대부분의 VPN 리뷰 사이트들은 VPN 회사들과 제휴 마케팅 계약을 체결하고 실적에 따른 수수료를 받는다. 예를 들어 VPN 리뷰 사이트인 vpnmentor.com에서 ExpressVPN 회사로 가는 링크를 보면, 링크된 주소가 깔끔하게 https://www.expressvpn.com으로 향하는 것이 아니라 https://www.vpnmentor.com/?Track_link=NDgxMDZ8&dl=WindowsDeeplink&target=tax_vendor_logo&clickout_id=JV1RU2G4A2HRL&pageview_id=JV1RU2G48BZ7T&GATID=72312825.1556506592과 같은 이상한 주소로 향하는 것을 볼 수 있다.
이런 걸 제휴 마케팅 링크affiliate link라고 한다. 이 링크를 누르면 ExpressVPN측은 해당 사용자가 다름아닌 vpnmentor.com의 특정 홍보글을 보고 왔다는 사실을 알 수 있고, 그렇게 온 사용자가 ExpressVPN을 결제하면 ExpressVPN 회사는 vpnmentor.com에 일종의 커미션, 즉 홍보대행 수수료를 지급한다. ExpressVPN의 홍보대행 수수료는, 일단은 고객이 1개월 결제시 $13 (고객결제금액의 100%), 6개월 결제시 $22 (고객결제금액의 36.7%), 12개월 결제시 $36 (고객결제금액의 36%)이나, 많은 고객을 유치하는 우수 제휴사에 대해서는 더 높은 금액이 책정될 수도 있다.*
이게 얼마나 돈이 잘 벌리는 시장이냐면, 기존에 다른 분야에서 인지도를 쌓은 웹진들도 VPN 제휴-리뷰 비즈니스에 뛰어들었을 정도다. 예를 들면 PCMag이 그렇다.*
심지어 파이어폭스를 개발한 비영리재단인 모질라Mozilla도 수익기반을 다변화하려는 목적에서 2018. 10.경부터 ProtonVPN과 제휴했다. 그래서 파이어폭스는 ① 와이파이에 접속한 상태로 captive portal (스타벅스에서 와이파이에 접속했을 때 개인정보 입력하라고 뜨는 그것)에 들어가거나, ② 넷플릭스 등 스트리밍 사이트에 들어가거나, ③ 모질라 측에서 자체적으로 보안성이 떨어진다고 평가한 일부 VPN 회사 사이트에 들어가는 미국인들 중 일부에게 자동으로 ProtonVPN 광고를 띄운다. 광고를 본 고객이 유료결제를 하면 ProtonVPN은 모질라에 수수료를 지급한다.*
이런 구조 하에서는 VPN에 대한 공정한 리뷰를 기대할 수 없다. 물론 아무리 수수료를 많이 준다 하더라도 객관적인 성능 자체가 떨어지는 VPN을 높은 순위로 추천하면 고객들은 그 리뷰 사이트를 더 이상 신뢰하지 않게 될 것이므로 그렇게까지 막나갈 수는 없지만, 객관적인 성능이 크게 차이나지 않는 VPN을 비교할 땐 아무래도 수수료를 많이 주는 VPN 쪽으로 마음이 쏠릴 수밖에 없다. 실제로 VPN 리뷰 사이트를 조금만 돌아봐도 금방 알 수 있는데, ExpressVPN, NordVPN, Perfect Privacy, PIA, VPN.ac 등 제휴 프로그램을 운영하는 회사들은 대부분의 VPN 리뷰 사이트에서 높은 순위로 추천되고 있는 반면, 객관적인 성능은 좋지만 제휴 프로그램을 운영하지 않는 Mullvad 등은 대부분의 VPN 리뷰 사이트에서 잘 언급되지 않는다. ProtonVPN은 예전에 제휴 프로그램을 운영하지 않을 땐 리뷰 사이트에서 그리 높은 점수를 받지 못했으나 제휴 프로그램을 시작하고 나서는 Editor’s pick에도 오를 정도로 우수한 VPN으로 평가되고 있다. 패턴이 명확하다.
꼭 특정 VPN 회사를 편애하지 않고 VPN끼리 객관적으로 비교를 하더라도, 이런 인센티브 구조로 인해 VPN이라는 서비스 자체에 대해 좋은 쪽으로 서술하게 될 가능성도 높다. 독자가 수많은 VPN 회사 중 어떤 VPN에 가입하든 간에, 일단 VPN이라는 것 자체에 가입을 해야 자기에게 돈이 들어오는 구조이기 때문이다. 비유하자면 자동차 중에 BMW가 좋냐, 벤츠가 좋냐를 따지기 이전에 자동차 자체가 필요하지 않은 사람도 있을 수 있고, 태블릿 중에 아이패드가 좋냐, 갤럭시탭이 좋냐를 따지기 이전에 일단 스마트폰이 없어서 스마트폰 구입이 급선무인 사람도 있을 수 있는데, 제휴 마케터들은 자동차가 필요하지 않은 사람에게 자동차를 권하고, 스마트폰조차 없는 사람에게 태블릿을 권하는 식으로 분위기를 몰아 갈 가능성이 높다는 이야기다. 실제로 VPN 리뷰 사이트를 보면 VPN이 안전하다고 주장하는 동시에 VPN의 일종의 경쟁자라고 할 수 있는 토르를 은근히 까내리는 분위기를 감지할 수 있는데, 그게 이런 이해관계와 맞닿아 있는 것이다.
핫스팟실드와 제휴 마케팅
Hotspot Shield와 Betternet은 AnchorFree Inc.라는 하나의 회사에서 운영하는 무료 VPN이다. 각 서비스들의 개인정보처리방침에 의하면, 이 VPN들은 IMEI 등 유저의 고유한 기기 식별자, 하드웨어 모델, OS 버전, 언어, 네트워크 정보, 유저의 IP주소가 가리키는 위치 정보, 유저가 방문하는 웹사이트 주소 등을 수집한다.
When you launch the Hotspot Shield app, before you connect to the VPN, we and our service providers collect device-specific information, such as the unique mobile ID, hardware model, operating system version, language, and network information. We may also use, but never log or store, your IP address to derive your approximate (city-level) location. We use this information to provide and improve the Services, troubleshoot, and perform analytics on our services. Our service providers may collect IP addresses for marketing attribution purposes.
When you connect to the Hotspot Shield VPN, we collect your IP address, immediately encrypt it and store it only for the duration of your VPN session. Your IP address is deleted after you disconnect from the VPN. We do not associate your IP address with your online activities and we do not store or log your IP address after you disconnect from the VPN.
We do not attribute any specific website visits or app usage to any specific user. We do not keep logs of your online activities and never associate any domains or applications that you use with you, your device, or email. Websites visited via our servers are aggregated and stored to: (1) Perform analytics on our services, including measuring whether our users, in aggregate, are able to successfully access certain websites or apps; (2) Troubleshoot service issues and improve service quality.
밑줄은 인용자
또한 핫스팟실드는 광고 및 추적 목적으로 유저에게 iframe을 이용한 자바스크립트 인젝션 공격을 가하고, 유저가 알리바바 등 전자상거래 사이트에 접속할 때 해당 트래픽이 valueclick.com 등 핫스팟실드의 파트너 광고회사 사이트를 거쳐서 지나가게 만든다(Ikram et al., 2016).
또한 핫스팟실드는 유저의 브라우징 습관을 분석해 광고주들에게 타겟 광고 기회를 제공하고,
Hotspot Shield also monitors information about users’ browsing habits while the VPN is in use. While Hotspot Shield claims that “any browsing information or other similar information relating to your online activities transmitted by you to our servers when using Hotspot Shield is cleared after your VPN ‘session’ is closed,”23 it also deploys persistent cookies24 and concedes that it works with unaffiliated entities to customize advertising and marketing messages.25 It is unclear to what extent records of browsing habits and other usage logs are attached to virtual, proxy IP addresses or other unique identifiers.
밑줄은 인용자. 출처: Center for Democracy & Technology, 2017
While insisting that it does not make money from selling customer data,26 Hotspot Shield promises to connect advertisers to unique users that are frequent visitors of travel, retail, business, and finance websites.27 Moreover, these entities have access to IP addresses and device identifiers collected via Hotspot Shield. Even if Hotspot Shield only provides “hashed” or “proxy” IP addresses to these partners, third parties can also link information about web-viewing habits while using the Hotspot Shield by cross-referencing cookies, identifiers, or other information.28
단말기 고유 식별자(IMEI), 접속한 와이파이 이름(SSID) 등을 페이스북 등 서드파티 광고업체에게 제공하기도 한다(Center for Democracy & Technology, 2017).
그런데 VPN 비교 사이트인 vpnmentor.com에 의하면, 대다수의 무료 VPN 서비스는 개인 정보를 수집해 제3자에게 판매하는 방법으로 수익을 창출하지만, Hotspot Shield는 그들이 100개 이상의 무료 VPN을 테스트해 엄격한 보안 기준을 갖춘 최고의 무료 VPN을 선정했을 때 1번째로 꼽힐 정도로 우수한 서비스라고 한다.*
흥미롭게도, 이 리뷰 사이트는 거짓말은 하지 않았다. 잘 읽어보면 Hotspot Shield가 개인 정보를 수집해 제3자에게 판매하는 방법으로 수익을 창출하지 않는다는 말은 없다.
젠메이트와 제휴 마케팅
젠메이트ZenMate는 VPN 리뷰 사이트에 흔하게 등장하는 회사는 아니지만, 우리나라에서 인지도가 높은 무료 VPN 회사이므로 이쯤에서 한번 짚고 넘어갈 필요가 있다. 젠메이트 홈페이지에는 hotjar.com과 같은 세션 리플레이 스크립트를 비롯해 doubleclick.net, facebook.com, linkedin.com, 같은 각종 서드파티 트래커가 있다.
또한 젠메이트 브라우저 플러그인은 SmartPrice라는 기능을 탑재하고 있다. 인터넷 쇼핑몰에서 상품을 구경하면 같은 상품이 더 저렴하게 판매되는 곳을 찾아서 보여 주는 가격비교 기능이다. 젠메이트의 공식 FAQ에 의하면, SmartPrice는 젠메이트가 무료 버전을 제공하는 것이 가능하게 만들어 준다고 한다.*
젠메이트 측은 이 기능이 개인정보personal data를 수집하지는 않는다고 주장하고 있으나,* 상식적으로 생각해 봤을 때 특정 사용자가 특정 상품을 보고 있다는 사실에 대한 정보가 어딘가로 전송되지 않고서 자동으로 가격비교를 해 준다는 게 가능하기는 한 것인지 의문이 아닐 수 없다. 참고로 젠메이트는 사용자의 브라우저 이름 및 버전, 운영체제 종류, 젠메이트 사이트에 방문할 때 어떤 사이트에 걸려 있는 링크를 타고 들어왔는지(HTTP referer), 사이트에 접속한 날짜 및 시간, 유저의 IP주소, 유저의 ISP, 또는 그 밖의 비슷한 정보는 개인정보가 아닌 것non-personal data으로 간주하고 있다.*
한편 macOS용 젠메이트 앱은 젠메이트에 접속해 있지 않을 때도, 젠메이트 회사의 마케팅 툴인 crm.zenguard.biz에 접속하거나, 15.buchanan-williams-yellow.ml 같은 주소로 접속한다.* 젠메이트 측은 이것이 사용자의 개인정보를 수집하는 것은 아니라고 주장하고 있으나,* 젠메이트가 채택하고 있는 개인정보personal data의 정의와 개인정보가 아닌 것non-personal data의 정의에 비추어 봤을 때, 젠메이트가 사용자의 개인정보를 수집하지는 않는다는 말이 정확히 뭘 뜻하는 것인지는 분명하게 알기 어렵다.
ExpressVPN과 제휴 마케팅
국내 유명 VPN 리뷰 사이트인 VPNvsVPN은 ExpressVPN을 1순위로 추천하고 있다.
제휴 마케팅일까? ExpressVPN 리뷰 페이지의 가장 아래로 내려서 링크를 보면,
‘Express VPN 12+3 프로모션 링크’는 https://vpnvsvpn.com/vpn/express-vpn/coupon/이고, ‘중국 전용 링크’는 https://vpnvsvpn.com/vpn/express-vpn-china/coupon/임을 알 수 있다. 이 링크는 앞서 살펴본 vpnmentor.com의 affiliate link인 https://www.vpnmentor.com/?Track_link=MTQ2MHw%3D&target=ShortCodeAffiliateLink_141378_page_4&clickout_id=JUVZO6QONXMMQ&pageview_id=JUVZO6QO25KWF&GATID=759534261.1556156959보다 훨씬 짧고 간결하며, affiliate ID도 직접적으로 드러나 있지 않기 때문에 겉보기에는 훨씬 ‘착한 링크’인 것처럼 보인다.
그러나 사실은 이것도 affiliate link다. 단지 링크 클로킹link cloaking 기술이 적용되어 있을 뿐이다. 여기서 ‘클로킹’이란 스타크래프트의 고스트, 레이스가 쓰는 그 ‘클로킹’과 같은 단어로, 복잡한 affiliate link로 향하는 링크를 겉보기에 https://vpnvsvpn.com/vpn/express-vpn/coupon/ 같은 깔끔한 링크로 바꿔 주는 기법을 말한다.
실제로 위 링크가 가리키는 https://vpnvsvpn.com/vpn/express-vpn/coupon/에 접속해 보면 곧바로 https://www.linkev.com/kr?offer=3monthsfree&a_aid=monosquare로 301 리디렉트되는 것을 확인할 수 있다. 여기서 linkev.com은 아마 ExpressVPN측에서 자체적으로 운영하는 도메인인 듯하고, 맨 끝의 monosquare가 vpnvsvpn.com 운영자의 affiliate ID인 것으로 추측된다. 이것은 다시 https://www.expressvpn.com/kr?offer=3monthsfree&a_aid=monosquare&redir=www.linkev.com로 302 리디렉트되고, 이것은 최종적으로 https://www.expressvpn.com/kr이라는 깔끔한 주소로 302 리디렉트된다. 그래서 최종적으로 고객이 볼 땐 https://vpnvsvpn.com/vpn/express-vpn/coupon/라는 깔끔한 주소를 눌렀더니 https://www.expressvpn.com/kr라는 깔끔한 주소가 뜨는 것으로 보이게 되며, 이로 인해 제휴 마케팅에 대한 지식이 있는 사람이라 하더라도 이 링크는 affiliate link가 아닌 것으로 오인할 가능성이 있다. 이것이 링크 클로킹의 위력이다.
제휴 마케팅의 영향 때문인지, VPNvsVPN 사이트에는 ExpressVPN을 실제보다 더 좋은 것처럼 과장해서 설명하고 있는 부분이 여럿 눈에 띈다. 가령 VPN을 마치 종단 간 암호화end-to-end encryption 기술인 것처럼 서술하고 있다.
VPNvsVPN이 인용하고 있는 ExpressVPN의 홍보물 및 VPNvsVPN 블로그 자체의 서술내용을 보면, 마치 ExpressVPN을 이용하면 사용자와 웹사이트 간 모든 통신이 암호화될 것 같은 인상을 받게 된다. 그러나 실제로는, ExpressVPN을 포함한 모든 VPN은 사용자와 VPN 서버 사이의 통신만 암호화시켜 줄 뿐 VPN 서버에서 목적이 사이트까지의 통신은 암호화시켜 주지 못한다. 그림으로 나타내면 이렇다.
그래도 일부 구간이라도 암호화되면 좋은 거 아니냐?라고 생각할지도 모르겠지만, 꼭 그런 것만은 아니다. 그건 VPN 서버의 위치와 접속하는 사이트 서버의 위치에 따라 달라질 수 있다. 아래와 같이 일본 사이트에 접속하면서 미국 VPN을 사용하면 트래픽이 암호화되지 않은 상태로 주변에 노출되는 구간이 오히려 더 길어진다.
또한 VPNvsVPN은 ExpressVPN이 마치 여러 비영리단체들과 ‘함께 하는’ 것처럼 서술하고 있다.
그러나 실제로는, Fight for the Future는 ExpressVPN이 아닌 PrivateInternetAccess (PIA)라는 VPN 회사와 제휴한 것으로 보인다.
ExpressVPN은 The Internet Defense League의 멤버이나, 앞서 살펴본 Hotspot Shield도 같이 있는 걸로 봐서 이 단체의 멤버가 되기 위해 특별한 자격이 필요한 것 같지는 않다. 그리고 멤버 중 TheBestVPN 등 VPN 제휴마케팅 회사들이 다수 눈에 띄는 걸로 봐서, 가입 회사들이 꼭 어떤 높은 가치를 추구해서 멤버가 된다기보다는 그냥 마케팅용으로 가입하는 것 같다는 인상을 지우기 어렵다.
ExpressVPN은 OpenMedia라는 단체에 300만원 이상을 기부하고 그 대가로 기부자 명단에 이름을 올렸으나, 그 이상의 특별한 관계가 있는 것 같지는 않다. 참고로 법적 의무가 없음에도 사용자들의 개인정보를 경찰에 제공하는 등 프라이버시와 거리가 먼 것으로 알려진 PureVPN은 ExpressVPN보다 더 많은 액수를 기부해, 더 높은 등급에 올라가 있다.
ExpressVPN은 EFF에 120만원 이상을 기부하고 그 대가로 기부자 명단에 올라갔으나, 그 이상의 특별한 관계가 있어 보이지는 않는다. 아래에 EFF의 기부자 명단 중 VPN 회사인 것들을 빨간 네모로 표시해 봤다.
물론 VPN 회사가 비영리단체에 기부를 하는 것은 좋은 시그널일 수도 있으나, 대표적인 자격미달 VPN인 PureVPN이 위 리스트에 올라 있는 걸 보면 알 수 있듯이 비영리단체에 기부하는 VPN이라고 꼭 우수한 VPN일 거라고 단정하기는 어렵다.
또한 VPNvsVPN은 ExpressVPN이 속도가 가장 빠르다고 주장한다.
그러나 실제로는, VPN 회사별 속도 차이라는 것은 최소한의 수준을 갖춘 VPN 회사들 간에는 비교 자체가 무의미하다. 왜냐하면 VPN의 속도는 VPN 회사의 기술력에 따라 달라지는 게 아니기 때문이다.
우리가 VPN에 접속하면 화면에 주르륵 뜨는 세계 각국의 VPN 서버들은 VPN 업체가 직접 현지에 사무실을 임차해서 그 안에 설치해 놓은 서버가 아니라, InterGrid, LeaseWeb, ASERGO, Creanova, M247, QuadraNet 등 데이터센터 업체가 운영하는 데이터센터 내에 있는 서버다. VPN 업체들은 그 데이터센터에 돈을 주고 가상 서버VPS를 임차하거나, 물리적 서버를 임차해서 자기네 VPN 서버로 사용한다. 간혹 VPN 업체 중에는 서버를 임차하지 않고 직접 소유하면서 운영하는 업체도 있으나 그들이 소유하고 있는 서버조차도 위치 자체는 데이터센터 내에 있다.
이렇게 하는 이유는 VPN 업체가 직접 데이터센터를 구축하는 것이 비용이 많이 들고 비효율적이기 때문이다. 일개 VPN 회사와는 비교할 수 없을 만큼 많은 사람들이 쓰는 서비스인 드랍박스도 2016년까지는 자체 서버를 운영하지 못하고 아마존 AWS상에서 서비스됐다. 애플 아이클라우드는 과거에는 AWS, Azure에서 서비스됐고 2019년부터 2024년까지는 AWS에서 서비스된다. VPN 업계에서 나름 인지도 있는 회사라 해도 드랍박스, 아이클라우드와 비교하면 발끝에도 미치지 못할 텐데, 그런 VPN 회사들이 전 세계 곳곳에 자체 데이터센터를 구축 운영하면 과연 수지가 맞을까?
그래서 VPN 서버라는 것은 겉으로는 그 VPN 회사의 서버인 듯한 외관을 갖추고 있지만, 실제로는 그 VPN 회사와 계약관계에 있는 데이터센터 회사의 서버다. 그래서 VPN 서버의 속도는 VPN 회사의 기술력이 아니라 해당 서버가 놓여 있는 데이터센터의 위치 및 사용자의 컴퓨터에서 그 데이터센터까지의 라우팅이 결정한다. 쉽게 말해서, 같은 VPN A 브랜드에, 같은 일본에, 같은 도쿄에 위치한 서버라 하더라도, VPN A JP1 서버와 VPN A JP7 서버는 실제 위치해 있는 데이터센터가 다를 수 있다. 그러면 이들 서버는 겉으로는 같은 VPN A 일본 서버처럼 보임에도 불구하고 실제로는 속도차이가 많이 날 수 있다. 또한 VPN A KR1서버와 VPN B KR1서버가 겉으로는 다른 회사에 속한 서버인 것처럼 보임에도 불구하고 실제로는 EHOSTIDC가 운영하는 같은 데이터센터 안에 있는 서버일 수 있다. 그러면 속도는 똑같이 나올 가능성이 높다. 사실 이 원리를 응용해 VPN 회사별 속도 비교를 조작하는 것도 가능하다. VPN A를 띄워 주고 VPN B를 까내리고 싶다면, VPN A의 특정 국가 서버 중에서 가장 빠른 것을 선택해서 속도 측정하고, VPN B의 같은 국가 서버 중에서 가장 느린 것을 선택해서 속도 측정해서 스크린샷 찍으면 된다.
따라서 VPN 회사들을 놓고, 이 회사는 아직 노하우가 적어서 속도가 느리네, 저 회사는 명성에 걸맞게 속도가 빠르네 하는 것은 별 의미가 없다. 만약 현재 쓰고 있는 VPN이 속도가 느려서 불만이라면 다른 서버로 갈아타 보자. 같은 국가 서버라 해도 데이터센터에 따라 속도가 크게 달라진다. VPN의 속도는 꼭 물리적인 거리가 가까울수록 빨라지는 것도 아니기 때문에, 지금 쓰는 서버보다 더 멀리에 있는 다른 서버도 시도해 볼 필요가 있다. 같은 VPN 회사의 일본 서버가 0.5Mbps가 나올 때 미국 서버는 70Mbps가 나오는 일도 비일비재하다.
VPN 제휴 마케팅과 토르 브라우저
토르 브라우저는 미국 정부 및 시민단체의 자금 지원을 받는 미국의 토르 프로젝트Tor Project, Inc.라는 비영리단체에서 개발한 무료·오픈소스 프로그램으로, VPN과는 비할 데 없이 높은 수준의 프라이버시를 제공한다. 속도는 일반적으로 VPN보다는 약간 느린 편이나, 해외망이 널널한 낮 시간대에는 유튜브 1080p 60fps 영상 보는 데 지장이 없는 경우도 있고, 해외망 수요가 많은 밤 시간대에도 720p 정도는 끊김 없이 볼 수 있는 경우가 대부분이다. 상황에 따라 조금씩 달라질 수 있지만 일반적으로는 VPN의 상위호환이라 할 만하다.
그런데 VPN과 토르에 대해 검색하다 보면, 토르가 생각보다 위험하고 VPN은 안전하다는 취지의 블로그 글들을 자주 접할 수 있다.
위 스크린샷 블로그의 주장은 2가지로 압축된다. ① 토르 브라우저를 쓰는 경우, 사용자와 토르 릴레이 간, 그리고 토르 릴레이 상호간 통신내용이 암호화되지 않기 때문에 정보 유출의 위험이 있다. ② 토르 네트워크에는 스파이웨어를 깔아 놓은 중간 서버가 있어 위험하며, 해외에서는 꾸준하게 논란이 되고 있다. 그런데 여기서 2번째 주장은 1번째 주장에 논리적으로 종속된다. 만약 토르가 통신내용을 암호화해 준다면, 중간서버가 스파이웨어를 깔아 놓았다 하더라도 어차피 암호화가 돼 있어서 상관없기 때문이다. 그러므로 우리는 ‘토르는 통신내용을 암호화해 주는가?’에 대해서만 살펴보면 된다.
토르는 당연히 통신내용을 암호화해 준다. 사실 암호화라는 기술은 그렇게 어렵거나 복잡한 고급 기술이 아니며, 마음만 먹으면 개나 소나 다 쓸 수 있는 그런 기술이다. 일례로 요즘은 HTTPS가 보편화돼서 일부 은행 사이트뿐만 아니라 개인이 운영하는 소규모 블로그 사이트도 전부 HTTPS로 접속되는데, 이 HTTPS라는 것은 구현에 따라 약간의 차이가 있지만 기본적으로 사이트가 자신의 아이덴티티를 사용자에게 인증authentication한 뒤 공개 키 암호화를 통해 임시 키ephemeral key를 교환하고, 그 임시 키를 이용한 AES 또는 ChaCha20 대칭형 알고리즘으로 실제 데이터를 암호화해서 주고받는 구조로, 임시 키를 이용한 암호화 덕분에 이른바 perfect forward secrecy, 즉 미래에 보안이 뚫려서 공격자에게 암호화 키가 노출되더라도 그 이전에 이루어진 통신내용은 공격자가 해독할 수 없는 그러한 특성을 갖는다. VPN 사용자와 VPN 서버 사이의 통신과 기본적으로 동일한 구조다. 이렇게 아무나 다 적용하는 암호화라는 것을, 최고 수준의 개발자들이 모인 토르 프로젝트에서 굳이 적용하지 않을 이유가 있을 것으로는 보이지 않는다. 실제로 토르 브라우저는 사용자의 모든 트래픽을 암호화하며,* 애초에 토르의 상징이 양파인 이유부터가 토르는 트래픽을 양파처럼 3중으로 암호화한 다음 1번째 릴레이에서 한 겹 복호화하고, 2번째 릴레이에서 다시 한 겹 복호화하고, 3번째 릴레이에서 마지막으로 한 겹 복호화해서 보내는 시스템이기 때문이다. 토르가 사용하는 암호화 알고리즘은 시간이 지남에 따라 최신 기술로 계속 업데이트되나 2019년 현재 기준으로는 키 교환에는 Curve25519, 내용 암호화에는 3중으로 반복된 AES128 CTR mode가 사용된다.*
흥미로운 것은, 이렇게 말도 안 되는 개소리로 토르를 깎아내리고 VPN을 치켜세우는 블로그들은 유의미한 비율로 VPN 광고글과 VPN 회사 제휴마케팅 링크affiliate link들로 도배되어 있다는 점이다. 가령 위 스크린샷으로 찍은 블로그 hackinfo.tistory.com 의 메인 페이지로 들어가 어떤 포스팅들이 올라와 있는지 살펴보자.
최신글 12개 중 1개를 제외하고 모두 제목에 VPN이 포함돼 있다. 그 1개의 예외는 ‘트리블러’라는 프로그램을 홍보하는 글인데, 그 글조차도 실제 클릭해 보면 결국 VPN 홍보글임을 알 수 있다. 아래에 그 트리블러 글의 스크린샷을 제시한다.
더욱 흥미로운 것은 위 블로그와 아까 소개한 VPNvsVPN 사이트 사이에 모종의 관계가 있는 것처럼 보인다는 것이다. 위 11건의 VPN 소개 포스팅들에는 모두 외부 VPN 리뷰 사이트로 향하는 링크가 달려 있는데, 그 링크들이 어디로 향하는지를 조사해 보면 다음과 같다.
- 6건:
vpnvsvpn.com(ExpressVPN 홍보 블로그) → ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1건:
goo.gl/AR131H→bestkoreavpn.com의 ExpressVPN 홍보글로 연결 → ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1건:
hackinfo.tistory.com→bestkoreavpn.com으로 연결(ExpressVPN 홍보 블로그) → ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1건:
ggulmoney.com의 ExpressVPN 홍보글로 연결 →vpnvsvpn.com의 ExpressVPN 홍보글로 연결 → ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1건:
gginfo.tistory.com의 ExpressVPN 홍보글로 연결 →bestkoreavpn.com의 ExpressVPN 홍보글로 연결 → ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1건:
issuebucks.tistory.com/2→bestkoreavpn.com의 ExpressVPN 홍보글로 연결 → ExpressVPN 제휴마케터 ID ‘monosquare‘
이번에는 다른 블로그인 개이득 정보dog2d.tistory.com라는 블로그를 보자.
비슷한 논리로 토르 브라우저를 깎아내리고 있다. 마지막에 있는 ‘유료 VPN 추천 리뷰들’ 링크는 ExpressVPN affiliate link를 포함하고 있는 TheBestVPN.com이라는 사이트로 가는 링크다. 이제 ‘개이득 정보’ 블로그의 메인 페이지로 들어가서 어떤 다양한 개이득 정보들이 올라오고 있는지 알아보자.
위 스크린샷에 제시된 6건의 포스팅을 포함해, 위 블로그의 포스팅들은 netxhack.com의 ExpressVPN 홍보글 아니면 vpnvsvpn.com의 ExpressVPN 홍보글 아니면 ggulmoney.com의 ExpressVPN 홍보글로 연결된다. netxhack.com, vpnvsvpn.com, ggulmoney.com에서 ExpressVPN으로 가는 링크를 눌러 보면 제휴마케터 ID는 모두 monosquare로 확인된다.
이번에는 ‘건강과 돈 ♥’이라는 이름의 또 다른 블로그에 올라와 있는 글이다.
역시 ‘토르는 높은 수준의 암호화가 적용되어 있지 않다’는 등의 거짓 정보로 점철돼 있다. 맨 아래로 내려 보니 VPNvsVPN 사이트로 연결된다. 메인 카테고리 페이지로 들어가 보면 아래와 같은 정보들이 뜬다.
스샷에 등장하는 6개의 글은 각각 다음과 같은 페이지로 연결된다.
- 6개 중 3개:
vpnvsvpn.com→ ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1개:
onpo.tistory.com/275→vpnvsvpn.com/vpn/→ ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1개:
netxhack.com/vpn/→ ExpressVPN 제휴마케터 ID ‘monosquare‘ - 1개:
free-china-internet.com/chinavpn/express-vpn/→ ExpressVPN 제휴마케터 ID ‘monosquare‘
우와. 다수의 테크 블로거들이 입을 모아 ‘토르가 위험하다’고 말하니까 진짜 그런 줄 알았는데 알고 보니 1명이었다. 그리고 그 1명은 ExpressVPN 제휴 마케터였다.
사실 VPN에 대한 허위·과장광고는 국내에만 국한된 문제가 아니며, VPN 제휴 마케터에게 국한된 문제도 아니다. 해외에 근거를 둔 VPN 회사 자신들도 토르의 성능을 부당하게 깎아내리고 VPN의 성능을 부당하게 과장하는 마케팅을 종종 한다. 일례로 Mr. Whoer VPN은 토르는 종단 간 암호화를 지원하지 않는다는 문제가 있지만, 하이퀄리티 VPN 서비스를 쓰면 그런 문제가 없다고 말하고 있다. 이는 결국 VPN은 종단 간 암호화를 지원한다는 의미로 명백한 거짓말이다. VPN은 개별 회사의 기술력 수준에 관계없이 애초에 암호학적으로 종단 간 암호화를 지원할 수 있는 기술이 아니기 때문이다.
한편 미국의 신뢰받는 VPN 업체인 PrivateInternetAccess (PIA)는 토르와 VPN을 비교하면서, 토르는 종단 간 암호화를 지원하지 않으므로 SSL을 사용하지 않는 사이트에 들어갈 땐 위험할 수 있지만, PIA는 로그를 남기지 않으므로 당신의 개인정보가 항상 안전하다는 말을 하고 있다. 신뢰받는 업체답게 ‘거짓말은 하지 않았다’. 즉, PIA는 자사의 VPN 서비스가 종단 간 암호화를 지원한다는 말을 명시적으로 하고 있지는 않다.
사실 VPN은 종단 간 암호화와는 아무 관련이 없는 기술이다. VPN을 쓰면 사용자와 VPN 서버 사이의 통신내용은 암호화되지만, VPN 서버에서 웹사이트 사이의 통신내용은 암호화되지 않는다. 종단 간 암호화가 지원된다고 말하려면 사용자와 웹사이트 사이의 전체 구간이 암호화돼야 하는데 VPN은 그런 기능을 제공해 주지 못한다. 그림으로 나타내면 다음과 같다.
위 그림을 보면, 전체 구간 중 일부라도 암호화가 되면 암호화되지 않은 구간의 길이가 짧아지므로 상대적으로 보안성이 높아지는 게 아니냐는 생각이 들지도 모르겠지만, 그게 항상 그렇게 되는 것은 아니다. VPN 서버의 위치에 따라, VPN을 쓰면 암호화되지 않은 구간의 길이가 길어지는 경우도 있을 수 있다.
이렇게 사용자와 웹사이트 간에 암호화되지 않은 통신이 이루어짐으로써 일어날 수 있는 일들, 즉 중간자가 오가는 데이터 내용을 엿보거나 심지어 변조하는 것을 중간자 공격man-in-the-middle attack이라고 한다. 중간자 공격에 대한 솔루션은 종단 간 암호화를 하는 것이고, 종단 간 암호화에 사용되는 기술은 VPN이 아니라 우리가 흔히 보는 HTTPS다. HTTPS로 접속된 경우에는, 사이트가 HTTPS를 제대로 구현했고 사용자가 최신 버전의 브라우저를 사용하고 있으며 CA가 믿을 만하고 해커가 사용자의 시스템에 루트 인증서를 설치해 놓지도 않았다는 전제 하에, 그 사이트와의 통신내용에 대해서는 중간자 공격이 불가능하거나 매우 어렵다.
그런데 VPN을 쓰면 역설적이게도 중간자 공격에 더 취약해지는 경우가 있을 수 있다. VPN 클라이언트 설치 과정에서 VPN 회사의 루트 인증서가 시스템에 설치될 수 있기 때문이다.
사용자의 컴퓨터에 루트 인증서를 심어 놓은 자는, 사용자의 암호화된 트래픽을 관찰할 수 있다는 전제 하에, HTTPS에 대해서도 중간자 공격을 할 수 있다. 이게 왜 그런지를 알려면 먼저 사용자와 사이트 사이에 HTTPS 연결이 이루어지는 과정을 알아야 한다.
- 유저가 사이트에 접속
- 사이트가 유저에게, 자기가 중간자(해커)가 아닌 진짜 그 사이트가 맞다는 사실을 증명하는 인증서를 전송
- 유저는 사이트로부터 받은 인증서가 중간자가 조작한 인증서가 아닌 진짜 그 사이트의 인증서가 맞는지를, 유저의 컴퓨터에 설치된 루트 인증서를 이용해 체크
- 유저의 컴퓨터에 설치된 루트 인증서에 비추어 봤을 때, 사이트가 제시하는 인증서가 진짜로 판명되면, 해당 사이트와 키 교환을 진행하고 통신을 계속함
그래서 유저의 컴퓨터에 루트 인증서를 설치해 둔 중간자는, 유저가 HTTPS 사이트에 접속할 때 해당 사이트의 가짜 인증서를 중간자 자신의 루트 인증서로 서명해서 유저에게 전달하는 방법으로 HTTPS 연결에 중간자 공격을 가할 수 있는 것이다. VPN 회사들은 마음만 먹으면 얼마든지 이걸 할 수 있는 지위에 있으며, 꼭 VPN 회사 자체가 나쁜 마음을 먹지 않더라도 VPN 서버를 해킹한 해커가 이러한 취약점을 이용해 중간자 공격을 시도할 수도 있다.
반면 토르를 쓰는 경우에는 사용자가 토르 출구 릴레이의 루트 인증서를 컴퓨터에 설치하거나 하지 않으므로, 이런 식으로 HTTPS 접속에 대해 중간자 공격을 당할 가능성이 없다.
VPN 제휴마케터들이 토르를 싫어하는 데는 이유가 있다. VPN은 유료이면서도 프라이버시 향상 효과가 미미하고 때로는 오픈소스가 아닌 VPN 클라이언트를 관리자 권한으로 설치해야 하거나 루트 인증서를 설치해야 하는 등 보안 위협을 발생시키지만, 토르는 무료이면서도 일상 수준에서는 거의 완벽한 프라이버시를 보장하고, 오픈소스 소프트웨어인데다가 시스템 설정을 건드리지도 않기 때문에 보안 위협을 발생시키지 않는다. 그래서 VPN 마케터들이 가만히 손 놓고 있으면 사람들이 전부 토르 쪽으로 몰려가 버려서 VPN이 장사가 안 될 위험이 있다.
VPN 마케터로서는, 먹고 살려면 토르에 대한 나쁜 이미지를 은연 중에 퍼뜨릴 수밖에 없는 것이다.
잡동사니 블로그 