무단 스크린샷과 도난된 비밀번호: 65% 이상의 무료 VPN이 초래하는 프라이버시 위협
온라인에서 개인 정보를 보호하려는 경우 가장 먼저 떠오르는 것은 아마도 VPN일 것입니다. 가상 사설망(VPN)은 사용자의 기기(데스크톱, 노트북, 모바일 기기 등)에서 실행되는 프로그램으로, 모든 인터넷 트래픽을 암호화하고 IP 주소를 확인하려는 호기심 많은 이들에게 실제 위치를 숨김으로써 개인 정보를 한층 더 보호합니다. VPN 사용은 정말 '개인정보 보호의 기초'라 할 수 있으며, 작동 원리를 전혀 모르거나 아주 막연히만 알고 있는 사람들 사이에서도 VPN은 매우 대중적입니다.
안타깝게도 실제로는 기술에 익숙하지 않은 사용자들이 VPN을 선택할 때 브라우저 확장 프로그램 스토어에서 처음 눈에 띄는 옵션을 고르는 경우가 많습니다. 대개 수천 개에 달하는 무료 VPN 중 하나이며, 종종 상대적으로 알려지지 않은 서비스입니다. 개인정보 보호에 민감한 독자라면 이 상황을 읽는 것만으로도 이미 경각심을 느낄 수 있을 것입니다. 그럴 만한 이유가 있습니다. 무료 VPN은 단순히 안전하지 않습니다. 이 주장을 뒷받침하는 증거는 이미 많으며, 모바일 보안 기업 Zimperium zLabs의 최근 연구는 이를 다시 한번 확인시켜 줍니다. 그들의 연구에 따르면, 800개의 무료 안드로이드 및 iOS VPN 앱 중 65% 이상이 하나 이상의 보안 또는 개인정보 문제 보임를 보였는데, 개인 데이터 유출이나 취약한 코드 등이 그 예입니다.
가장 흔한 문제점들
무료 모바일 VPN 앱에서 가장 흔히 발견되는 취약점들
검토된 앱의 거의 3분의 2에서 발견된 가장 흔한 문제는 단연 “위험한 행동 및 API”였습니다. 이 포괄적 용어는 VPN 앱의 공격 표면을 확대할 수 있는 위험한 API 사용과 앱 행동에서 발견된 여러 추가적 문제점을 모두 포함합니다. 예를 들어, 검토된 일부 앱은 사용자 인터페이스의 스크린샷을 캡처하기까지 했는데, VPN 앱이 왜 그런 작업을 해야 하는지 여러분의 추측이 저희의 추측만큼이나 타당할 것입니다. 다른 앱들은 보안 취약한 활동 실행으로 인해 공격자들이 운영체제 보안 검사를 우회할 수 있는 기회를 제공했습니다. 악의적인 행위자들은 이를 악용해 로그인 화면 같은 민감한 구성 요소를 정상적인 앱 흐름 밖에서 실행할 수 있습니다. 이로 인해 암호화를 강제 해제하거나 VPN 연결을 완전히 끊을 수도 있습니다.
연구 대상 VPN 중 일부는 적절한 권한 확인 없이 다른 앱이 내부 구성 요소에 접근하도록 허용하는 것으로 적발되었습니다. 이러한 관리 소홀로 인해 악성 앱이 로그, 연결 세부 정보 또는 사용자 계정과 같은 민감한 데이터를 엿보거나, 심지어 VPN의 작동 방식을 변경하여 설정을 조작하거나 트래픽을 위험한 서버를 통해 우회시킬 수도 있습니다.
일반적인 권한 남용은 검토된 앱의 약 40%에서 발견된 또 다른 매우 두드러진 문제였습니다. 악의적인 의도를 배제하더라도, 앱의 기능 범위를 초과하는 권한을 요청하는 것은 보안 위험이 도사리고 있습니다. 앱이 가진 권한이 많을수록, 이를 악용하려는 잠재적 공격자에게 열려 있는 문도 많아집니다. 그리고 분명히, 마이크 접근 권한 같은 이상한 권한을 요구하는 일부 VPN 앱들은 선의가 아닌 의도를 가지고 있습니다. 하루 종일 사용자가 말하는 모든 내용을 녹음한 뒤, 사용자가 전혀 모르는 무작위 서버에 업로드하는 VPN 앱을 상상해 보세요.
30개의 iOS VPN 앱은 또한 ‘개인 권한’을 요청하는 것으로 두드러졌습니다. 이 유형의 권한은 앱이 기기를 상당히 통제할 수 있게 해주며, 일반적으로 애플이나 매우 특정된 신뢰할 수 있는 애플리케이션에만 부여됩니다. 예를 들어, 앱에 이러한 권한 중 일부를 부여하면 시스템 호출을 실행하거나, 민감한 정보가 포함된 메모리 공간에 접근하거나, 심지어 다른 앱의 개인 데이터(인증 정보 포함)를 빼낼 수도 있습니다. 앱이 권한을 요청할 때는 매우 위험한 신호이며, 대개 해당 앱이 악의적인 목적을 가지고 있음을 나타냅니다.
iOS에서 특히 무료 VPN 앱의 흔한 문제점 중 하나는 오해의 소지가 있거나 누락된 라벨입니다. 앱 스토어를 통해 배포되는 모든 앱은 어떤 사용자 데이터를 어떻게 처리하는지, 그리고 사용하는 API가 필요한 이유를 명시해야 합니다. 이는 앱 번들에 포함된 내부 파일인 개인정보처리방침을 통해 이루어집니다. 개발자는 이 개인정보 처리방침을 바탕으로 앱의 앱 스토어 페이지에 사용자가 확인할 수 있는 영양성분표를 기재해야 합니다. 이는 사용자에게 이해하기 쉬운 개인정보 처리 요약 역할을 하는데, 연구 결과 조사 대상 iOS VPN 앱의 40% 이상이 필수 라벨을 제대로 표시하지 못한 것으로 나타났습니다. 더 심각한 점은 앱의 25%가 유효한 개인정보 처리방침을 전혀 포함하지 않았다는 사실입니다.
무료 iOS VPN 앱에서 가장 흔히 누락되는 라벨 유형
허위 영양성분표시와 누락된 개인정보 처리방침은 부주의나 악의에서 비롯될 수 있으나, 어느 쪽이든 개인정보를 보호해야 할 앱에서 목격하고 싶은 모습은 아닙니다. 사용자를 처음부터 속이고 오도하는 행위는 그 자체로 충분히 나쁘고 잠재적으로 위험할 뿐만 아니라, 다른 훨씬 더 심각한 문제의 징후이기도 합니다.
연구에서 언급된 개인정보 보호 및 보안상의 결함 중 마지막 두 가지 범주인 통신 문제와 문제성 라이브러리는 훨씬 덜 나타납니다. 이 두 문제는 극소수의 앱(전체 앱의 각각 1%, 0.4%)에서만 발견되었습니다. 그러나 이들은 VPN 앱이 저지를 수 있는 가장 심각한 개인정보 보호 실수 중 하나입니다. 3개 앱은 여전히 구형 OpenSSL 라이브러리 버전을 사용 중이어서, 사용자의 사용자명, 비밀번호, 비밀 키를 노출시킬 수 있는 매우 잘 알려진 10년 전의 쉽게 수정 가능한 버그에 취약한 상태였습니다. 이는 특히 사용자를 보호한다고 주장하면서도 신뢰를 저버리는 앱에게는 용납될 수 없는 일입니다. 또 다른 1%의 앱들은 사용자를 중간자(Man-in-the-Middle, MitM) 공격에 취약하게 만들어 악의적인 행위자가 기기의 모든 웹 트래픽을 가로채고 읽을 수 있게 했습니다. 이는 VPN이 제공해야 할 보안 통신이라는 기대와 정반대입니다.
결론
이 연구에 따르면 무작위로 무료 VPN 앱을 설치할 경우, 사생활이나 보안 관련 문제를 최소한 한 번쯤은 겪을 가능성이 매우 높습니다. 일부는 사소한 위협에 그칠 수 있지만, 다른 경우에는 정말로 치명적인 결과를 초래할 수 있습니다. 여러분은 이런 위험을 감수할 준비가 되어 있나요? AdGuard VPN의 최고 제품 책임자가 Zimperium zLabs의 연구 결과에 대해 이렇게 논평했습니다.
“조언을 단 하나만 해야 한다면, 무료 VPN은 아예 사용하지 말라고 말씀드리고 싶습니다. 무료 VPN은 유료 VPN과 같은 수준의 보호, 속도, 기능을 절대 제공할 수 없으며, 이를 설치함으로써 감수해야 하는 위험은 매우 현실적입니다. 프라이버시만큼은 절대 지켜야 하는 부분입니다.
하지만 꼭 무료 VPN을 선택해야 한다면, 이미 신뢰를 받은 유료 VPN이 제공하는 무료 플랜을 찾으세요. 이러한 무료 플랜은 일반적으로 동일한 프라이버시 정책을 따르기 때문에, 사용자 개인정보의 안전이 보장되는 편입니다.”
— 데니스 비아조보이(Denis Vyazovoy), AdGuard VPN 최고제품책임자(CPO)
VPN은 단순히 기기에 설치하는 '또 하나의 앱'이 아님을 잊지 마세요. VPN은 잠재적으로 기기의 모든 웹 트래픽에 접근할 수 있으며, 연구 결과에 따르면 때로는 시스템 설정까지 접근할 수 있습니다. 따라서 VPN 앱 선택 시 본인의 사생활 보호에 대한 신중함과 존중을 바탕으로 접근해야 합니다.
