초경량 ExpressVPN Lightway 프로토콜 보안 장점 분석

ExpressVPN Lightway 프로토콜 분석 비교 프로토콜 이야기 입니다. IPSec 및 OpenVPN을 대체하기 위해 만들어진 Wireguard 프로토콜이 세상에 나오면서 많은 변화가 생겼습니다. OpenVPN 천하였던 VPN 프로토콜 판이 급격하게 기울어지면서 메이저 업체들마저 Wireguard 혹은 그에 대응하는 경량 프로토콜을 메인으로 내세우기 시작했습니다.

NordVPN은 Wireguard의 단점을 보완해서 NordLynx라는 훌륭한 프로토콜을 만들었고, ExpressVPN은 Lightway라는 새로운 프로토콜을 자체 개발 했습니다.

Wireguard

WireGuard® 프로젝트는 2015년에 시작되었는데 이름이 어느정도 알려지게 된 것은 2018년 그리고 본격적으로 두각을 드러내게 된 것이 2020년 Linux 5.6 커널에 포함된 시점입니다. 굉장히 짧은시간에 폭풍성장하며 차세대 VPN 프로토콜로 자리잡게된 것은 순전히 와이어가드의 성능과 잠재력 때문입니다.

창조적 파괴라고 불려도 좋을 정도로 파급력이 크고, 그럴만한 가치를 가지고 있습니다. 가장 대표적인 것만 간단하게 요약하면 아래와 같습니다.

  • 다윗과 골리앗처럼 작은 덩치로 거인들을 이기고 있습니다.(OpenVPN 대비 코드수가 1%밖에 되지 않음)
  • 3800줄 정도의 현저히 적은 수의 코드는 유지 보수와 감사 등에 매우 유리
  • 훨씬 빠른 속도
  • 최신 암호화 기술

기존 VPN 업계의 표준은 OpenVPN + AES256 이었습니다. 하지만 Wireguard는 ChaCha20, Poly1305 같은 암호화를 채택했습니다. 좀 더 자세한 설명이 필요하신 분은 Wireguard 리뷰를 읽어주세요.

그리하여… VPN 업계도 빠르게 움직이기 시작하는데..

지금까지 훌륭한 퍼포먼스는 기본으로 깔고 거기다 절대적인 No Log 정책을 잘 유지하고 지켜온 덕분에 최고의 신뢰도로 업계 1위 2위를 다투는 두 업체 ExpressVPN 그리고 NordVPN은 각자 다른 방식으로 대응합니다.

NordVPN은 Wireguard의 단점인 IP 정보가 유지되는 것을 개선해서 NordLynx를 만들었고, 익스프레스VPN은 아예 Lightway(라이트웨이)라는 새로운 프로토콜을 만들었습니다.

ExpressVPN 차세대 프로토콜 Lightway ✨

다른 VPN 업체가 만들었다면 기대하지 않았겠지만 업계 1위인 ExpressVPN의 작품이라니 관심이 갔습니다.

Lightway 프로토콜 장점

  • 핵심 코드베이스는 오픈소스 – 라이트코어 깃헙 *GNU GPLv2(General Public License, version 2) 라이센스
  • 유명한 독일의 Cure53으로부터 보안 인증을 위한 독립 평가 수행 – 라이트웨이 감사 보고서
  • Wireguard의 절반 수준인 2000줄 정도의 코드
  • 빠른 속도
  • 최경량 코드수를 가진만큼 가볍고 감사 및 보안 유지 및 개선이 훨씬 유리함
  • 성능 뿐 아니라 배터리 소모도 줄였다고
  • 기존 OpenVPN 등 프로토콜 처럼 대부분의 플랫폼 지원
  • 와이어가드가 UDP만 사용가능한 단점이 있는데, Lightway는 상황에따라 TCP 사용도 가능
  • 연결 및 재연결 속도 – 와이파이 모바일 전환시, 비행기 모드, 잠시 신호가 약한 지역에 들어갔을 때 등 VPN 연결이 종료되는 것이 아니라 멈춘 상태로 유지 되었다가 바로 다시 붙여준다고 합니다. 순간 VPN 연결이 끊겨서 아주 잠시라도 내 정보가 새어나갈 수 있는 틈이 생기지 않는다는 의미입니다.
  • Cure53 독일 보안 기업인데 한국 정부가 만들어 논란이 됐던 앱 스마트 보안관 관련해 쓴소리했었던 유명한 기업입니다.(News) 여기서 제3자 감사도 받았습니다.(Report)

WolfSSL

Lightway는 WolfSSL(이전 CyaSSL)과 손잡았습니다. 울프SSL 오픈소스 임베디드 보안 라이브러리는 경량 SSL/TLS 라이브러리로 FIPS 140-2 인증을 받았으며(FIPS 140-3 준비중) Smart Grid, IoT, 산업 자동화, 커넥티드 홈, M2M, 자동차 산업, 게임, 애플리케이션, 데이터베이스, 센서, VoIP, 라우터, 가전 제품, 클라우드 서비스 등 다양한 분야에 쓰입니다.

특히 OpenSSL 대비 최대 20배나 작은 초경량 라이브러리(*20-100kB 빌드 크기와 1-36kB 사이의 런타임 메모리 사용량)로 IoT, 임베디드 분야부터 대규모 클라우드 서비스까지 다양한 분야에서 강점을 보이는 것 같습니다.(#)

암호화 모듈인 WolfCrypt 역시 FIPS인증을 받았습니다. WolfCrypt FIPS 140-2 레벨 1 인증서 #2425 / WolfCrypt v4 FIPS 140-2 레벨 1 인증서 #3389

최초로 TLS 1.3 상용 구현을 했다고 해요. ChaCha20, Curve25519, Ed25519, NTRU, SHA-3 등 새로운 암호화를 지원하는 진보적인 모습 광범위한 플랫폼 지원 및 좋은 이식성 등의 장점이고 특히 로열티가 없어서 상당히 많은 곳에서 가져다 쓰나봅니다. OpenSSL 호환성도 좋고 C언어 기반이라 성능도 좋다고 해요. WolfSSL 성능이 궁금하시면 벤치마크를 참고하시면 되겠습니다.

MySQL, Ubuntu, OpenWRT, Microsoft Azure, Intel, GM, Volkswagen 등 유명 파트너들과 함께하는 중이고, 20억여개의 연결이 WolfSSL로 보호되고 있다니 저만 잘 몰랐지 엄청난 라이브러리네요.

우리가 뭐 더 자세하게 알 필요는 없고, Lightway가 그만큼 안전하고 기술력 인정을 받은 훌륭한 라이브러리를 사용한다.. 정도로 이해하시면 되겠습니다.

Lightway 그래서 좋다는 건가?

위 내용까지를 두줄로 요약하면 아래와 같습니다.

  • Lightway : 오픈소스에 2000줄 밖에 안되는 가장 가벼운 프로토콜이고 성능도 최상급이고 TCP/UDP 둘다 사용가능한데다 유명 기업으로부터 외부 감사까지 다 마쳐 투명성까지 획득
  • WolfSSL : 기존에 많이 쓰이던 OpenSSL 대비 최대 1/20 정도로 가볍고 성능도 좋으며 최상급 인증까지 받았으며 광범위하게 장기간 검증까지 마친 암호화 라이브러리

스펙상으로는 현재 최강 프로토콜로 보입니다. ExpressVPN도 자신있는지 무조건 Lightway 프로토콜을 우선적으로 사용하라고 권합니다.

Lightway vs Wireguard

와이어가드가 4천줄 정도의 경량화로 성능과 보안 둘다 잡아서 센세이션을 일으켰는데, 라이트웨이가 그의 절반인 2천줄 정도라니 놀랍지 않을 수 없습니다. 가장 강력한 라이벌인 NordVPN도 Wireguard를 그대로 가져와서 이중NAT이라는 자체 시스템으로 보완해서 사용중인데 ExpressVPN는 와이어가드 보다 더 가벼운놈을 자체 제작해서 자신있게 바로 적용시키는 것을 보니 확실히 1위 답다는 생각이 듭니다.

Wireguard는 태생적으로 난독화 문제와 사용자의 IP 주소를 유지해야하는 단점이 있어 NordVPN 등 유명 업체들이 그 부분은 보완해서 올리게 되는 것인데, Lightway는 VPN 회사가 처음부터 만들었으니 그 부분을 해결한 상태로 만든 것 같습니다.

가장 중요한건 1~2년정도 지켜보며 검증의 시간을 가지는 것 입니다. VPN 업계에서 가장 확고한 위치를 차지하고 있는 ExpressVPN이 자신있게 메인 프로토콜로 올렸고 최우선적으로 사용하라고까지 권하는데다, 실제로 사용해보니 성능적인 부분에서 매우 만족스러워서 저는 Lightway 프로토콜만을 사용중입니다.

다른 프로토콜과 비교해보면?

가장 유명한 프로토콜들을 비교한 리뷰를 읽어보시는 것도 좋습니다.

지금까지 단 한번도 싸게 팔아본적이 없는 자신감이 느껴지는 대목입니다. 제가 요즘 지인들이나 제 블로그 방문자분들에겐 NordVPN 가성비가 너무 좋아서 추천해드리고 있지만 여전히 저는 ExpressVPN을 메인으로 사용하고 있습니다. 그런데 사실 요즘 흔들려요.

둘중에 뭘 골라도 후회없습니다. Surfshark도 네덜란드로 넘어가면서 No Log 신뢰성 점수가 약간 하락한 상태인데 NordVPN이 2년 플랜 + 최대 할인 적용하면 가성비가 넘사벽이라 나머지 모든 VPN들이 상대가 되지 않습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다