무료 VPN 위험성 피해 사례: 개인정보 판매와 악성코드

앞서 무료 VPN 리뷰 페이지에 정리하려다 글이 너무 길어져서 이 페이지로 옮겨서 정리하게 되었습니다. 매년 좋은 무료 VPN 리스트에 올라오는 수 많은 앱들 사용해보신 유저들 이라면 잘 아시겠지만 다 비슷하게 생기고 쓰다보면 진짜 무료인가? 라는 의구심이 들기도 합니다. 위험한 무료 VPN 왜 그런지 자세히 알아볼게요.

무료 VPN 위험성 – 뒤에 몰래 숨은 이면

• 기본적인 상표권 등록도 하지 않아 같거나 비슷한 이름으로 여러 업체가 만들어 혼란스럽기도 하고
• 한 회사가 이름과 디자인만 살짝 바꿔서 여러개의 VPN 앱을 만들어 올리기도 합니다.
• 예전에는 할당량을 다 사용하고나면 다른 무료 VPN을 받으라고 권하는 앱도 있었는데, 물론 본인(회사)이 만든거죠.
• 한 때는 모바일 VPN 앱을 받아 써보면 우측 상단 혹은 결제 화면에 ‘왕관’, ‘VIP’가 상당히 많이 보였는데요. 대부분 중국이나 중국계 애들이 만들었거나 관련이 있었습니다.
• 특정 앱들은 중국 빅데이터 회사와의 연관성이 드러나기도 했습니다.
• 트래커, 악성코드, 애드웨어, 리디렉션 등 사용자의 활동 내역으로 이익을 보고자 하는 것들이 곳곳에 숨어있습니다.

질문 : 도대체 왜 이렇게 ‘무료’로 제공해주지 못해서 안달인걸까요.. 왜 이리 편법까지 써가면서 사람들에게 무료 VPN을 제공하려고 하는걸까요?

정답은 당신이 곧 수익이기 때문입니다.

VPN 위험성 분석 자료

악성코드 검출 결과

<바이러스토탈(Virus Total)은 수십개의 백신 검사 결과 값을 알려주는 사이트 입니다.>

앞서 말씀드린 CSIRO(호주 연방 과학산업 연구기구)라는 정부기관에서 분석한 자료 중 일부 입니다. SuperVPN, Betternet, CrossVPN 다들 꽤나 익숙한 이름들이죠? 프리미엄(유료)로 분류된 회사들도 검출이 되었군요.

2016년도에 한번 싹 털리고 나서 지금은 백신 결과에 나오지 않게 대부분 업데이트해서 수정해놓은 상태 입니다. 하지만 저렇게 돈을 벌던 회사들이 운영 자금이 부족해질텐데 포기했을까요?

해외 유명 사이트들도 이 자료를 가지고 글을 많이 써놨습니다. 누구 하나의 의견이 아니라 많은 곳에서 인용될 정도로 상당히 믿을만하고 공신력있는 데이터라고 말씀드리고 싶습니다.

나도 모르게 외부로 흘러가는 내 트래픽

<‘외인성 요소에 의한 트레픽 유출 가능성’이라고 번역해야하나..>

여기에서도 Class – Prem. 이라고 되어있는 앱들이 보이시죠. Premium 즉 유료 서비스 제공하는 회사입니다. StrongVPN, HMA 두 회사는 나름 인지도도 있는 회사인데 저러면 안돼죠.

해당 테스트의 결과를 보면 VPN 앱들을 사용하는데 트래픽이 사용자의 의도와는 전혀 상관없이 JP Morgan, LinkedIn 같은 사이트로 가는 것을 발견했다는 것 입니다. 한마디로 우리는 방문한적이 없지만 VPN을 통해서 우리가 그곳에 다녀왔다고 기록이 되는 것이죠.

TigerVPN의 경우에는 max****.com, qudos****.com(둘다 지금은 연결되지 않습니다. 폐쇄된 듯)로 가는 트래픽이 발견 되었다고 하네요.

사용자가 많은 VPN도 안전하지 않다.

<다운로드, 설치 횟수 500,000 이상의 VPN 앱 중에서 의심스러운 VPN>

EasyOpen은 무려 2016년도 당시에 5백만 이상 다운로드였군요.. 한국에서는 사용하신 분들이 그리 많지 않겠지만 어마어마하군요. 백신사이트 그리고 구글플레이스토어의 리뷰 의견에서 보안적인 문제가 있다고 판단되는 의견들이 나온 앱들입니다.

해당 VPN 어플 뿐만 아니라 정말 유명한 곳들은 수천만명의 회원을 가지고 있습니다. 중복되는 유저들을 감안해도 지금까지 대한민국 전체인구 몇배는 넘을 사용자들이 무료 VPN이 공짜라고 사용했지만 자신들의 개인정보를 내주고 사실상 유료로 사용한것이나 다름 없다는 것 입니다.

특히나 CyberGhost는 굉장히 오래된 유료 서비스 업체인데 정말 충격적인 결과가 아닐 수 없습니다.

우리 모르게 참 많은 일들이 일어나고 있죠?

Hotspot Shield

Zenmate와 함께 과거 인지도 면에서는 탑클래스였는데, 이런 곳 조차도 알리바바(중국의 오픈마켓), 이베이로 가는 트래픽을 발견헀습니다. 해당 트래픽은 Conversant Media, Viglink라는 곳을 통해서 갔습니다. 우리나라로 치면 링크프라이스 같은거라고 생각하시면 되겠습니다.

인터넷 유명 사이트들 보면 이 곳을 통해서 베스트바이, Tartget, Overstock, Newegg 같은 유명 구매 사이트들로 연결되는 링크들이 상당히 많습니다.

어두운 과거..

핫스팟쉴드는 자사 광고에 의하면 전세계적으로 6억5천만명의 사용자가 있다고 하는데 전부 활성 사용자는 아니겠지만 그만큼 인지도가 높고 매우 유명한 회사 입니다. 그럼에도 불구하고 이런 대형 VPN 업체도 사용자 데이터를 광고, 마케팅 회사에 팔고 특정 회사 사이트로 Redirect하는 황당한 짓을 저질렀어요

위 링크의 글을 보시면 2021년 현재 다른 회사로 흡수되었는데 여전히 개인정보 정책에 있어서 믿고 쓰기엔 어려운 부분이 보입니다.

VPNmaster

아래 이미지 2개는 제가 2018년도에 작성해뒀던 내용인데 지금은 바뀌었습니다.

제가 캡쳐 이미지를 남겨놓은 이유는 이 회사가 어떻게 운영되던 곳인지 기록을 남겨두기 위해서입니다.

이 회사명을 보면 당시엔 VPN proxy master 라는 회사 이름이 제공자로 나와있는데 2023년 12월 16일에 확인 해보면 홈페이지는 그대로 있지만 앱 다운로드를 눌러보면 Lemon Clove의 것으로 바뀐 것을 볼 수 있습니다. 이 회사의 소유예요. 앱 ID(주소)가 똑같습니다

보시면 같은 이름으로 3개를 올려놨죠. 동일한 앱입니다. 이 내용 업데이트는 2024년 9월 5일에 하고 있습니다. 6년이 지난 지금은 얼마나 바뀌었을까요?

VPN Proxy Master Privacy Policy

경악스러웠던 이 회사 개인 정보 보호 정책 페이지는 어떻게 바뀌었나 볼까요.

심지어 Privacy Policy 페이지 주소는 Lemon Clove도 아니며 글자를 읽으라는 건지 말라는 건지… 제가 거의 10년 가까이 VPN을 사용해오면서 이런 회사는 손꼽힐 정도 입니다. 정책 내용도 2020년 이후로 업데이트가 없는 상태입니다.

내용을 훑어봤습니다.

• 회사 : “Autumn Breeze는 사용자의 개인정보를 보호하기 위해 최소한의 데이터를 수집하는 것을 원칙으로 합니다. 이 정책은 Autumn Breeze PTE. LIMITED 및 그 계열사가 VPN 서비스 이용과 관련해 수집, 사용, 공유하는 정보를 설명한다.” 라고 시작하는데 검색도 제대로 안되는 회사명이 여기서 왜 나오는지 설명도 없습니다.
• 수집한 정보 : 서비스 제공, 개선, 사용자와의 소통, 사기 방지 등의 목적으로 사용한다.
• 관할법 : 싱가포르에 등록된 회사로, 현지 법률에 따라 개인 정보를 보호합니다. 외국 정부 기관의 요청에 따라 법적 명령을 받은 경우에만 사용자 정보를 제공

정책 마지막에 “정책 관련 문의는 supernetvpn-support@autumnbreeze.co로 연락할 수 있습니다. Data Protection Officer(DPO)는 [Allen Yu]이며, 데이터 관련 문제는 DataPrivacyOfficer@lemonclove.net으로 연락하십시오.” 라고 나와있습니다.

autumnbreeze.co로 접속하니

이런 회사 입니다.

free.vpn.unblcok.proxy.vpnmaster-2017061616.apk, 2016082658.apk 등에서 아래의 것들이 검출되기도 했습니다.

• AppRisk.Generisk
• Suspicious_GEN.F47V0622
• Android.Adware.Dowgin.db.8F5D
• SPR/ANDR.TencentProtect.kxkjw
• Android.Wapron.GEN14249(PUP)
• AndroidOD/GenPua.C60D4694!Olympus
• a variant of Android
• Packed.TencentProtect.B potentially unsafe
• Anroid/Generic.AP.DADCC!tr
• AdWare.AndroisOS.TencentProtect
• Generic PUA AC (PUA)/PUP.HighConfidence

저기 보면 Tencent(텐센트 : 중국 최대 게임 기업) 이름이 반복적으로 나오는군요. 혹시나 해서 찾아보았는데

중국의 최대 빅데이터 기업이 여기서 왜 나올까?

지금은 바뀌어있지만 VPNmaster 예전 파일에 대한 정보를 보면 ‘Privacy Policy’ 부분에 보면 talkingdata.com로 이어집니다. 이곳이 어딘가 하고 찾아봤더니!

중국 최대의 빅데이터 관련 기업.

<무료 VPN – 개인정보 수집 – 빅데이터 기업> 우연의 일치일까요?

VPN마스터를 벌써 몇년째 봐오고 있는데 어찌해서 가장 유명한 앱 중 하나인데 ‘공식 웹사이트’에 회사와 서비스에 대한 상세한 정보도 담겨져있지 않고, 개인정보취급에 대한 페이지도 이상한 주소로 만들어서 잘 볼 수 없는 곳에 숨겨놨는지 의문 입니다.

아무나 쓸 수 있는 그 이름

유명 VPN 회사들의 이름은 딱 그 회사 한곳만 사용 합니다. 그런데 이 VPN 이름은 도대체 뭐길래 아무나 다 사용하나? 저 중에는 아이콘과 이름만 달라보이지 실제 ‘하나의 회사’인 경우도 있습니다. 2024년에 다시 확인해보니 상당 수의 회사가 사라졌습니다. 그만큼 막 만들어서 서비스하다가 ‘먹튀’하는 곳들이 어마어마하게 많다는 것.

한마디로 개판입니다.. 이게 왜 문제냐면 정상적인 회사라면 회사명이나 제품명을 다른 회사나 개인이 함부로 사용할 수 없도록 상표권 등록 등으로 보호하게되는데 그런 개념이 없어 보입니다.

HolaVPN

HolaVPN Review를 보시면 많이 놀라실 수 있습니다. 개인적으로 판단하기에 가장 조심해야할 VPN 기업 중 하나라고 생각 합니다. 이런 쪽에서 항상 이름이 올라옵니다. 여러분은 크롬 스토어에도 상위권에 있고 많은 사람들이 다운로드 받아서 쓴 것을 보고 의심없이 사용하셨을텐데요.

Hola VPN은 무료 사용자가 접속했을때 그 사용자의 IP 주소와 인터넷 리소스를 사용하게 됩니다. 이 부분은 아마 이 회사의 서비스를 이용했거나 지금도 하고 있는 대다수의 사람들이 모르고 있을 것입니다.

Botnet 사건

자사 서비스를 이용하는 유저의 네트워크를 이용해 Botnet 사건도 일어나게 되었죠. 하지만 이런 부분은 일반 유저들의 관심사가 아니기 때문에 아는 사람은 소수라 금방 묻히게 되어있습니다.

Hola는 사용자들의 IP와 트래픽을 몰래 팔아먹다 걸렸습니다. 좀비PC처럼 사용자들을 봇넷으로 이용했던것. 저렇게 공식적인 안티사이트들도 생겨난 상황이지요.

*봇넷이란? : 초보분들을 위해 쉽게 설명하자면 사람들의 컴퓨터를 악성코드, 바이러스 트로이 목마 등을 통해 감염시켜서 이용해먹는 좀비 컴퓨터 부대를 만드는 것이라고 이해하시면 되겠습니다. 대부분 나쁜 곳에 악용 됩니다.

홀라는 사람들의 리소스를 어떻게 이용해먹었는가!

2015년에 ‘주문형 DDOS 공격 시스템’으로 팔아먹은적이 있는데, 디도스는 잘 아시겠지만 엄청난 트래픽을 일으켜서 특정 사이트나 서비스를 정지시키거나 망가뜨리는 역할을 합니다. 반대로 서버 테스를 위해서 일부러 디도스 공격을 받기도 하는데 이런 것을 HolaVPN 측에서 이용자의 동의도 없이 몰래 해먹다가 걸린 것 입니다.

많은 전문가들이 최근까지도 Hola VPN은 피해야한다고 이야기 합니다. 수년동안 전세계의 전문가, VPN 이용자, 블로거 등이 Hola VPN을 삭제해야 한다고 외치고 그 이유에 대해서 많은 설명을 했지만 VPN을 사용하는 사람들 대부분이 아무것도 모르고 “이거 쓰면 뭐 된다며?”라고만 생각하기 때문에 피해자는 계속 늘어날 수 밖에 없습니다.

더 길게 써봤자 입만 아픈 곳..

암호화폐 지갑 사건

비트코인, 이더리움 같은 가상 암호화폐의 지갑 서비스를 제공하는 마이이더월렛(MyEtherWallet)이라는 곳에서 HolaVPN이 해킹 당한 사실을 발견하고 발표했습니다. 약 5시간 동안 HolaVPN이 해킹되었기 때문에 해당 VPN을 이용해서 암호화폐 지갑 사이트에 접속한 사람은 토큰을 새로운 지갑으로 옮길 것은 권고했습니다.

2024년 현재도 유저들은 IP 주소 수집과 공유와 디바이스 리소스까지 제공까지 허용해야 합니다.

Betternet

betternet 역시 상당히 유명한 무료 VPN 중 하나 입니다.

이 문서의 첫 이미지에 나온 악성코드 검출 VPN 중 하나가 Betternet 입니다. 안드로이드 앱이 악성 소프트웨어와 트래킹 라이브러리를 포함하고 있다는 연구 결과가 발표되었고 해당 연구에서 Betternet 앱은 여러 안티바이러스 프로그램에 의해 악성코드로 분류된 것 자체로 신뢰성을 회복하기는 어렵습니다.

Betternet의 데이터 수집 관행 또한 논란이 된적이 있었죠. 2024년 9월 기준으로 Betternet 홈페이지에 들어가보면 첫 화면에서 다른 회사들이 필수적으로 집어넣는 ‘No Log VPN’ 문구가 없습니다. 과거 IP 주소 등 유저의 데이터 수집 하는 문제로 논란이 있었으며

심지어 Betternet 크롬 확장프로그램은 해킹까지 당해서 악성코드가 동작하기도 했습니다. – Chrome extension hijacking 여기에는 TouchVPN도 포함되어있습니다.

이 회사를 인수한 Pango는 앞서 언급한 Hotspot Shiled도 가지고 있습니다.

또 한번의 앱스토어 대량 삭제

LunaVPN도 문제가 되었군요. VPN 뿐만 아니라 무료 광고 차단앱들 역시 개인정보를 수집해서 판매하고 있습니다. 이름만 바꿔서 나올뿐 절대 없어지지 않습니다. 유일한 방법은 사용하지 않는 것 입니다.

Craig Silverman이라는 트위터리안은 위의 앱들 역시 문제가 되었고 플레이스토어 및 앱스토어에서 20여개나 삭제되었다고 밝혔습니다.

유출

DNS

“몇몇 크롬 VPN 확장프로그램에서 DNS 쿼리 유출!”

상당히 많군요.. 여기서 PureVPN, IvacyVPN은 한 집안이고 Tunnelbear, OperaVPN도 보입니다. DNS 유출은 사용자의 프라이버시와 보안에 심각한 위협을 가할 수 있으므로, 이를 방지하기 위해 신뢰할 수 있는 VPN 서비스를 선택하는것이 매우 중요합니다.

WebRTC IP 주소 유출

지금도 여전히 많은 VPN 어플들이 문제를 일으키고 있습니다. 고칠 생각이 없는 회사들도 꽤 많지만

70여개의 VPN 업체중에서 16군데서 IP 노출 보안 취약점이 발견되었다는 뉴스가 보였습니다. 이에 대해서 좀 더 자세하게 찾아보았는데요.

“테스트한 VPN 및 프록시 서비스 중 16%는 방문자의 실제 IP 주소를 공개하여 사용자 추적이 가능했습니다.”

HolaVPN은 빠지는 곳이 없습니다.

Windscribe의 경우에는 제가 사용량이 적다면 한달에 10기가 제공해주는 한도내에서 무료 VPN으로 쓸만하다고 말씀을 드렸는데.. 취약점이 발견되었다고 하네요. Astrill이나 hide-me 같은 곳도 꽤 이름은 알려져 있는 곳인데 이런 기본적인 보안 조치도 안되어있다니 놀라울 뿐입니다.

유명한데 써도 되나요?

무료 VPN 검색 시 Play스토어, 앱스토어에서 최상위에 나오는 앱 입니다. 위에서 반복적으로 문제가 됐던 베터넷과 TouchVPN 둘다 Aura라는 회사가 가지고 있습니다. 그리고 제가 작성한 TouchVPN 리뷰를 보시면 그렇게 쓰고싶지 않을 것 입니다.

App은 개인 정보를 빼먹기 좋다.

VPN만 그런게 아니라 각종 악의적 의도로 만들어서 개인정보를 빨아먹는 앱들이 꽤 많습니다. 매년 그런 보안 사건들은 터지고 또 터집니다. 개인정보호 분류되는 맥 주소 뿐 아니라 GPS, 클립보드 내용 등등 민감한 부분까지 상당히 많이 수집됩니다.

여전히 지뢰밭인 스마트폰

이 글을 처음 쓴 뒤 몇년이 지난 지금 형편없는 수준은 여전합니다. 어이없는 예를 하나 보여드릴게요.

이 글을 쓸 당시 검색 결과는 위 처럼 나왔는데, 1위로 나온 앱을 눌러봤습니다.

웹사이트를 들어가봤더니.. 저렇습니다. 이런 회사가 여러분들의 보안을 책임지겠다고 앱을 내놓은건데 모르는 사람들은 그냥 아무 생각없이 받아서 쓸 수 밖에요. 다운로드가 벌써 500만이 넘었군요.

그리고 싱가포르로 옮긴 회사들을 읽어보시면 얼마나 조직적으로 움직이는지 알 수 있습니다.

그래서 무료 VPN 회사들이 다 나쁜 회사인가?

무조건 그렇진 않습니다.

다시 한번 말하지만 세상에 공짜가 어디있겠습니까.. 우리가 지마켓, 옥션, 11번가 같은 오픈마켓에서 뭐 구매할때 ‘추가 쿠폰 받으실래요??’ 해서 눌러서 잘 보면 “님 개인정보 파는 조건으로 주는거에요~”라는 의미 입니다. 보통 그거 보험회사, 금융회사 쪽에 팔고 그 조건으로 쿠폰주는거죠.

VPN도 마찬가지 입니다. 엄밀히 말해서 ‘무료’는 없습니다. VPN 서버를 수만명 이상에게 제공하려면 어마어마한 돈이 들어갑니다. 구글,애플,삼성 같은 기업들도 절대 손해볼 짓 안합니다. 그런데 저런 소규모 업체들이 전세계 사람들을 상대로 엄청난 비용이 들어가는 무료 서비스를 제공한다구요? 말이 안되죠.

회사 세우는 것 자체가 돈 벌자고 하는 것이니 그들의 행위는 어떻게 보면 당연할 것 입니다. 하지만 정말 나쁜게 사용자를 속인다는 것..

결론과 대안

여러분이 어디에 접속하고 뭘 클릭하고 뭘 보고 다운로드 받는지 그들은 모두 다 저장하고 있습니다. 그리고 데이터를 그대로 혹은 가공해서 팔아먹지요. 무료 VPN을 사용하실때, 특히 회사의 실체가 모호한 곳의 제품을 사용할땐 절대로 ‘로그인’이나 ‘카드번호’ 등 금융정보를 입력하지 말라고 권해드리고 싶습니다.

• 회사의 사이트는 잘 만들어져 있는가?
• 본사, 사무실이 실제로 존재하는가?
• 직원을 고용하는 곳인가?
• 명확한 개인정보 정책을 고지하는가?
• 회사 담당자 연락처가 지메일 등 개인 이메일이진 않은가?

등등 여러 각도로 보시면 생각보다 엄청나게 허접한 VPN들이 많다는 것을 알 수 있습니다. 쟤들이 사용자 정보 저장하지 않는다고 하는데 정말 실험해보고 싶으시다면 나쁜짓 하고 돌아다녀 보시면 됩니다. 수사기관이 정보 요청하면 내줍니다. 저장도 안되어있는데 어떻게 줄까요.

정말 돈이 없어서 무료만 써야한다면, 그나마 유명한 곳의 VPN을 사용하시고 단순, 임시용도로만 사용하시길 권해드립니다. 기술적인 부분에서 그래도 최소한의 노력이라도 하는지 보시려면 최신 프로토콜인 WireGuard 선택이 가능한지 보는 것도 나쁘지 않습니다. 그리고 파이브아이즈 그리고 그 확장 동맹인 9아이즈, 14아이즈에 속한 지역의 VPN도 피하시는게 조금이라도 더 좋습니다.

다른 보안 방법은 없나요?

나는 공공장소 등 타인의 공유기 통해 와이파이 많이 사용하는데 안전하게만 쓰고 싶다. 그래서 IP 우회는 필요없고 암호화 터널만 필요하다 하시는 분들은 옵션이 그래도 있습니다.

• 공공장소나 외부에서 사용할 자신만의 휴대용 와이파이도 괜찮습니다
• 맥북, 아이폰 등 애플 유저 분 중 아이클라우드+ 사용중이신 분은 비공개 릴레이가 있는데, 이게 애플 VPN으로 알려져 있기도 합니다. 하지만 VPN이 아니며 다중 프록시라고 말할 수 있으며 모든 트래픽 암호화, IP 우회 등 진짜 사생활 보호와는 다릅니다. 그리고 사파리 브라우저에서만 작동한다는 것이 가장 큰 단점입니다.

가장 안전한 VPN

상단 메뉴에서 VPN 누르시면 업데이트 된 리뷰와 할인 코드 그리고 몇년간 쌓인 데이터와 결과물이 있습니다. 가장 안전한 선택을 해보세요. 1위~3위 세개만 보시면 됩니다.(순위는 변동사항이 생기면 바뀝니다.) NordVPN, ExpressVPN 두개를 가장 좋은데 그 이유는 노로그 검증 리포트를 확인해 보시면 근거를 확인할 수 있습니다.

램서버, 속도, 신뢰성, 관할지역법으로 인한 No Log 합법 등등 뿌리부터가 다릅니다. 토렌트까지 사용할거면 더욱 그렇구요. 알고나면 그동안 번지르르한 간판만 내건 회사에 속아 결제한게 후회될 것 입니다.

제한적이지만 쓸만하고 신뢰도가 높은 무료 서비스는 ProtonVPN이 좋다고 생각합니다.

엄청난 수의 VPN 업체들은 지나가던 호구 걸리면 돈버는 구조인 곳이 대부분인 것을 알아두세요.