기술제품회사가소비자에게좋은인상을남기기위해제품의기능을과장해서광고하는것은공공연히행해지는일입니다. 반면반대로기능을실제수준보다낮춰서광고하는경우는어떤가요? VPN서비스업체는이부분에있어악명이높습니다. 많은VPN회사가사용자의활동기록을보관하지않는다고주장하기때문입니다. 이는일명‘무기록정책’으로도불립니다.
하지만이는사실이아닙니다.
‘무기록(No log)’은사이버보안분야에서가장해석이자유로운용어중하나입니다. 각회사가용어정의를어떻게하느냐에따라의미가달라지기때문입니다.
로그의종류
완전무기록
이름이말해주듯이완전무기록을적용하는VPN은최고수준의보안체계를제공합니다. 소프트웨어사용시데이터가수집되지않기때문에익명성이보장됩니다. 이러한기록정책은데이터가광고주에게판매되거나범죄수사에서사용자에게불리한쪽으로악용될우려가없기때문에현재가장효과적인정책으로여겨지고있습니다. 이정책을적용하는것으로유명한VPN에는Private Internet Access가있습니다. Private Internet Access는실제로사용자의활동을기록하지않기때문에FBI의자료검열요구도계속하여거절해왔습니다.
세션기록
세션기록은대부분의VPN 회사가무기록정책을주장할때자주쓰는말입니다. 세션기록은비교적간단한기록으로서VPN사용시사용자가관여하게되는메타데이터를추적합니다. 보통수집되는메타데이터는사용시간, 대역폭및사용된VPN서버등입니다.
비록세션기록에기본적인데이터가포함되어있는것은사실이지만, 대부분의경우피해를유발하지않습니다. 그러나데이터수집을완전히차단하고자하는사용자라면완전무기록서비스를이용하는것이좋습니다.
활동기록
활동기록은VPN사용시사용자가인터넷공간에서활동한내용중많은부분을데이터로기록할수있기때문에위험성이굉장히큰기록이라고할수있습니다. 활동기록은사용자의검색내용, 방문한웹사이트, 접속하거나다운로드한파일, 심지어는쇼핑구매목록까지수집할수있습니다. 이러한활동기록은제3자광고주에게판매되거나범죄수사에서사용자에게불리한방향으로악용될수있기때문에굉장히위험한데이터가될수있습니다.
IP 주소기록
IP주소기록은활동기록보다위험성은다소적지만여전히경계해야할기록입니다. 이기록은인터넷IP주소를통해사용자의실제위치를파악하며,VPN접속시간도수집합니다. 이러한정보는다양한수사관련상황에서사용자의신분을파악하는데사용될수있습니다.
기록에영향을미치는데이터협약및정책
국민감시정책에집중하는정부기관에의해강요받지않는한, VPN 회사는일반적으로사용자의활동기록을보관하지않습니다. 이와관련하여가장대표적인정부협약으로파이브아이즈, 나인아이즈, 포틴아이즈가있습니다. 이그룹에해당하는국가는거주하는국민의활동을감시합니다. 만약위에언급된그룹에속한어떤국가의데이터관련기관이국민을감시할법적관할권을갖고있지않다면, 그들은동일그룹에속한다른국가의데이터기관에해당업무를요청할것입니다. 아래는이러한그룹과그그룹에속한국가에대한설명입니다.
파이브아이즈
국민감시정부제도로가장대표적인거시파이브아이즈입니다. 이는미국, 영국, 호주, 뉴질랜드, 캐나다가협력하여각국의국민에대한데이터를공유하는협약입니다. 이협약은 1946년제 2차세계대전이종료된후소비에트연방및동맹국의활동을감시하기위해체결되었습니다. 처음의목적은소비에트군대가주고받는신호를감시하고수집하는것이었지만시간이지남에따라일반시민들의전화, 컴퓨터, 팩스내용을도청하는것으로까지발전했습니다. 이렇게해서광범위한정보네트워크가형성되었고, 곧캐나다, 호주, 뉴질랜드도합류하게되었습니다.
오늘날이와같은정보추적시스템은ECHELON(에셜론)이라는소프트웨어에의해운영되고있습니다. 각정부는ECHELON소프트웨어를통해상업및개인활동을감시하며, 방대한양의개인정보를수집합니다. 이렇게수집된정보는그룹내에서공유되며수상한인물을추적할때사용됩니다. 대부분의데이터는통화, 인터넷활동, 팩스및기타디지털통신기기의통신내용으로구성됩니다. 따라서파이브아이즈그룹에속한국가에거주하는국민은수상함이감지되었을때방대한양의데이터의추적대상이됩니다. 이러한이유로각국의정부는VPN회사로부터사용자활동정보를요구할권리를갖게되는것입니다.
나인아이즈
파이브아이즈데이터공유협약이최초회원국가들에여러모로유용하게활용되자곧이어다른국가들도합류하게되었습니다. 새로합류한 4개국은네덜란드, 프랑스, 노르웨이, 덴마크였습니다. 이신규회원국가들은협약의구성원이긴하지만, 네덜란드같은경우독립적인데이터보호법을적용하고있기도합니다. 네덜란드의데이터보호정책중일부는개인정보를엄격하게보호하며, 결과적으로VPN회사가보관할수있는정보의종류도제한됩니다.
포틴아이즈
파이브아이즈와나인아이즈협약이성공을거두자스페인, 독일, 벨기에, 이탈리아, 스웨덴이추가로합류하여협약은 14개국으로확장되었습니다.추가합류한국가들도데이터공유의대상이되어각국의국민들을효과적으로감시하는것이가능하게되었습니다. 이렇게포틴아이즈협약은궁극적인감시시스템을형성하여VPN업체의유효성과관련하여상당히큰영향을끼치고있습니다.
최근기록사례
많은VPN회사가무기록정책을주장하지만, 진정한의미의무기록정책을적용하는회사는실제로많지않습니다. 이와관련하여홍콩소재의VPN회사인PureVPN이최근특정사용자의정보를FBI로넘긴것을한사례로들수있습니다.
FBI는PureVPN의사용자중한명이서비스를악용하여사이버범죄를일으키고누군가를괴롭혔다는스토킹사건의수사를위하여PureVPN에도움을요청했습니다.그러자PureVPN측은FBI에해당사용자의로그인장소및시간과관련된정보를넘겼습니다. 결과적으로FBI는세션기록덕분에용의자검거에성공했으나, 이사건으로인해무기록정책을주장했던PureVPN이언론의집중조명을받았습니다.
계속된조사결과, PureVPN이표면적으로내세우는개인정보보호정책과는모순되게실제로는서비스이용자의활동세션기록을보관한다는사실이밝혀졌습니다.
해당사건은VPN 회사가정부기관에사용자데이터를넘기는것과관련하여가장잘알려진사례이지만결코유일한사례는아닙니다. 이사건을포함하여과거있었던다른많은사건들은이른바‘무기록정책’의의미가어떻게해석하느냐에따라크게달라질수있음을보여줍니다.
스스로를보호하는방법
자세하게읽어보기
많은회사가무기록정책을주장하지만, 실제로는작은크기의활자로반대의내용을명시해놓은경우가많습니다. 사용자는모든서비스의정책내용을자세하게읽어서자신의정보가연구목적으로수집되지않는다는것을확실히해야합니다.
포틴아이즈국가피하기
포틴아이즈국가에속한VPN은대체적으로엄격한데이터보관정책때문에개인정보보호수준이비교적낮은편입니다. 하지만일부국가의VPN은정책에앞서정보를개인적으로이용하는것이인간으로서의마땅한권리라고주장하며규정을무시하고사용자의활동기록을보관하지않기도합니다. 또한일부국가는국민에대하여엄격한개인정보호법을적용하여VPN이사용자의데이터를기록해야하는지여부에대해의문을제기하고있습니다.
Tor로VPN 사용하기
Tor(오니온라우터)로VPN을사용하면아무리엄격한데이터보관정책을적용하는국가일지라도데이터추적이거의불가능할정도로개인정보보호수준을높이는것이가능해집니다. 하지만제대로사용하지않았을시Tor의출구노드를통해인터넷활동이추적될수있어사용전보다안전성이더떨어질위험이있습니다.
결론
결국어떤VPN이자신에게적합한지는어느정도의개인정보보호수준을원하느냐에따라달라집니다. VPN구독전시장조사를해보고해당서비스가자신이찾고있는서비스가맞는지확실히할필요가있습니다.