VPN 켠 상태에서 카카오톡 Push 알림으로도 IP 주소 기록되나요?

방문자 분께서 폰에서 “VPN 접속 후 카톡 로그인이 되어있는 상태에서 켜진 않고 카카오톡 푸 알람이 오면 내 IP 주소가 수집되나요”라는 질문을 해주셨습니다. 매년 같은 내용의 댓글이 몇 번은 달리는 것 같습니다. 사실 이 부분이 VPN 입문자들에게 궁금할 수 있는 부분입니다. 혹시 궁금하신 분들이 댓글쓰고 기다리는데 시간을 너무 쓰시지 않도록 누군가는 검색해서 바로 보실 수 있게 간단하게 설명해드릴게요.

푸쉬 알림, 푸시 알림 둘다 많이 사용되는데 여기서는 ‘푸시’로 통일하겠습니다.

조금 전에 달린 댓글 내용.

카카오톡 켜놓기만해도 내 아이피 주소 확인할까?

간단하게 확인해볼게요.

백그라운드 앱 실행 확인을 보면 카카오톡은 보이지 않지만, 메신저 앱은 항상 돌아갑니다.

12시30분에 켜진 앱들을 모두 끔 (의미없음)

카카오톡 뿐 아니라 Play스토어 (저 인도인입니다.) 1분 쯤 뒤에 open.kakaocdn.net이 찍혔네요. 뒤에 계속 다른 것들도 찍힙니다. 카카오톡은 단순하게 메세지가 왔어요!만 알려주는게 아니라 광고도 쏴야하고 바쁩니다.

그런데 푸시 알림으로는 IP 주소 수집이 되지 않습니다.

안드로이드/아이폰 푸시 알림은 어떻게 보내나

누군가가 메세지를 보냈거나, 광고 알림이 왔다거나 등등 통신을 하려면 IP 주소는 필수입니다. 전화거는데 전화번호없이 걸 수 없는 것 처럼요.

댓글을 달아주신 분도 그렇고 다른 분들도 VPN을 켜놓은 상태에서 ‘익명’을 원하는 경우 굳이 카톡 알림 확인은 하지 않을 것입니다. 그럼 주로 궁금한 것이 푸시 알림이 오는 것 자체로 내 IP 주소가 체킹되거나 수집까지 될 수 있느냐 하는 건데요.

‘안됩니다.’

저는 개발자가 아니라 매우 깊은 부분까지 설명드릴순 없지만 한가지 말씀드리면

안드로이드는 FCM, 애플은 APNs(Apple Push Notification service)을 통해서 푸시 알림을 보냅니다. 그런데 여기서 앱 운영 회사가 직접적으로 모든 사용자의 IP 주소를 수집해서 거기로 보내는 구조가 아닙니다. 우리가 문자 메세지 보내려면 전화번호가 있어야 하지만, 푸시 알림의 경우엔 좀 다릅니다.

토큰/인증서 기반으로 알림을 보내는데, 여기에서 서비스 회사의 서버(카카오톡 등)에서 유저의 IP 주소를 직접 체크하거나 저장해서 주고 받는 것이 아니라 ‘장치 토큰’을 사용해서 APNs / FCM에 푸시 알림을 보내고 여기서 각 장치(사용자)에게 보낼때도 장치 토큰을 기반으로 전달됩니다.

푸시 알림은 중간에서 구글과 애플이 연결해준다.

간단하게 보면 ‘카카오톡 > FCM/APNs >사용자의 기기’ 이런식으로 연결됩니다.

이는 카카오톡 개발자문서에도 나와있습니다. 푸시 알림 이해하기 | Kakao Developers 문서

카카오톡 디벨로퍼 문서에 보시면 위의 이미지가 나옵니다. 마지막 단계에도 ‘푸시 알림 전송 요청’이라고 나오죠. 직접 전달하는 것이 아니라 “보내줘”까지만 하는 것 입니다.

그리고 우리가 ‘로그아웃’, ‘푸시 알림 끄기 설정’을 하게 되는 경우엔 고유 ID(uuid)를 기준으로 ‘푸시 토큰을 삭제’하게 됩니다.

그래서 결론이 뭐죠?

저도 깊게 알지 못하는 부분이고 여러분도 결론적으로 VPN 켜진 상태에서 푸시 알림이 왔을 때 내 아이피 주소 등 현재 정보가 전송되는 것이 아닌가? 이 부분만 확실이 아시면 되는거라 더 설명은 필요없을 것 같습니다.

결론은 “괜찮다”이고, 그것을 조금 더 구체적으로 말씀드리려고 위의 내용을 첨부했습니다.

이 글은 푸시 알림에 관한 부분입니다. 님이 VPN 접속 후 카카오톡 앱을 켜서 대화를 주고 받는 등 서비스를 이용한다면 당연히 IP 주소가 기록될 수 있습니다. ‘카카오 프라이버시 정책‘을 보시면 “PC 웹, 모바일 웹⋅앱 이용 과정에서 단말기 정보, IP 주소, 쿠키, 방문 일시, 부정 이용 기록, 서비스 이용 기록 등의 정보가 자동으로 생성되어 수집될 수 있습니다.“라고 나옵니다.

복잡하게 생각할 것 없이, 범죄자들이 왜 텔레그램을 사용하는지만 생각해봐도 쉬운 부분입니다.