검찰, 경찰 수사 가능성은 VPN 유저들이 가장 많이 궁금해하실 부분 중 하나가 아닐까 싶어요. 왜 굳이 한국 IP를 사용해서 IP 주소 추적 당할 걱정을 하는걸까? 의아하기도 하지만 사람마다 각자의 사정이있으니 그 부분까지 모두 알 순 없습니다. 저도 궁금한 부분인데 검증하고자 고소당할 짓을 해서 직접 테스트할 순 없고.. 이론적인 부분 + 직접 문의한 것에 대한 답장을 공유해볼까 합니다.
IP 추적이 불가능한 이론적인 이유
첫 번째. No Log
우선 ExpressVPN 그리고 NordVPN 둘다 No log(로그, 사용자의 사용 기록을 전혀 남기지 않음) 정책이 가장 철저하게 지켜지는 곳 입니다. 그래서 지금까지 가장 높은 신뢰도를 유지할 수 있었고 그 결과 1위 2위 자리를 서로 엎치락 뒤치락하며 가장 인기있는 VPN 회사로 자리잡게 된 것 입니다.
2017년 러시아 대사 암살 사건때 범인이 안드레이 카를로프 러시아 대사 암살과 관련된 증거를 삭제하기 위해 ExpressVPN을 사용했다고 주장했고 ExpressVPN의 서버를 압수한 적이 있었습니다.(관련글) 하지만 그 어떤 Log도 입수할 수 없어서 신뢰도가 많이 높아졌던 계기가 되기도 했습니다.
확실한 No Logs 정책은 두 회사의 가장 큰 무기이고 이것이 무너지면 회사 매출이 박살나버릴테니 절대로 포기할 수 없을 것 입니다.
두 번째. 법률과 관할권
익스프레스VPN은 BVI(영국령 버진아일랜드)에 NordVPN은 파나마에 본사가 자리잡고 있는데, 둘다 No log가 합법적인 나라이기 때문입니다. 한국도 그렇지만 미국, 유럽 등 주요 국가들은 대부분 일정기간 기록을 보존해야하기 때문입니다.
두 회사가 기록하지 않는 것은 아래와 같습니다.
- IP 주소
- 사용자의 트래픽 목적지
- 메타데이터
- 브라우징 기록
- 연결에 관련된 정보
- DNS 쿼리
등 유저가 VPN에 접속되어있는 동안 발생하는 모든 기록들을 저장하지 않습니다. ‘데이터 보존법’이 없어야 가능합니다. 만약 수사기관(경찰, 검찰 등)이 로그를 요구하려면 그 절차 또한 굉장히 복잡한데요. BVI 기준으로 말씀드리면 아래의 요건이 모두 부합해야 ‘기업에 요구’를 할 수 있습니다.
- BVI 회사가 특정 증거와 기록을 남기게 하려면 BVI 고등 법원이 명령을 내려야함
- 고등법원의 명령을 얻어내려면 해당 법원에 외국 정부가 청원 및 근거를 제시해야 합니다.
- 범죄의 종류와 성격
- 구체적인 증거
- 사건과 증거의 관련성
- 해당 증거가 BVI 내에서 생성 될 수 있다고 믿는 근거 및 성격
- 해당 범죄가 BVI에서도 징역형인지 입증
등등을 밝혀내면 기업에 Log를 기록할 수 있게 요구를 할 수 있는데, 지난 10여년의 세월동안 미로깅이 가능했던 이유는 한번도 가능하지 않았기 때문이지 않을까요. 미국의 경우에는 판사 및 로펌 등이 100% 확실한 증거가 없이 소환장을 발행 할 수 있는데, 구글 투명성 보고에 따르면 미국 내에선 매년 4만건의 사용자 정보 요청 중 80%가 받아들여진다고 합니다. 한국의 경우에는 만약 VPN을 사용하지 않았다면 거의 100% 특정된다고 봐야겠죠.
이런 엄청난 과정을 다 해냈다 하더라도 얻어낼 수 없는 기록이 없는데 그것에 대한 설명은 캡쳐해왔습니다.
이는 NordVPN도 마찬가지입니다. 요약하면 엄청난 과정을 통해 조각이라도 얻어간다 해도 증거나 특정할 수 있는 정보로 쓸 수 없다는 것. 그리고 조금이라도 더 익명성을 확실히 하고 싶다면 비트코인 같은 암호화폐 결제를 추천하기도 합니다.
그리고 No Log는 아래의 시스템이 더 확실하게 만들어 줍니다.
RAM Servers
SSD, HDD 처럼 저장장치에 운영체제나 프로그램을 세팅해서 운영하는게 아닌, 휘발성 RAM 위에서 운영하기 때문에 압수수색을 통해서도 가져갈 것이 없게 만듭니다.
이 부분은 ExrpessVPN이 문서화를 잘 해놨더군요. (TrustedServer) 설명을 조금 더 덧붙여 요약하면 아래와 같습니다.
- HDD에서 시스템을 돌리게 되면 운영체제와 앱의 기록이 남는데, 전원이 꺼져버리면 모든게 사라지는 RAM의 경우에는 데이터를 제3자가 압수할 수 없고 서버에 누군가가 침입했다고해도 백도어나 악성코드를 남길 수 없다.(“데이터는 유독한 자산”이다.)
- 전통적인 VPN 서버는 전세계에 존재하는 수천개의 서버를 각각의 관리자가 OS(운영 체제), 소프트웨어 등을 업데이트 해줘야하는데, 중앙 서버에서 운영 가능.
- 서버 시작될 때 마다 ‘최신 버전의 읽기 전용 이미지 로딩’ (Tails Linux 방식이라고)
- 모든 서버에서 실행되는 환경을 모두 파악 가능
- 전 세계 모든 서버가 업데이트된 패치 및 최적화된 보안을 동일하게 유지
- 잘못된 세팅 및 구성으로 취약성이 발생할 수 있는 확률이 현저하게 낮아짐
- 서버 및 해당 기술은 대기업에 외부 감사 및 포상금을 걸고 버그 바운티 프로그램까지 운영
NordVPN 공식 입장은?
아무래도 설명을 잘 해놔도 업체측의 공식적인 입장을 확인하고 싶은 분이 있을 수 있습니다.(저 또한) 그래서 문의 메일을 보내서 받아봤습니다. (아래는 NordVPN 문의 답변)
한마디로 온라인 세션이나 기간 및 시간, IP 주소, 서버, 방문한 웹사이트, 다운로드한 파일 등의 로그를 보관하지 않으며 개인 데이터 중 그 어떤 것도 기록되거나 저장되지 않음.
이정도면 마음놓고 사용할 수 있지 않을까요? ^^.. 두 회사가 1,2위를 다투는데 지금까지 그 어떤 VPN도 그 중간을 비집고 들어오지 못한 이유는 이런 기술적인 부분과 신뢰와 관련이 되어있지 않아.. 생각합니다. 경찰은 한국의 ISP를 통해 특정 사이트에 접속한 IP 정보를 얻게되는데, VPN 회사의 것만 얻게되어 거기서 더 진행이 되지 않습니다.
NordVPN & ExpressVPN 최대한 할인 받는 방법
아래는 공식 링크 입니다.
- ExpressVPN : ExpressVPN Korea 접속만 하시면 자동 적용 되어있습니다.
- NrodVPN : 몇단계 거쳐야 합니다.
- NordVPN 라이브 딜 접속
- 결제 페이지에서 국가 대한민국을 미국으로 변경 후 캘리포니아가 나오면 Zipcode는 90241 입력해서 부가세 없애기
Complete 플랜에 포함된 NordLocker(리뷰보기)는 상당히 좋은 파일 암호화 앱 입니다.