무료 VPN 피해 사례: 개인정보 판매와 악성코드 리포트

앞서 리뷰 페이지에 정리하려다 글이 너무 길어져서 이 페이지로 옮겨서 정리하게 되었습니다. 매년 좋은 무료 VPN 리스트에 올라오는 수 많은 앱들 사용해보신 유저들 이라면 잘 아시겠지만 다 비슷하게 생기고 쓰다보면 진짜 무료인가? 라는 의구심이 들기도 합니다. 위험한 무료 VPN 왜 그런지 자세히 알아볼게요.

• 기본적인 상표권 등록도 하지 않아 같거나 비슷한 이름으로 여러 업체가 만들어 혼란스럽기도 하고
• 한 회사가 이름과 디자인만 살짝 바꿔서 여러개의 VPN 앱을 만들어 올리기도 합니다.
• 예전에는 할당량을 다 사용하고나면 다른 무료 VPN을 받으라고 권하는 앱도 있었는데, 물론 본인(회사)이 만든거죠.
• 한 때는 모바일 VPN 앱을 받아 써보면 우측 상단 혹은 결제 화면에 ‘왕관’, ‘VIP’가 상당히 많이 보였는데요. 대부분 중국이나 중국계 애들이 만들었거나 관련이 있었습니다.

질문 : 도대체 왜 이렇게 ‘무료’로 제공해주지 못해서 안달인걸까요.. 왜 이리 편법까지 써가면서 사람들에게 무료 VPN을 제공하려고 하는걸까요?

정답은 당신이 곧 수익이기 때문입니다.

무료 VPN 위험성 – 뒤에 몰래 숨은 이면

VPN 위험성을 알린 멀웨어, 악성코드 검출 결과

<바이러스토탈(Virus Total)은 수십개의 백신 검사 결과 값을 알려주는 사이트 입니다.>

앞서 말씀드린 CSIRO(호주 연방 과학산업 연구기구)라는 정부기관에서 분석한 자료 중 일부 입니다. SuperVPN, Betternet, CrossVPN 다들 꽤나 익숙한 이름들이죠? OKVPN, EasyVPN은 프리미엄(유료)로 분류가 되어있는데도 검출이 되었군요.

2016년도에 한번 싹 털리고 나서 지금은 백신 결과에 나오지 않게 대부분 업데이트해서 수정해놓은 상태 입니다. 하지만 저렇게 돈을 벌던 회사들이 운영 자금이 부족해질텐데 포기했을까요?

해외 유명 사이트들도 이 자료를 가지고 글을 많이 써놨습니다. 누구 하나의 의견이 아니라 많은 곳에서 인용될 정도로 상당히 믿을만하고 공신력있는 데이터라고 말씀드리고 싶습니다.

나도 모르게 외부로 흘러가는 내 트래픽

<‘외인성 요소에 의한 트레픽 유출 가능성’이라고 번역해야하나..>

Hola VPN은 뭐 유명하지요. 개인적으로 제일 나쁜 VPN 기업 중 하나라고 생각 합니다. 이런 쪽에서 항상 이름이 올라옵니다.

해당 테스트의 결과를 보면 VPN 앱들을 사용하는데 트래픽이 사용자의 의도와는 전혀 상관없이 JP Morgan, LinkedIn 같은 사이트로 가는 것을 발견했다는 것 입니다. 한마디로 우리는 방문한적이 없지만 VPN을 통해서 우리가 그곳에 다녀왔다고 기록이 되는 것이죠.

TigerVPN의 경우에는 max****.com, qudos****.com(둘다 지금은 연결되지 않습니다. 폐쇄된 듯)로 가는 트래픽이 발견 되었다고 하네요.

사용자가 많은 VPN도 안전하지 않다.

<다운로드, 설치 횟수 500,000 이상의 VPN 앱 중에서 의심스러운 VPN>

EasyOpen은 무려 2016년도 당시에 5백만 이상 다운로드였군요.. 한국에서는 사용하신 분들이 그리 많지 않겠지만 어마어마하군요. 백신사이트 그리고 구글플레이스토어의 리뷰 의견에서 보안적인 문제가 있다고 판단되는 의견들이 나온 앱들입니다.

해당 VPN 어플 뿐만 아니라 정말 유명한 곳들은 수천만명의 회원을 가지고 있습니다. 중복되는 유저들을 감안해도 지금까지 대한민국 전체인구 몇배는 넘을 사용자들이 무료 VPN이 공짜라고 사용했지만 자신들의 개인정보를 내주고 사실상 유료로 사용한것이나 다름 없다는 것 입니다. 특히나 CyberGhost는 굉장히 오래된 유료 서비스 업체인데도 이런데 이름을 올리는군요.

우리 모르게 참 많은 일들이 일어나고 있죠?

핫스팟쉴드(Hotspot Shield)

Zenmate와 함께 과거 인지도 면에서는 탑클래스였는데, 이런 곳 조차도 알리바바(중국의 오픈마켓), 이베이로 가는 트래픽을 발견헀습니다. 해당 트래픽은 Conversant Media, Viglink라는 곳을 통해서 갔습니다. 우리나라로 치면 링크프라이스 같은거라고 생각하시면 되겠습니다.

인터넷 유명 사이트들 보면 이 곳을 통해서 베스트바이, Tartget, Overstock, Newegg 같은 유명 구매 사이트들로 연결되는 링크들이 상당히 많습니다.

Hotpot Shield의 어두운 과거..

핫스팟쉴드는 자사 광고에 의하면 전세계적으로 6억5천만명의 사용자가 있다고 하는데 전부 활성 사용자는 아니겠지만 그만큼 인지도가 높고 매우 유명한 회사 입니다. 그럼에도 불구하고 이런 대형 VPN 업체도 사용자 데이터를 광고, 마케팅 회사에 팔고 특정 회사 사이트로 Redirect하는 황당한 짓을 저질렀는데요.(자세한내용)

위 링크의 글을 보시면 2021년 현재 다른 회사로 흡수되었는데 여전히 개인정보 정책에 있어서 믿고 쓰기엔 어려운 부분이 보입니다.

VPNmaster

사람들이 중국에서 사용할 VPN을 검색하면 많이 나왔던 앱 중 하나가 바로 VPNmaster 입니다. 한국 유저들에게도 많이 쓰이죠. 검색해보면 구글 플레이스토어 주소가 가장 먼저 나오고, 그 다음은 apk 다운로드 사이트. 그리그 그 아래 이름이 같은데 무료는 아닌 곳이… 4번째가 우리가 알고있는 그나마 가장 이름이 알려진 앱인데, 들어가봤자 이 vpn 어플을 만든 회사에 대한 정보가 없습니다.

보통 제대로 된 VPN 업체라면 ‘공식 사이트’에 들어가면 회사 소개, 정보 처리 방침 등이 매우 자세하게 적혀있지만 도무지 찾을 수 없습니다. 그래서 Play store로 들어가보니 저렇게 잘 보이지도 않는곳에 링크 하나 달랑 남겨놨군요.

주소도 이상합니다.

로그 수집을 하지 않는다고 적어놨지만.. 그 아래 보면

라고 적어놓았네요..; 그리고 과거 VPNmaster라는 이름의 앱에서 악성코드들이 많이 나와서 실컷 비난받은 적도 있습니다.

위의 이미지는 2018년에 캡쳐한 것인데요. 이 회사명을 보면 당시엔 VPN proxy master 라는 회사 이름이 제공자로 나와있는데 지금2023년 12월 16일에 확인 해보면 홈페이지는 그대로 있지만 앱 다운로드를 눌러보면 Lemon Clove의 것으로 바뀐 것을 볼 수 있습니다. 이 회사의 소유예요.

보시면 같은 이름으로 3개를 올려놨죠.

• AppRisk.Generisk
• Suspicious_GEN.F47V0622
• Android.Adware.Dowgin.db.8F5D
• SPR/ANDR.TencentProtect.kxkjw
• Android.Wapron.GEN14249(PUP)
• AndroidOD/GenPua.C60D4694!Olympus
• a variant of Android
• Packed.TencentProtect.B potentially unsafe
• Anroid/Generic.AP.DADCC!tr
• AdWare.AndroisOS.TencentProtect
• Generic PUA AC (PUA)/PUP.HighConfidence

이런 애들이 검출되었군요 저기 보면 Tencent(텐센트 : 중국 최대 게임 기업) 이름이 반복적으로 나오는군요. 혹시나 해서 찾아보았는데

중국의 최대 빅데이터 기업이 여기서 왜 나올까?

지금은 바뀌어있지만 VPNmaster 예전 파일에 대한 정보를 보면 ‘Privacy Policy’ 부분에 보면 talkingdata.com로 이어집니다. 이곳이 어딘가 하고 찾아봤더니!

중국 최대의 빅데이터 관련 기업.

<무료 VPN – 개인정보 수집 – 빅데이터 기업> 우연의 일치일까요?

VPN마스터를 벌써 몇년째 봐오고 있는데 어찌해서 가장 유명한 앱 중 하나인데 ‘공식 웹사이트’에 회사와 서비스에 대한 상세한 정보도 담겨져있지 않고, 개인정보취급에 대한 페이지도 이상한 주소로 만들어서 잘 볼 수 없는 곳에 숨겨놨는지 의문 입니다.

아무나 쓸 수 있는 그 이름

유명 VPN 회사들의 이름은 딱 그 회사 한곳만 사용 합니다. 그런데 이 VPN 이름은 도대체 뭐길래 개나소나 다 쓰나? 저 중에는 아이콘과 이름만 달라보이지 실제 ‘하나의 회사’인 경우도 있습니다.

한마디로 개판입니다.. 이게 왜 문제냐면 정상적인 회사라면 회사명이나 제품명을 다른 회사나 개인이 함부로 사용할 수 없도록 상표권 등록 등으로 보호하게되는데 그런 개념이 없어 보입니다.

HolaVPN 사건

위에서도 한번 언급했지만 악질 VPN 업체 중 하나 입니다. 개인적으로 ‘최악’이라고 생각합니다.

adios-hola

Hola는 사용자들의 IP와 트래픽을 몰래 팔아먹다 걸렸습니다. 좀비PC처럼 Hola VPN 사용자들을 봇넷으로 이용했던것. 저렇게 공식적인 안티사이트들도 생겨난 상황이지요.

*봇넷이란? : 초보분들을 위해 쉽게 설명하자면 사람들의 컴퓨터를 악성코드, 바이러스 트로이 목마 등을 통해 감염시켜서 이용해먹는 좀비 컴퓨터 부대를 만드는 것이라고 이해하시면 되겠습니다. 대부분 나쁜 곳에 악용 됩니다.

홀라는 사람들의 리소스를 어떻게 이용해먹었는가!

2015년에 ‘주문형 DDOS 공격 시스템’으로 팔아먹은적이 있는데, 디도스는 잘 아시겠지만 엄청난 트래픽을 일으켜서 특정 사이트나 서비스를 정지시키거나 망가뜨리는 역할을 합니다. 반대로 서버 테스를 위해서 일부러 디도스 공격을 받기도 하는데 이런 것을 Hola VPN 측에서 이용자의 동의도 없이 몰래 해먹다가 걸린 것 입니다.

많은 전문가들이 최근까지도 홀라VPN은 피해야한다고 이야기 합니다. 수년동안 전세계의 전문가, VPN 이용자, 블로거 등이 Hola VPN을 삭제해야 한다고 외치고 그 이유에 대해서 많은 설명을 했지만 VPN을 사용하는 사람들 대부분이 아무것도 모르고 “이거 쓰면 뭐 된다며?”라고만 생각하기 때문에 피해자는 계속 늘어날 수 밖에 없습니다.

더 길게 써봤자 입만 아픈 곳..

<+Update> 잠깐 잠잠하더니 사건이 또 터졌군요.

비트코인, 이더리움 같은 가상 암호화폐의 지갑 서비스를 제공하는 마이이더월렛(MyEtherWallet)이라는 곳에서 Hola VPN이 해킹 당한 사실을 발견하고 발표했습니다. 약 5시간 동안 홀라 VPN이 해킹되었기 때문에 해당 VPN을 이용해서 암호화폐 지갑 사이트에 접속한 사람은 토큰을 새로운 지갑으로 옮길 것은 권고했습니다.

2024년 현재도 유저들은 IP 주소 수집과 공유와 디바이스 리소스까지 제공까지 허용해야 합니다. 자세한 것은 [Hola VPN – 리뷰] 확인해주세요.

Betternet

betternet 역시 상당히 유명한 무료 VPN 중 하나 입니다.

해외 리뷰 중에 하나를 보면 betternet의 Unclear Documentation. 명확하지 못한 문서(제품에 대한 설명)을 지적하고 있습니다.

보면 betternet 공식 블로그에는 OpenVPN+AES256암호화 그리고 128비트 AES-CBC for IPsec이라고 나와있습니다.

다른 문서를 보면 openvpn 256bit 암호화에 대한 내용이 없어요.

그리고 정보 수집에 대한 부분을 보면..

“우리는 사용자에 대한 기록을 제3의 회사(광고주)와 공유하지 않지만.. 광고주가 늬들 정보 그것도 IMEI, Mac 어드레스 등을 수집할 수 있다”고…

쭉 보면 말이 왔다갔다 합니다. 그리고.. “귀하의 정보는 홍보 및 광고 자료 개발, 마케팅 목적으로 사용함”

“우리는 님들의 정보를 여러 업체와 공유 합니다~”

웹 사이트 호스팅, 지불 처리, 데이터 분석, 정보기술 및 관련 인프라 제공, 고객 서비스, 전자메일, 온라인 광고, 감사 및 기타 서비스, 타사 서비스 제공업체와 법으로 요구되는 경우에만 우리의 정보를 공유한다는게 그 법이 무슨 법이길래??

또 한번의 앱스토어 대량 삭제

Luna VPN도 문제가 되었군요. VPN 뿐만 아니라 무료 광고 차단앱들 역시 개인정보를 수집해서 판매하고 있습니다. 이름만 바꿔서 나올뿐 절대 없어지지 않습니다. 유일한 방법은 사용하지 않는 것 입니다.

Craig Silverman이라는 트위터리안은 위의 앱들 역시 문제가 되었고 플레이스토어 및 앱스토어에서 20여개나 삭제되었다고 밝혔습니다.

DNS 유출 관련 뉴스

“몇몇 크롬 VPN 확장프로그램에서 DNS 쿼리 유출! – 출처“

상당히 많군요.. 여기서 PureVPN, IvacyVPN은 한 집안.

이래서 문제를 한번도 일으키지 않은 검증된 곳을 써야 합니다.. VPN 가이드에 깔끔하게 정리가 되어있습니다.

WebRTC IP 주소가 유출

2018년이 된 지금도 여전히 많은 VPN 어플들이 문제를 일으키고 있습니다. 수년전부터 계속해서 이렇다면 사실 고칠 생각이 없는 것 같습니다.

70여개의 VPN 업체중에서 16군데서 IP 노출 보안 취약점이 발견되었다는 뉴스가 보였습니다. 이에 대해서 좀 더 자세하게 찾아보았는데요.

아래와 같은 VPN 서비스에서 WebRTC와 같은 부분에서 IP 유출 취약점이 발견되었다고 합니다.

홀라는 이정도면 진짜 퇴출 당해야 하는거 아닌가 싶을 정도네요…

Windscribe의 경우에는 제가 사용량이 적다면 한달에 10기가 제공해주는 한도내에서 무료 VPN으로 쓸만하다고 말씀을 드렸는데.. 취약점이 발견되었다고 하네요. Astrill이나 hide-me 같은 곳도 꽤 이름은 알려져 있습니다 입니다. PHP 프록시는 들어는 봤는데 제가 써본적은 없습니다.

유명한데 써도 되나요?

무료 VPN 검색 시 Play스토어, 앱스토어에서 최상위에 나오는 앱 입니다. 위에서 반복적으로 문제가 됐던 베터넷과 터치 VPN 둘다 Aura라는 회사가 가지고 있습니다. 그리고 제가 작성한 터치VPN 리뷰를 보시면 그렇게 쓰고싶지 않을 것 입니다.

App은 개인 정보를 빼먹기 좋다.

VPN만 그런게 아니라 각종 악의적 의도로 만들어서 개인정보를 빨아먹는 앱들이 꽤 많습니다. 매년 그런 보안 사건들은 터지고 또 터집니다. 개인정보호 분류되는 맥 주소 뿐 아니라 GPS, 클립보드 내용 등등 민감한 부분까지 상당히 많이 수집됩니다.

여전히 지뢰밭인 스마트폰

이 글을 처음 쓴 뒤 몇년이 지난 지금 형편없는 수준은 여전합니다. 어이없는 예를 하나 보여드릴게요.

이 글을 쓸 당시 검색 결과는 위 처럼 나왔는데, 1위로 나온 앱을 눌러봤습니다.

웹사이트를 들어가봤더니.. 저렇습니다. 이런 회사가 여러분들의 보안을 책임지겠다고 앱을 내놓은건데 모르는 사람들은 그냥 아무 생각없이 받아서 쓸 수 밖에요. 다운로드가 벌써 500만이 넘었군요.

그리고 싱가포르로 옮긴 회사들을 읽어보시면 얼마나 조직적으로 움직이는지 알 수 있습니다.

그래서 무료 VPN 회사들이 다 나쁜 회사인가?

무조건 그렇진 않습니다.

다시 한번 말하지만 세상에 공짜가 어디있겠습니까.. 우리가 지마켓, 옥션, 11번가 같은 오픈마켓에서 뭐 구매할때 ‘추가 쿠폰 받으실래요??’ 해서 눌러서 잘 보면 “님 개인정보 파는 조건으로 주는거에요~”라는 의미 입니다. 보통 그거 보험회사, 금융회사 쪽에 팔고 그 조건으로 쿠폰주는거죠.

VPN도 마찬가지 입니다. 엄밀히 말해서 ‘무료’는 없습니다. VPN 서버를 수만명 이상에게 제공하려면 어마어마한 돈이 들어갑니다. 구글,애플,삼성 같은 기업들도 절대 손해볼 짓 안합니다. 그런데 저런 소규모 업체들이 전세계 사람들을 상대로 엄청난 비용이 들어가는 무료 서비스를 제공한다구요? 말이 안되죠.

회사 세우는 것 자체가 돈 벌자고 하는 것이니 그들의 행위는 어떻게 보면 당연할 것 입니다. 하지만 정말 나쁜게 사용자를 속인다는 것..

결론과 대안

여러분이 어디에 접속하고 뭘 클릭하고 뭘 보고 다운로드 받는지 그들은 모두 다 저장하고 있습니다. 그리고 데이터를 그대로 혹은 가공해서 팔아먹지요. 무료 VPN을 사용하실때, 특히 회사의 실체가 모호한 곳의 제품을 사용할땐 절대로 ‘로그인’이나 ‘카드번호’ 등 금융정보를 입력하지 말라고 권해드리고 싶습니다.

• 회사의 사이트는 잘 만들어져 있는가?
• 본사, 사무실이 실제로 존재하는가?
• 직원을 고용하는 곳인가?
• 명확한 개인정보 정책을 고지하는가?
• 회사 담당자 연락처가 지메일 등 개인 이메일이진 않은가?

등등 여러 각도로 보시면 생각보다 엄청나게 허접한 VPN들이 많다는 것을 알 수 있습니다. 쟤들이 사용자 정보 저장하지 않는다고 하는데 정말 실험해보고 싶으시다면 나쁜짓 하고 돌아다녀 보시면 됩니다. 수사기관이 정보 요청하면 내줍니다. 저장도 안되어있는데 어떻게 줄까요.

정말 돈이 없어서 무료만 써야한다면, 그나마 유명한 곳의 VPN을 사용하시고 단순, 임시용도로만 사용하시길 권해드립니다. 기술적인 부분에서 그래도 최소한의 노력이라도 하는지 보시려면 최신 프로토콜인 WireGuard 선택이 가능한지 보는 것도 나쁘지 않습니다. 그리고 파이브아이즈 그리고 그 확장 동맹인 9아이즈, 14아이즈에 속한 지역의 VPN도 피하시는게 조금이라도 더 좋습니다.

다른 보안 방법은 없나요?

나는 공공장소 등 타인의 공유기 통해 와이파이 많이 사용하는데 안전하게만 쓰고 싶다. 그래서 IP 우회는 필요없고 암호화 터널만 필요하다 하시는 분들은 옵션이 그래도 있습니다.

• 공공장소나 외부에서 사용할 자신만의 휴대용 와이파이도 괜찮습니다. – 모바일 라우터
• 맥북, 아이폰 등 애플 유저 분 중 아이클라우드+ 사용중이신 분은 비공개 릴레이가 있는데, 이게 애플 VPN으로 알려져 있기도 합니다. 하지만 VPN이 아니며 다중 프록시라고 말할 수 있으며 모든 트래픽 암호화, IP 우회 등 진짜 사생활 보호와는 다릅니다. 그리고 사파리 브라우저에서만 작동한다는 것이 가장 큰 단점입니다. 구글 또한 거의 똑같은 서비스를 제공합니다. 구글One 구독자는 사용가능.

가장 안전한 VPN

상단 메뉴에서 VPN 누르시면 업데이트 된 리뷰와 할인 코드 그리고 몇년간 쌓인 데이터와 결과물이 있습니다. 가장 안전한 선택을 해보세요. 1위~3위 세개만 보시면 됩니다.(순위는 변동사항이 생기면 바뀝니다.) NordVPN, ExpressVPN 두개를 가장 좋은데 그 이유는 노로그 검증 리포트를 확인해 보시면 근거를 확인할 수 있습니다.

램서버, 속도, 신뢰성, 관할지역법으로 인한 No Log 합법 등등 뿌리부터가 다릅니다. 토렌트까지 사용할거면 더욱 그렇구요. 알고나면 그동안 번지르르한 간판만 내건 회사에 속아 결제한게 후회될 것 입니다.

제한적이지만 쓸만하고 신뢰도가 높은 무료 서비스는 ProtonVPN이 좋다고 생각합니다.

엄청난 수의 VPN 업체들은 지나가던 호구 걸리면 돈버는 구조인 곳이 대부분인 것을 알아두세요.