VPN 패킷 캡슐화 방식과 터널링으로 안전한 데이터 전송 이해하기
한 줄로 감 잡기: “캡슐화”는 택배 박스 갈아끼우기예요
VPN이 트래픽을 “숨긴다”는 말, 마치 투명망토처럼 데이터가 사라지는 느낌이잖아요. 근데 실제로는 더 현실적입니다. 원래 보내려던 패킷(데이터 조각)을 그대로 없애는 게 아니라, 그 위에 새 포장(헤더)을 씌워서 “다른 모양의 택배”로 바꿔 보내는 게 핵심이거든요. 이걸 캡슐화(encapsulation)라고 해요. ExpressVPN 자료에 따르면 VPN은 터널링과 캡슐화를 통해 사용자의 데이터 패킷을 보호하는 방식으로 동작합니다(ExpressVPN).
제가 2021년에 베트남(호치민) 출장 중 호텔 와이파이에서 사내 메일 접속 테스트를 도와드릴 때도, 패킷 캡슐화가 제대로 안 잡히면 “VPN은 켰는데 왜 자꾸 끊기지?” 같은 현상이 바로 튀어나오더라고요.
패킷이 원래 가진 “겉봉투”에는 뭐가 적혀 있냐면요
인터넷에서 패킷은 편지라기보다 “겉봉투+내용물” 구조예요.
겉봉투(헤더): 출발지 IP, 목적지 IP, 어떤 프로토콜(TCP/UDP)인지 같은 “배송 정보”
내용물(페이로드): 실제로 전송하려는 데이터(웹페이지 요청, 메시지, 파일 조각 등)
문제는, 암호화를 안 하면 내용물은 물론이고 겉봉투 정보도 네트워크 중간에서 꽤 많이 보인다는 점이에요. ISP(통신사)나 공공 와이파이 운영자 입장에선 “어디로 보내는지(목적지 IP)” 같은 메타데이터만으로도 사용 패턴을 어느 정도 유추할 수 있거든요. 그래서 VPN은 “내용물 암호화”와 함께 “겉봉투 자체를 갈아끼우는 작업(캡슐화)”를 같이 씁니다.
실무에서 이 개념이 중요한 이유는, “암호화만 잘하면 끝”이라고 착각하면 목적지/경로 같은 메타데이터 노출 지점을 놓치기 쉽기 때문이거든요.
VPN 캡슐화의 핵심: “원래 패킷”을 “새 패킷” 안에 넣습니다
VPN이 하는 일을 택배로 비유하면 이렇습니다.
1) 원래 택배(원래 IP 패킷)를 준비해요
2) 그 택배를 더 큰 박스에 통째로 넣어요(캡슐화)
3) 큰 박스 겉면에는 “내 기기 → VPN 서버” 주소만 적어요(새 헤더)
4) 큰 박스 안의 원래 택배는 잠금까지 걸어요(암호화)
위키피디아의 VPN 설명에서도 IPsec이 “IP 패킷을 IPsec 패킷 안에 캡슐화”하고, 터널 끝에서 역캡슐화(de-encapsulation)로 원래 패킷을 꺼낸다고 정리합니다(Wikipedia).
여기서 “숨긴다”의 의미가 딱 정리돼요.
중간 구간(내 기기 ↔ VPN 서버)에서 보이는 것: “VPN 서버로 가는 암호화된 트래픽”
중간 구간에서 안 보이는 것: 원래 목적지(내가 접속하려던 사이트), 원래 요청 내용(무슨 페이지/무슨 데이터)
다만 “완전 투명망토”는 아니고요. 중간에서는 “VPN을 쓰는지 여부”, “VPN 서버 IP”, “트래픽 양/시간대” 같은 건 보일 수 있어요. 이건 캡슐화가 “주소를 바꿔치기”하는 기술이지, 트래픽의 존재 자체를 지우는 기술은 아니기 때문이죠(환경마다 다를 수 있어요).
“터널”이라는 말이 왜 나오냐면: 중간은 그냥 통로 처리합니다
VPN 터널링(tunneling)은 “원래라면 인터넷에 그대로 흘러갈 패킷”을, VPN이라는 전용 통로로 우회시켜 보내는 개념이에요. ExpressVPN 설명처럼 이 터널 안에서 캡슐화가 일어나고, 그 결과 중간 네트워크는 내부 내용을 해석하기 어렵습니다(ExpressVPN).
터널의 양 끝을 현실적으로 말하면:
입구: 내 기기(또는 회사 게이트웨이)
출구: VPN 서버(또는 회사 네트워크의 VPN 장비)
입구에서 “포장+잠금”을 하고, 출구에서 “잠금 해제+포장 제거”를 한 다음 원래 목적지로 다시 배송을 이어가는 구조죠.
암호화는 “내용물 잠금”, 캡슐화는 “겉봉투 교체”예요
VPN 얘기할 때 사람들이 제일 많이 헷갈리는 포인트가 이거예요. “VPN이 암호화하니까 캡슐화는 필요 없지 않나?” 싶은데, 역할이 달라요.
암호화(encryption): 내용물을 못 보게 잠금. “무슨 말을 했는지”를 숨김
캡슐화(encapsulation): 겉봉투를 바꿔치기. “누가 누구에게 보내는지(원래 목적지)”를 중간에서 직접 보기 어렵게 만듦
CyberGhost 자료에 따르면 VPN 암호화는 제3자가 사용자의 온라인 활동을 볼 수 없도록 트래픽을 암호화하고, VPN 서버를 통해 IP 주소를 숨겨 프라이버시를 강화한다고 설명합니다(CyberGhost). 여기서 “IP 숨김”은 바로 캡슐화/터널링의 효과를 사용자 관점에서 풀어쓴 말로 이해하면 편해요.
참고로 이런 “터널링/캡슐화로 다른 프로토콜을 실어 나른다”는 아이디어 자체는 IETF가 내놓는 RFC들에서 표준화 논의가 계속 이어져온 주제라, 용어가 괜히 멋있어 보이려고 붙은 건 아니에요.
정리하면, 암호화만으로는 “겉봉투(목적지 IP)”가 그대로 노출될 수 있는데, 캡슐화는 그 겉봉투를 “VPN 서버로 향하는 겉봉투”로 바꿔주니 조합이 강력해지는 거죠.
캡슐화도 상황 따라 ‘겉포장 재질’이 바뀝니다: UDP가 막히면 TCP로도 감쌀 수 있어요
현실 네트워크는 늘 친절하지 않잖아요. 어떤 곳은 UDP를 막아버려서 VPN 연결이 불안정해지기도 합니다. 그런 경우를 대비한 표준 중 하나가 “IKE/IPsec 패킷을 TCP로 캡슐화해서 보내는 방법”이에요. RFC 8229는 네트워크 중간 장치가 UDP 기반 IKE 협상을 차단할 때를 대비해, IKE 및 IPsec 패킷을 TCP 연결로 전송하는 방식을 설명합니다(RFC 8229).
이걸 비유하면 이런 느낌이에요.
원래는 “일반 택배차(UDP)”로 보내려 했는데, 아파트 단지가 택배차 출입을 막음
그래서 “우편 등기(TCP)”로 접수해서라도 통과시키는 우회로를 마련
물론 TCP 위에 또 TCP 성격의 트래픽을 실으면(예: TCP 기반 웹 트래픽을 TCP 캡슐화로) 성능이 애매해질 수 있어요. 다만 이런 부분은 프로토콜/환경에 따라 다르고, RFC도 성능 및 보안 고려사항을 함께 다룹니다(RFC 8229).
흔한 오해 3개만 딱 정리해요
1) “VPN 쓰면 방문한 사이트가 아무도 안 보이죠?”
중간 경로(공공 와이파이, ISP 등)에서는 원래 목적지와 내용이 숨겨지는 쪽에 가깝습니다. 하지만 “VPN 서버”는 출구 역할이라, 그 뒤 구간에서는 일반 인터넷처럼 목적지로 트래픽이 나가요. 즉, 숨김의 범위는 “터널 구간” 중심이라고 이해하는 게 안전합니다(ExpressVPN).
2) “캡슐화면 패킷이 완전히 다른 데이터로 바뀌나요?”
아니요. 원래 패킷은 보통 그대로 “안에 들어가”요. 바깥에 새 헤더가 붙고(캡슐화), 안쪽은 암호화로 읽을 수 없게 만드는 구조가 핵심입니다(Wikipedia).
3) “IP를 숨긴다 = 신원도 완벽히 숨는다?”
VPN은 네트워크에서 보이는 IP를 바꿔 보여주는 효과가 있지만, 로그인 정보/쿠키/브라우저 식별 같은 건 별개 축이에요. VPN이 해결하는 건 주로 “전송 경로에서의 노출” 문제라고 보는 게 과장 없이 정확합니다(CyberGhost).
마무리: “숨김”의 정체는 ‘포장 갈아끼우기+잠금’ 조합입니다
다만, 이 글에서 말하는 “숨김”은 어디까지나 네트워크 전송 구간(내 기기↔VPN 서버)에서의 캡슐화/암호화 효과에 한정되고, DNS 설정이나 로그인 상태 같은 변수에 따라 체감은 달라질 수 있어요.
VPN이 트래픽을 숨기는 실제 방식은 생각보다 단순한 편이에요.
캡슐화: 원래 패킷을 새 패킷 안에 넣어, 겉에서 보이는 목적지를 “VPN 서버”로 바꿈
암호화: 그 안쪽 내용을 잠가서, 중간에서 내용을 훔쳐보거나 변조하기 어렵게 함
터널: 이 포장/잠금이 유지되는 “구간”이 생기고, 끝에서 풀어서 원래 목적지로 보냄
그러니까 VPN은 “데이터를 없애는 마술”이 아니라, “택배 박스를 한 겹 더 씌우고 자물쇠를 채우는 기술”이라고 보면 딱 맞습니다.