%20(1).png){kind=small}
[2025년] VPN 써도 경찰에 추적 당하는 이유 (+디시 의견정리)
- BH
- 4 days ago
- 7 min read
Updated: 3 days ago
목차
‘VPN을 사용하면 경찰의 추적으로 부터 안전하다’고 하지만, 실제로는 VPN을 사용했음에도 경찰에 체포 당하는 일이 상당히 많이 일어나고 있어요.
(참고기사 2 : https://www.hankyung.com/article/2021021505047 )
(참고기사 4 : https://www.yna.co.kr/view/AKR20230808154100061 )
때문에
“VPN이 경찰의 추적을 막아준다는건 거짓말이다”라든가, “사실, 경찰은 마음만 먹으면 무조건 잡는다”는 등의 말이 나오는 상황이지요.
그런데, 사실
이는 절반만 맞는 말입니다.🧐
VPN은 비유하자면 ‘도둑의 목장갑’이라고 할 수 있어요.
‘도둑의 목장갑’은 지문을 지워주기 때문에, 도둑의 입장에서는 반드시 착용해야 하는 도구잖아요?
그러나, 아무리
목장갑을 착용하더라도
지문 이외에도 ✔️머리카락 DNA, ✔️신발 자국, ✔️타이어 자국, ✔️CCTV 영상 등… 경찰에게는 지문 이외에도 범인을 특정할 수 있는 다양한 증거들이 존재하죠?
VPN도 마찬가지에요.
VPN은 나의 프라이버시를 지켜주는 가장 중요한 핵심 요소이지만,
✔️로그인 계정 정보
✔️DNS
✔️브라우저 지문(Fingerprint)
✔️WebRTC
…등, 범인을 특정할 수 있는 다양한 증거들이 존재합니다.🫠
때문에
만약 ‘나의 프라이버시를 극단적으로 보호하고 싶다’면, VPN을 사용하는 것은 기본이요, 이외에도 다양한 보안 관련 지식을 갖추어야만 하지요.
걱정마세요. 저희 BH픽셀이 도와드릴께요.
이번 페이지에서는
나의 프라이버시를 극단적으로 높이기 위해서 (1) 어떤 VPN을 사용해야 하는지, (2) 이밖에 무엇을 해야하는지에 대해서 알아볼까 해요.
시작하기에 앞서,
해당 페이지는 사이버 범죄를 조장하기 위함이 아니라. ‘대한민국 헌법 제 17조, 모든 국민은 비밀과 자유를 침해받지 아니한다.’는 정신에 의거하여, 개인의 안전과 개인정보 보호권을 지키는 목적으로 작성되었음을 밝힙니다.
그럼, 시작할께요?
올바른 VPN 선택
VPN을 사용했는데도 경찰에 추적을 당하는 경우를 살펴보면 ‘잘못된 VPN을 사용했기 때문’인 경우가 압도적으로 많습니다. 🥲
경찰에 추적을 당한 이력이 있는 VPN은 다음과 같아요.
✔️유니콘 VPN
✔️토르
✔️일부 무료 VPN
✔️유니콘 VPN
사실, ✔️유니콘 VPN은 VPN이 아니에요.
정확한 이름은 유니콘 https로, 이는 ‘SNI 필드를 우회하여, 정부가 차단한 사이트를 볼 수 있도록 해주는 어플리케이션’일 뿐입니다.🫠
관련글
이에 대해서는 예전 관련글에서 설명한 적이 있으므로, 자세하게 알고 싶은 분들은 한번 읽어주시기 바랄께요?
문제는
의외로 많은 분들이 유니콘 https을 VPN이라고 알고 있다는 점이에요.
다시 말씀드리지만, 유니콘 Https는 정부가 차단한 사이트를 볼 수 있도록 해주는 어플리케이션일 뿐이라서, IP를 감춰주는 기능이 없습니다. 🤦♀️
그러므로, 프라이버시 보호가 목적이라면 유니콘 https는 절대로 사용하시면 안된다는 점 참고해주시기 바랄께요?
✔️토르
‘VPN 보다 안전하다고 알려진 토르가 왜 위험하냐’고 생각하시는 분들도 계실 것 같은데…
실제로 토르를 썼다가
잡힌 사례가 있습니다. 🤨
토르가 위험한 이유는 (1) 국내의 토르 이용자가 매우 적으며, (2) 토르 이용자는 특정 IP를 사용하기 때문이에요.
이에 대해서는
관련글
VPN vs 토르 차이점 비교 (준비중)
위의 관련글에서 자세하게 소개해놓았으니, 관심있으신 분들은 한번 읽어주시기 바랄께요?
✔️일부 무료 VPN
한편, 일부 무료 VPN의 경우, 경찰에 협조한 전력이 여럿 존재하기 때문에 결코 안전하지 않아요.
(실제 사례 2: https://en.wikipedia.org/wiki/HMA_%28VPN%29?utm_ )
때문에
프라이버시를 보호하고 싶은 경우에는 반드시 신뢰할 수 있는 VPN을 사용해야 합니다.🫡
법인 소재지 | 서버 성능 | 보안 성능 | |
노드 VPN | 파나마 | 매우 빠름 | 매우 높음 |
익스프레스 VPN | 버진 아일랜드 | 빠름 | 매우 높음 |
서프샤크 VPN | 네덜란드 | 보통 | 높음 |
애드가드 VPN | 키프로스 | 느림 | 높음 |
프로톤 VPN | 스위스 | 보통 | 높음 |
뮬바드 VPN | 스웨덴 | 보통 | 매우 높음 |
‘왜, 해당 VPN들을 신뢰할 수 있는지’는 각 페이지에서 자세하게 설명해 놓았으니, 궁금하신 분들은 아래의 관련글을 참고해주시기 바랄께요?
관련글
서프샤크 VPN 직접 써본 후기 (준비중)
애드가드 VPN 직접 써본 후기 (준비중)
뮬바드 VPN 직접 써본 후기 (준비중)
‘VPN이 너무 많아서 못 고르겠다’ 싶은 분들은 그냥 노드 VPN 또는 익스프레스 VPN을 구매하시는게 정석이고, 가격이 조금 부담된다 싶은 분들의 경우 서프샤크 VPN이 괜찮은 선택이에요.
물론, 프라이버시 측면에서는 위의 6개 회사 모두 좋은 VPN임은 틀림 없으니, 오해 없으시길 바랄께요?
로그인 계정 점검
다만, 위와같이 신뢰할 수 있는 VPN을 사용했음에도 불구하고 경찰에 추적을 당하는 경우가 있거든요?
그런데, 사례를 살펴보면
‘사이트에 로그인을 한 채로 VPN을 사용했기 때문’인 경우가 대부분 입니다. 🤦♀️
(진짜 환장하겠네...)
일례로, ‘2023년 놀이공원에서 일가족에게 칼부림을 하겠다.’는 유튜브 댓글을 작성한 범죄자가 있었어요.
해당 범죄자는
‘VPN을 사용한 채로 유튜브 댓글을 작성’한 것으로 알려져 있는데, 로그인을 한 채 댓글을 작성하는 실수를 저지르고 맙니다.🤦♀️
(이걸 실수라고 해야할지… 멍청하다고 해야할지…)
아무리, 댓글을 사용할 때 VPN을 사용했다고 하더라도, 유튜브에 댓글을 남기려면 반드시 로그인을 해야하는데?
내가 로그인 한 상태라면,
유튜브 측은...
과거 로그인 했을 때의 IP
과거 로그인 했을 때의 위치 정보
이용자의 이메일
이용자의 휴대폰 번호
...를 가지고 있기 때문에, 경찰 측에 협조하는 것은 그리 어려운 일이 아니에요.
(‘유튜브는 경찰 수사에 협조하지 않는다’고 알려져 있는데, 이는 단순 욕설 등의 경범죄에 해당할 뿐이에요. 상해범죄. 성범죄, 테러를 예고하는 등의 댓글에는 무관용으로 수사에 협조합니다.)
여기서 우리가
알 수 있는 것은
나의 프라이버시를 지키기 위해서는 ‘계정을 생성하는 시점부터 VPN을 사용해야 한다.’는 사실이에요.
또한, 이를 근거로 계정을 생성하는 시점에 휴대폰 번호를 요구하는 사이트의 경우, 나의 프라이버시를 지킬 수 없다는 점 까지도 유추해 볼 수 있지요.
한국의 사이트 대부분은 계정 생성 시 휴대폰 번호를 요구하기 때문에, 이는 프라이버시 측면에서 꽤나 불리하다는 것도 알 수 있구요.
✔️올바른 VPN 사용
✔️로그인 계정 점검
이 두가지를 완벽하게 점검해 주셨다면, 사실 상 ISP(통신사)와 경찰은 이용자를 수색할 방법이 없습니다.🙂↕️👍
다만
사이트 측에서 보다 적극적으로 협조할 경우에는 얘기가 달라지죠.
브라우저 지문 삭제
우리의 프라이버시가 침해 당하는 핵심적인 원인은 (1) 내가 사이트에 접속할 때는 반드시 IP가 사이트에 노출된다는 점이고, (2) 사이트가 나의 IP를 경찰에 제공한다는 점 때문이잖아요?
문제는
사이트 측은 IP 이외에도, 경찰에 제출 할만한 자료가 더 있을 수 있다는 사실이에요.
그 자료가 바로,
핑거프린트(Fingerprint)에요.
한번 생각해 보세요. 우리가 사이트에 접속할 때 PC를 통해서 접속할 때도 있고, 스마트폰을 통해서 접속할 때도 있잖아요?
당연히, 사이트는 ‘이용자가 어떤 기기로 접속했느냐’에 따라서, 각각 다른 화면을 전송해야 해요.
(PC기기의 경우, PC 페이지를 전송! 스마트폰의 경우, 모바일 페이지를 전송!)
그런데,
기기 뿐만이 아니라
이용자의 ‘✔️OS, ✔️GPU, ✔️화면 해상도, ✔️폰트가 무엇인지’에 따라서도, 사이트가 보내야 하는 화면에 영향을 미치거든요? 때문에, 사이트는 이 과정에서 내 컴퓨터의 정보를 수집하지요.
바로, 이것이 핑거프린트에요.
물론,
핑거프린트 만으로 직접적인 추적은 불가능해요. 다만, ‘용의자가 50명 정도로 좁혀졌는데, 이용자의 컴퓨터를 전원 압수수색 할 수 있는 상황’이라면, 얘기는 달라집니다. 🧐
경찰이 핑거프린트를 대조해보면, 용의자를 판별 할 수 있는 가능성이 발생하기 때문이지요.
그런데, 오해는
하지 말아주세요.
핑거프린트는 ‘나의 흔적 중 하나’일 뿐이지, 사실 경찰이 추적에 사용하는 기법은 아닙니다.🤔 애초에 핑거프린트는 해쉬(Hash) 값 형태로 저장 되기 때문에, 경찰 측에서도 이를 수사에 사용하지 않아요.
(해쉬값은 증거로서 큰 가치가 없음)
다만
애초에 프라이버시라는 것은 ‘나의 흔적을 조금이라도 더 확실히 지우는 싸움’이기 때문에, 조금이라도 확실하게 하고 싶다면, 핑거프린트를 남기지 않는 것을 추천드려요.
네? 핑거프린트를 어떻게
남기지 않을 수 있냐구요?
이를 위해서 우리는 파이어폭스(Firefox) 브라우저를 이용할 겁니다.🦊
핑거프린트를 강제로 남기도록 설계된 크롬 브라우저와 다르게, 파이어폭스 브라우저는 설정을 통해서 핑거프린트를 남기지 않도록 설정 할 수 있거든요.
게다가, 파이어폭스는
핑거프린트 수집 여부를 감지
사이트 트래커 여부를 감지
… 하는 기능이 있기 때문에, 프라이버시 보호에도 상당한 도움이 됩니다.😶🌫️
그렇다면 실제로 파이어폭스로 핑거프린트를 제거해볼까요?
위의 사이트를 통해서 파이어폭스를 다운로드 해줍니다. 파이어폭스를 실행해주신 다음, 주소창에 다음과 같이 입력해주세요.
about:config그럼, 검색창이 하나 뜰텐데, 이 곳에 다음과 같이 입력해주세요.
privacy.resistFingerprintingprivacy.resistFingerprinting에 false라고 적혀있을텐데, 우측의 아이콘을 눌러서 true로 변환해 줍니다.🫡
이제 끝이에요.
이제 여러분이 파이어폭스 브라우저를 사용하실 때는 절대로 핑거프린트가 남기지 않게 되지요.
네? 핑거프린트가 안남는지
어떻게 아냐구요?
그렇다면, 실제로 실험을 해봅시다.🤓
일단, 여러분이 크롬이나 웨일 브라우저로 위의 사이트에 한번 들어가보시겠어요?
‘Image File Details’ 항목을 보시면 'BrowserLeaks.com <canvas>'라는 문자의 이미지가 보이실거에요.
이 이미지가 보인다는 것은
'해당 사이트가 나의 핑거프린트를 수집하여, 이를 기반으로 이미지를 만들었다’는 것을 의미해요.
(HTML에는 Canvas라는 명령어가 있는데, 이것이 핑거프린트를 기반으로 이미지를 생성하는 원리 입니다.🤓)
그렇다면,
이번에는 파이어폭스에서 privacy.resistFingerprinting 값을 True로 바꾸어 준 다음 해당 사이트에 다시 들어가보도록 하겠습니다.
만약, 핑거프린트를 정상적으로 차단했다면...
나의 핑거프린트를 불러들이지 못했기 때문에, 이미지가 정상적으로 출력되지 않는 것을 확인할 수 있지요.
이것으로
브라우저로 인한 정보유출은 걱정하지 않으셔도 됩니다.🙂↕️👍
다만,
다시한번 강조하자면
핑거프린트는 경찰 수사의 핵심이 되는 데이터가 아니에요. 오히려 광고 추적기를 막는데 도움이 되는 기능이지요
다만, 보안을 꼼꼼하게 챙기시는 분들은 이러한 핑거프린트까지도 사용한다는 것 역시 분명한 사실이지요. 참고로 알아두시기 바랄께요?
webRTC 비활성화
반면, WebRTC는 핑거프린트 보다 좀 더 심각한 문제입니다. 😕
만약 여러분이 크롬같은 브라우저를 통해서 ✔️음성채팅, ✔️화상채팅, ✔️웹게임등을 한다고 가정해볼께요?
이 때,
일부 서비스의 경우
사이트 서버를 거치지 않고, 이용자끼리 직접 연결(P2P) 되는 경우가 있단 말이죠? 이를 기술적으로 구현하기 위해서는 반드시 webRTC라는 기술이 필요해요.
문제는
이 webRTC 기술을 사용하면, VPN을 사용하더라도 IP가 노출되는 경우가 있다는 사실입니다. 😱
webRTC를 통해서 IP가 노출되는지를 검사하는 방법은 크게 3가지가 있어요.
저희 BH픽셀은 ‘VPN을 사용하더라도 webRTC를 통해서 IP가 노출 되는지’를 검증하기 위해서, 메이저급 VPN을 대상으로 위의 3가지 테스트를 모두 실행해 보았습니다.
그리고, 그 결과값을
여러분께 공개합니다.
뮬바드 테스트 | 익스프레스 테스트 | browser leak 테스트 | |
노드VPN | 유출 | 유출 | 유출없음 |
익스프레스VPN | 유출없음 | 유출없음 | 유출없음 |
서프샤크 VPN | 유출 | 유출 | 유출없음 |
애드가드VPN | 유출 | 유출 | 유출없음 |
프로톤 VPN | 유출 | 유출 | 유출없음 |
뮬바드 VPN | 유출없음 | 유출없음 | 유출없음 |
테스트 마다 결과값이 조금 다른데…
이는 browser leak 테스트가 API 값을 기준으로 테스트를 하는 반면, 뮬바드 테스트와 익스프레스 테스트는 실제 네트워크 패킷으로 테스트를 하기 때문입니다. 🤔
좀 더 자세하게 말하면
browser leak 테스트의 경우, 직접 사이트에 건내주는 IP가 무엇인지를 체크하는 것이며,
뮬바드 테스트와 익스프레스 테스트는 직접 사이트에 건내주는 IP가 무엇인지 뿐만 아니라, 실제 어떤 IP를 통해서 전송되는지(네트워크 계층) 까지 체크한다 때문에 훨씬 강도 높은 테스트라고 할 수 있지요.
즉,
전송은 실제 IP로 이루어지는데, 사이트는 VPN IP 밖에 안보이는 상황을 놓고...
browser leak 테스트는 "사이트가 어차피 못보니, API 값 테스트로 충분하다"
뮬바드 테스트와 익스프레스 테스트는 "아니다. 실제 전송도 VPN IP로 이루어지는지까지 테스트 해야한다"로 의견이 갈리는 상황이라는 것이죠.
일단 browser leak 테스트의
말이 맞긴 합니다.🧐
애초에 webRTC 기술을 사용하는 사이트는 일부에 지나지 않으며, 실제로 웹사이트가 받게되는 IP 정보는 browser leak 테스트의 API 값이거든요.
때문에, 뮬바드 테스트와 익스프레스 테스트에서 유출 판정을 받은 다른 VPN들은 보안 성능이 떨어지는게 아니라, "API 값만 막아도 충분하다"도 판단했기 때문이지요.
다만
누누히 강조하지만, VPN은 신뢰성이 극단적으로 중요한 사업이에요.
아주 작은 빈틈 조차도 막는 것이 VPN 사업의 본질인 만큼 네트워크 계층에서 IP 유출을 막는 ✔️익스프레스 VPN과 ✔️뮬바드 VPN의 이러한 기술력이 결코 무의미하다고는 할 수 없지요.
때문에
WebRTC 관점에서 VPN을 고르시겠다면, ✔️익스프레스 VPN과 ✔️뮬바드 VPN을 선택하는 것이 좋은 선택이에요.
실제로 두 VPN은 회사의 규모와는 별개로 지난 10년간 VPN 업계의 혁신을 주도해온 업체라는 공통점이 있는 만큼 기술력 측면에서는 충분히 믿을 수 있는 회사입니다. 😎
관련글
뮬바드 VPN 직접 써본 후기 (준비중)
만약 이러한 두 VPN에 대해서 좀 더 궁금하시다면, 위의 관련글을 참고해주시기 바랄께요?
네? 이미 다른 VPN을
사용하고 계신다구요?
그런데, WebRTC가 걱정되신다구요?
걱정 하지마세요. 이번에도 불여우(Firefox)는 여러분을 구원합니다.🦊
파이어폭스의 주소창에서 다시한번 about:config를 입력해볼까요?
검색창에 media.peerconnection.enabled을 입력해주면, 최초의 값이 True로 되어있는 것을 확인할 수 있는데, 이것을 False로 바꿔주세요.
이제 뮬바드 테스트로
들어가보면…
VPN 회사에 상관없이 WebRTC IP 유출이 사라지는 것을 확인할 수 있지요.
이 정도면
일반인을 기준으로 나의 프라이버시를 지키기 위한 대부분의 수단은 사용하셨다고 봐도 좋아요.
여기서 좀 더 나가시는 분들은 가상 머신(VM)으로 인터넷에 접속하시기도 하는데… 워낙 매니악한 방법이기도 하고 실효성도 크지 않아서 그다지 추천드리진 못하겠습니다. 🫠
(애초에 VPN이 작동 안하면 VM 자체가 의미가 없어서…)
아무쪼록
이번 페이지를 통해서 나의 프라이버시를 보호하기 위해 어떠한 조치를 취해야하는지 확실하게 알아가게 되셨길 바랄께요?
이상, BH픽셀이었어요-!