중간자 공격 구조와 공용 와이파이에서 VPN의 역할과 한계
중간자 공격(MITM) 구조, 한 장으로 그리면 이래요
중간자 공격(MITM, Man-in-the-Middle)은 말 그대로 “둘이 대화하는데, 중간에 누가 끼어들어 엿듣거나 말을 바꿔치기하는” 상황이거든요. 체크포인트 자료에 따르면 공격자는 통신을 가로채 읽거나 수정할 수 있고, 침투 방식도 악성 와이파이, ARP 스푸핑(로컬망에서 주소 속이기), DNS 스푸핑(도메인 안내판 바꿔치기), 심지어 BGP 하이재킹(인터넷 길 자체를 가로채기)까지 다양하다고 해요. (Checkpoint 자료에 따르면)
제가 2019년에 한국에서 카페 프랜차이즈 공용 와이파이 보안 점검을 도와드릴 때도, 손님이 많은 시간대에만 유사 SSID(가짜 와이파이 이름)로 접속이 유도되는 케이스를 실제로 봤거든요.
이걸 일상 비유로 바꾸면,
사용자(나): 편지를 쓰는 사람
웹사이트/서비스: 편지를 받는 사람
공격자: 우체통 앞에서 편지를 뜯어보거나, 내용 바꿔서 다시 봉투 붙이는 사람
공용 와이파이: 우체통이 “아무나 손댈 수 있는 골목길”에 놓인 상태
문제는 사용자가 보기엔 “인터넷이 그냥 되네?”라서, 중간에 누가 끼어들었는지 티가 잘 안 난다는 점이에요.
실무에서 이 개념이 중요한 이유는, “공격자가 내 계정을 털었다”가 아니라 “통신 경로가 바뀌었다”부터 의심해야 원인 추적이 빨라지기 때문이거든요.
VPN은 MITM의 “어느 구간”을 막아주나요?
핵심만 콕 찍으면, VPN은 보통 “내 기기 ↔ VPN 서버(게이트웨이)” 구간을 암호화 터널로 감싸서 그 사이에서 벌어지는 도청/변조 위험을 크게 줄여줘요. Information Security Stack Exchange에서도 일반적으로 VPN이 사용자의 컴퓨터와 VPN 게이트웨이 사이의 대부분 MITM을 막는다고 정리하거든요. (Security Stack Exchange 답변 요지에 따르면)
여기서 “터널”은 뭐냐면요.
내 기기에서 나가는 트래픽을 통째로 “봉인된 파이프”에 넣어 보내는 느낌이에요.
공용 와이파이에서 누가 패킷을 훔쳐봐도, 안에 뭐가 들었는지 해독하기 어렵게 만드는 거죠(제대로 설정된 암호화/인증이 전제).
그래서 스타벅스 와이파이 같은 공용망에서 “옆자리 사람이 내 트래픽 훔쳐보는” 류의 공격에는 VPN이 꽤 도움이 되는 편이에요. 다만 이게 “세상 모든 중간자”를 끝장내는 만능 방패는 아니고, 보호 범위가 딱 정해져 있습니다.
그럼 VPN이 못 막는 지점은 어디냐면요
VPN이 지켜주는 건 “내 기기에서 VPN 서버까지”예요. 그 다음 구간, 즉
VPN 서버 ↔ 최종 목적지(웹사이트/앱 서버)
는 VPN이 아니라 “그 서비스가 쓰는 보안(주로 HTTPS의 TLS 암호화)”이 담당하는 영역이죠.
여기서 흔히 생기는 오해가 하나 있어요.
“VPN 켰으니까 이제 사이트 접속은 다 안전한 거죠?”
반은 맞고 반은 틀립니다.
1) VPN 사업자가 ‘새로운 중간’이 될 수 있어요
레딧의 r/VPN 토론에서도 “본질적으로 VPN 제공자가 중간자다”라는 표현이 나와요. (Reddit r/VPN 토론 요지에 따르면)
이 말이 무섭게 들릴 수 있는데, 의미는 단순해요. 내 트래픽이 VPN 서버를 거쳐 나가니까, “내가 믿는 대상이 공용 와이파이 운영자/주변 공격자에서 VPN 제공자로 바뀐다”는 거예요.
공용 와이파이 공격자: 내 기기~VPN 서버 구간을 뚫기 어려움(터널로 봉인)
VPN 제공자: 터널 끝에서 “평문에 가까운 형태로” 트래픽을 볼 가능성이 생김(특히 HTTPS가 아닌 경우)
그래서 VPN은 “신뢰 이전(trust shift)”이라고 생각하면 이해가 빨라요. 누구를 믿을지 선택이 바뀌는 거죠.
2) HTTPS(TLS)가 깨지면, VPN만으로는 한계가 있어요
체크포인트 자료에 따르면 SSL/TLS 암호화도 가짜 인증서나 다운그레이드 공격으로 우회될 수 있다고 언급돼요. (Checkpoint 자료에 따르면)
즉, VPN을 켰더라도 사용자가 접속한 서비스 쪽 TLS가 흔들리면 위험해질 수 있어요. 다만 요즘 브라우저/OS가 인증서 경고를 빡세게 띄우는 이유가 바로 이거고, 사용자가 경고를 무시하지만 않으면 방어력이 확 올라가긴 합니다(환경마다 다를 수 있어요).
“공용 와이파이 MITM”에서 VPN이 특히 빛나는 장면
도브러너 글은 모바일 환경에서 MITM이 어떻게 발생하고 방어하는지 다루는데, 핵심 맥락은 “네트워크 중간에서 탈취/변조가 일어난다”는 점이에요. (Doverunner 자료에 따르면) 공용 와이파이는 이게 진짜 쉬운 운동장이 되거든요.
VPN이 도움이 되는 대표 시나리오는 이런 느낌입니다.
1) 패킷 스니핑(엿듣기) 계열
같은 와이파이에 붙은 공격자가 트래픽을 주워 담아도, VPN 터널 안쪽은 암호화돼서 “뭘 봐도 의미 없는 바코드”처럼 보이기 쉬워요.
2) 로컬망에서의 속임수(ARP 스푸핑 등)
공격자가 “내가 공유기인 척” 하면서 트래픽을 자기한테 보내게 만들 수 있어도, 그 트래픽이 VPN 터널로 봉인돼 있으면 내용 훔치기/변조 난이도가 크게 올라가요.
정리하면, 공용망에서 “내 기기와 인터넷 사이 첫 구간(last mile)”이 제일 위험한데, VPN은 그 구간을 두껍게 감싸주는 역할을 한다고 보면 됩니다.
참고로 NIST(미국 국립표준기술연구소)에서도 공용/비신뢰 네트워크 구간에서는 암호화 같은 보호 조치를 권장하는 흐름이 반복해서 나오는데, 딱 이 “첫 구간을 어떻게 믿을 거냐”가 포인트예요.
흔한 오해 4개만 딱 정리해볼게요
NordVPN 글에서도 MITM이 개인 정보 유출로 이어질 수 있고 예방책으로 VPN을 언급하는데요, 여기서 포인트는 “VPN이 도움이 되는 케이스가 많지만, 범위가 있다”는 걸 같이 이해하는 거예요. (NordVPN 자료에 따르면)
1) “VPN = 해킹 방지”
아니에요. VPN은 통신 경로 보호(암호화/터널링) 쪽에 강점이 있고, 내 기기 자체가 악성코드에 감염됐다거나, 피싱 사이트에 비밀번호를 직접 넣는 건 별개의 문제예요.
2) “VPN 켜면 HTTPS 필요 없음”
정반대에 가깝습니다. VPN은 내 기기~VPN까지만 주로 보호하고, 최종 목적지까지는 여전히 HTTPS가 중요해요. 특히 로그인/결제는 HTTPS가 기본 중 기본이죠.
3) “VPN은 공짜면 공짜일수록 좋다”
이건 보안이 아니라 “신뢰” 문제예요. VPN 제공자는 내 트래픽이 나가는 관문이 될 수 있으니, 정책/평판/감사(가능한 경우) 같은 요소를 따져봐야 합니다. 단정은 어렵고 서비스마다 다를 수 있어요.
4) “VPN이면 중간자 공격이 0%”
현실은 0%가 잘 없잖아요. 다만 공용망에서 흔한 도청/변조 류 위험을 낮추는 데는 확실히 실용적인 도구라고 보는 게 균형 잡힌 이해입니다.
마무리: VPN이 지키는 건 “내 앞마당”, HTTPS가 지키는 건 “집 안”
다만, 이 글에서 말하는 VPN 효과는 “공용 와이파이 같은 비신뢰 네트워크에서 내 기기~VPN 서버 구간을 암호화로 감싸는 경우”에 초점을 둔 거라서, 회사 보안장비(프록시/SSL 검사)나 기기 감염 같은 상황에선 체감이 달라질 수 있어요.
오늘 얘기를 한 줄로 줄이면 이거예요.
VPN이 주로 보호하는 구간: 내 기기 ↔ VPN 서버 (공용 와이파이 같은 위험한 앞마당에서 특히 효과적)
VPN이 직접 책임지기 어려운 구간: VPN 서버 ↔ 웹사이트/서비스 (여긴 HTTPS/TLS 같은 종단 간 암호화가 핵심)
추가로 기억할 점: “중간자”가 공용망 공격자에서 VPN 제공자로 바뀔 수 있으니, VPN은 기술만큼 신뢰 선택이 중요
공용 와이파이에서 VPN 켜는 건 “골목길에서 편지 봉투를 금고에 넣고 우체국까지 들고 가는” 느낌이고요, 그 다음엔 “우체국부터 수신자 집까지도 봉투가 튼튼해야(HTTPS)” 진짜 마음이 놓이는 구조라고 보면 됩니다.