 정책에 관계없이 작업 로그를 저장할 수 있습니다. 임대한 서버의 관할권에 따라 해당 지역 당국은 서버 호스트가 데이터를 기록하거나 공유하도록 강요할 수 있습니다.

이러한 경우, VPN 회사의 로깅 정책은 무력화되며 지역 당국은 서버 호스트에서 직접 필요한 정보를 찾을 수 있습니다.

2014년, EarthVPN 사용자가 네덜란드에서 체포된 사건이 대표적인 사례입니다. 당시, EarthVPN의 노로그 정책에도 불구하고 관련 당국은 가상 서버 호스트에게 용의자를 식별하는 데 필요한 데이터를 넘길 것을 강요했습니다.

4법적 책임

미국 국가안전보장국(NSA)이나 영국 정보통신본부(GCHQ)와 같은 국가 정보 기관에게는 조직이 개인정보를 수집하고 공유하도록 강제할 수 있는 권한이 있습니다. 그들이 운영하는 대대적인 감시의 규모를 생각해보면, 일개 회사나 서버 네트워크에게 그러한 권한을 행사하는 것은 아주 쉬운 일입니다.

당국은 이러한 로깅 명령과 함께 이에 대한 보도를 금지할 수 있습니다. 즉, VPN 회사가 로깅에 대해 외부에 발설하는 행위는 불법이 되는 것입니다. 일부 VPN 회사는 이 문제를 해결하기 위해 영장 카나리아 (warrant canary)를 사용합니다.

영장 카나리아, 대규모 감시, VPN 위치가 개인정보 보호에 미치는 영향에 대해 자세히 알아보려면, VPN 관할권에 대한 가이드를 참조하세요.

5성능 최적화

빠르고, 개인정보를 보호해주며, 신뢰할 수 있는 VPN 서비스를 제공하기 위해서 로그를 반드시 수집해야 하는 것은 아닙니다만, 확실히 도움은 됩니다. 기본 연결 데이터를 수집하는 것은 가장 적절한 서버를 선택하고 가장 인기 있는 서버 위치에 리소스를 할당하는데 도움이 됩니다.

많은 VPN들이 성능 최적화를 위해 광범위하고 침습적인 로깅이 필요하다고 정당화합니다. 하지만, 대부분의 경우 기본 연결 데이터 이상의 정보는 VPN 네트워크의 성능을 유지하는 데 필요하지 않습니다.

VPN 로깅 정책의 문제점

An illustration of a woman shielding herself from eyes with an umbrella

VPN에 대해 의심하지 않는 사용자는 개인정보 보호라는 명분하에 의도적으로 모호하게 만들었거나 거짓된 로깅 정책에 쉽게 속을 수 있습니다.

본인이 무엇을 원하는지 정확하게 모른다면, VPN을 무조건적으로 사용하다가 위험에 노출될 수 있습니다.

VPN의 개인정보 보호 정책을 평가할 때 또는 이용료를 결제할 때, 다음과 같은 문제점이 있다는 것을 알고 있어야 합니다.

이미 잘 알고 있는 경우에는 자신을 보호하는 방법에 대한 가이드로 바로 넘어가도 됩니다.

1허위 광고

직접 검사할 수 있는 경우가 아니라면, 개인이 VPN의 로깅 정책을 진정으로 검증하는 것은 거의 불가능합니다.

이를 보여주는 사례가 있습니다. ‘비공개’ 또는 ‘노로그’ VPN이라고 주장하던 업체가 사실은 당국에 세부 로그를 공유한 사실이 발각된 것입니다.

2011년, 런던 기반의 VPN 서비스 HideMyAss(HMA)는 피닉스에 거주하던 23세 남성 Cody Kretsinger를 체포하는 데 핵심적인 역할을 했습니다. Kretsinger는 해커 단체인 어나니머스(Anonymous)에서 파생된 LulzSec의 회원이었습니다.

HMA는 자신들의 서비스가 “완전한 개인정보 보호와 익명성이 보장되는” 프라이버시 우선 VPN라고 주장했었습니다:

2011년 7월 18일에 캡쳐한 HideMyAss 홈페이지 아카이브

2011년 7월 18일에 캡쳐한 HideMyAss 홈페이지 아카이브

하지만, FBI는 HMA에게 소유한 IP 주소에 대한 Kretsinger의 해킹을 추적하고, 로그 데이터를 넘길 것을 요구하는 영국 법원 명령을 내렸습니다. HMA는 이를 받아들이고 Kretsinger를 식별한 연결 로그를 공유했습니다.

불법 활동은 어떤 상황에도 용인될 수 없지만, 이 사건은 VPN 생태계의 여러 심각한 결함 중 하나를 보여주는 케이스에 불과하기도 합니다. 사용자의 신원을 보호한다고 광고하면서, 실제로는 그 반대의 행위를 하는 것은 소비자를 기만하는 것입니다.

허위 광고 문제가 있었던 VPN이 HideMyAss만은 아닙니다. IPVanish도 데이터 로깅 관련 이슈가 있었습니다.

2016년, IPVanish는 FBI와 협력하여 범죄 수사를 지원했습니다. 개인정보 보호 정책에 제로 로그임을 명시했음에도 불구하고, IPVanish 역시 결국에는 법적 요청에 따라 세부 연결 데이터를 당국에 제공했습니다.

2016년 3월 13일에 캡쳐한 IPVanish의 개인정보 보호 정책 

2016년 3월 13일에 캡쳐한 IPVanish의 개인정보 보호 정책

중요한 것은, 회사가 완전히 다른 소유와 관리하에 있을 때 이 사건이 발생했다는 것입니다. 이 사건에 대한 자세한 내용은 IPVanish 전체 리뷰를 읽어 보시기 바랍니다.

‘노로그’라고 광고하면서, 실제로는 당국에 데이터를 제공하거나 우리가 결코 알아내지 못할 거짓말을 하고 있는 VPN이 더 많이 있을 수 있습니다. 따라서, 어떤 VPN을 선택할 지 결정을 내리기 전에, VPN 공급업체의 이력을 살펴보는 것이 중요합니다.

2고의적 모호성

모든 VPN들이 세션 도중 또는 세션 만료 후에 어떤 데이터가 보관되는지, 로깅 정책을 명확히 설명해준다면 가장 이상적일 것입니다. 하지만, 안타깝게도 현실에서는 수 많은 VPN 공급자들이 이를 모호하게 설명하여 사람들이 오인하게 만듭니다.

대부분의 사용자는 ‘노로그’와 같은 포괄적인 표현이 생각하는 것과 다를 수 있다는 사실을 깨닫지 못합니다. 일부 VPN 회사는 업계에 ‘노로그’에 대한 명확한 정의나 기준이 없다는 사실을 악용하기도 합니다.

이 허점을 이용해 VPN 제공업체는 어떤 유형의 데이터가 그들이 주장하는 ‘노로그’의 대상이 되는지 확실하게 언급하지 않습니다.

일부 VPN 공급업체는 대외적으로는 작업 로그에 대해 ‘노로그’임을 광고하지만, 개인 식별 연결 데이터는 계속 기록합니다.

간단히 말해서, 많은 VPN 제공업체가 자체 기준을 적용하여 자신들의 서비스가 ‘노로그’라고 말하고 있습니다.

연결 로그가 반드시 나쁜 것은 아니지만, 사용자가 VPN을 선택함에 있어 거짓이나 모순된 설명은 혼란과 불신을 가중시킬 뿐입니다.

같은 맥락에서, VPN의 마케팅과 실제 개인정보 보호 정책이 일치하지 않는 경우도 많습니다. 홈페이지에서는 ‘제로 로깅’이라는 문구를 강조하지만, 실제로 이용 약관을 살펴보면, 일부 데이터 보관에 대한 내용을 은근슬쩍 포함하고 있습니다.

ThunderVPN이 이러한 전략을 사용한 대표적인 예입니다. 구글 플레이 스토어에서 ThunderVPN은 자신들의 서비스가 “엄격한” 노로그 정책을 시행한다고 광고합니다:

A screenshot from ThunderVPN’s Google Play Store listing

구글 플레이 스토어의 ThunderVPN 서비스 개요

하지만, 그들의 개인정보 보호 정책을 확인해보면, 이것은 전혀 사실이 아닙니다:

이러한 전략을 사용하는 것은 정직하지 않을 뿐만 아니라, 정책을 꼼꼼히 읽지 않은 순진한 VPN 사용자를 잠재적 위험에 노출되게 할 수 있습니다.

VPN의 로그 정책에 모순이나 오해의 여지가 발견되면, 해당 VPN을 정말 신뢰할 수 있을지 다시 생각해보는 것이 좋습니다. 대부분의 경우, 자신의 중요한 데이터를 맡기기에는 신뢰할 수 없는 VPN일 가능성이 높습니다.

3세부 설명 누락

상대적으로 덜 인기 있는 VPN은 개인정보 보호 정책이 아예 없는 경우도 있는데, 이는 놀랍게도 꽤 흔한일입니다.  웹사이트에 데이터 수집에 대한 세부 정보를 공개하지 않는 VPN은 절대 신뢰해서는 안됩니다.

또한, 개인정보 보호 정책에 대해 지나치게 간략히 설명하고 있지는 않은지 확인해야 합니다. 많은 VPN 공급업체가 다음과 같은 간략한 설명만을 제공하고 있습니다:

“저희 VPN 서비스를 사용하는 동안에는 어떠한 활동도 기록되지 않습니다.”

이런 방식의 설명은 당신의 데이터가 다른 방식으로 수집될 수도 있다는 점에 대해서는 전혀 언급하지 않습니다.

Yoga VPN의 개인정보 보호 정책이 대표적인 사례입니다.  Yoga VPN의 개인정보 보호 정책은 전체 문서가  371단어에 불과하며, 당사의 VPN이 어떤 식으로 운영되는지에 대해서는 거의 설명하고 있지 않습니다.

어떤 VPN는 서비스 약관이 시행되는 방식에 대해서도 걱정스러울 정도로 모호하게 표현합니다. 수 많은 VPN 제공업체가 ‘노로그’임을 자랑하면서도, ‘의심스러운 행동을 조사’하거나 ‘악의적인 사용자를 차단’하겠다고 경고하는 문구를 이어 쓰기도 합니다.

이에 대해 다음과 같은 의문을 제기해 볼 수 있습니다: VPN이 IP 주소나 웹 활동을 수집하지 않고서 어떻게 의심스러운 행동에 대해 조사할 수 있을까요?

VPN의 로깅 정책이 짧거나 모호한 경우 해당 회사의 고객 지원 팀에 자세한 내용을 문의해야 합니다. 개인정보 보호 정책을 명확하고 투명하게 설명하기 위한 시간조차 투자하지 않는 VPN 서비스는 사용할 필요가 없습니다.

4관할권

로깅 정책과 관할권은 밀접하게 얽혀 있습니다. 관할권이 모호하면, 개인정보 보호에 좋을 수 있지만 책임 소재의 관점에서는 문제가 될 수도 있습니다.

원격 비즈니스의 경우, 허위 광고법을 위반하거나 고객을 속였을 때 그에 대한 책임을 묻는 것이 훨씬 더 어렵습니다. 예를 들어, 파나마에 기반을 둔 VPN이 의도적으로 독일의 고객에게 잘못을 저지르더라도, 이를 처벌하거나 해결하기 위해 실제로 할 수 있는 일이 많지 않습니다.

더 중요한 것은 VPN 공급자의 관할권이 당국에 데이터를 제공할 법적 의무에 영향을 미친다는 것입니다. 예를 들어, 미국에 기반을 둔 VPN 서비스는 당국의 요청이 있으면 비밀리에 사용자를 모니터링 해야 할 수도 있습니다.

데이터를 아예 수집하지 않는 VPN의 경우에는 이러한 침해 관할권이 문제가 되지 않습니다. 그러나, 이러한 관할권에 해당하지 않는 국가를 기반으로 한 VPN을 선택한다면, 더 많은 보호를 받을 수 있습니다.

5, 9, 14 아이즈 동맹 간의 데이터 공유에 대해 자세히 알아보려면 VPN 관할권 가이드 가이드를 읽어보세요.

자신을 보호하는 방법

VPN이 개인정보를 완전히는 보호해주지 못할 것 같다고 우려되는 경우, 민감한 데이터를 추가로 보호하기 위해 취할 수 있는 몇 가지 조치가 있습니다.

1검증된 노로그 VPN 선택

법적 사건과 실제 사건을 통해 VPN 공급자의 제로 로깅 정책을 확인한 사례가 있습니다.

ExpressVPN나 Private Internet Access 같은 VPN 서비스는 보관하고 있는 데이터가 없기 때문에, 당국에서 서버를 점유하거나 협력을 요청할 수 없었습니다. 또한, ExpressVPN과 Private Internet Access 둘 다 제3의 감사자가 로깅 정책을 확인하고 검증했습니다.

이 외에, 제3자에 의해 로깅 정책이 검증된 VPN은 다음과 같습니다:

  • Hide.me
  • IVPN
  • Mullvad VPN
  • Surfshark
  • IPVanish
  • PIA

VPN 로깅이 걱정된다면 검증받은 VPN을 선택하는 것이 더 안전합니다.

2VPN과 토르(Tor) 결합

VPN을 토르 브라우저와 함께 사용하고 올바르게 구성하면, 익명성에 한 단계 더 가까워질 수 있습니다.

토르 브라우저는 속도가 느리기 때문에, VPN을 토르와 결합하면 VPN의 성능과 연결 속도가 상당히 저하된다는 것을 알아두시기 바랍니다.

3여러 개의 VPN 동시 사용

여러 VPN 서비스를 동시에 사용하면 신원을 보호하는 막이 하나 더 생기게 됩니다.

그렇게 하기 위한 간단한 방법은 VPN 라우터를 설치하고 장치를 연결하는 것입니다. 하나의 장치에 서로 다른 VPN을 설치한 다음, 애플리케이션을 실행하면 데이터가 2개의 VPN을 통해 동시에 전달됩니다.

VPN을 토르와 함께 사용할 때와 마찬가지로, 여러 VPN 서비스를 레이어하여 사용하면 성능에 상당한 영향을 미칩니다.

4프라이버시 친화적 관할권 선택

주요 정보 공유국이 아닌 곳에 기반을 둔 VPN을 사용하는 것이 가장 안전한 옵션입니다.

하지만, 당국이 개입하지 않는 관할권에서 운영한다고 해서 그 VPN 공급업체를 무조건 신뢰할 수 있다는 뜻은 아닙니다. VPN 회사는 외국 기관과 협력할 수도 있고 회사 자체가 필요한 경우 데이터를 기록할 수도 있습니다.

물어보는 것을 두려워하지 마세요

VPN 로그가 항상 나쁜 것은 아닙니다. 결국, 로그 수집 여부가 중요한지 아닌지는 당신이 VPN에게 기대하는 익명성 수준에 따라 달라집니다.

그러나, 문제가 되는 것은 정직성투명성이 부족하다는 것입니다. 합법적인 VPN 서비스는 사용자의 개인정보가 안전하게 지켜진다는 것에 대해서 조금의 의심도 하지 않습니다.

VPN 홈페이지에서 광고하고 있는 내용이 실제 적용되고 있는 개인정보 보호 정책과 다른 경우, 해당 VPN에 돈을 쓰지 마시기 바랍니다. 모호하거나 수상해 보이는 항목이 있으면 주저하지 말고 해당 VPN의 고객 지원팀에 문의해야 합니다.

중요한 것은 VPN 서비스가 정책을 어떻게 조작하는지 정확히 알고 있어야 한다는 것입니다. 그것을 확실하게 이해해야지만 정직한 서비스를 제공하는 VPN을 찾을 수 있고, 더 높은 수준의 익명성이 필요한 경우 추가 조치를 취할 수 있습니다.

개인정보가 위험에 노출되는 환경에서 최소한의 투명성을 기대하는 것은 사용자로서 본인이 가져야 할 권리입니다.