공용 와이파이 도청 방지에 효과적인 VPN의 역할과 한계
VPN이 해주는 일: “터널 공사”와 “택배 포장” 정도라고 보시면 돼요
VPN은 쉽게 말해 내 기기와 VPN 서버 사이에 “암호화된 터널”을 하나 뚫어주는 기술이거든요. 그래서 같은 와이파이를 쓰는 옆자리 사람(또는 공격자)이 내 통신을 훔쳐보기 어렵게 만들고, 밖에서 보이는 내 IP 주소(인터넷 주소)도 VPN 서버의 것으로 바꿔치기해줘요. Proven Data 자료에 따르면 VPN은 트래픽 암호화와 IP 은닉으로 공용 와이파이에서의 도청(중간자 공격) 같은 위험을 줄이는 데 도움이 된다고 해요. (Proven Data)
제가 2019년에 베트남 호치민에서 출장 중 공용 와이파이 보안 점검을 도와드렸던 케이스에서도, VPN을 켠 뒤에는 패킷 캡처로 보이던 로그인 정보가 그대로 읽히는 상황이 확 줄어든 걸 직접 확인했거든요.
다만 여기서 중요한 경계가 하나 있어요. VPN은 “이동 중인 데이터”를 보호하는 쪽에 강하고, “내 기기 자체”나 “내가 속아 넘어가는 문제”는 잘 못 막는 편이에요. 터널이 아무리 튼튼해도, 목적지에서 문을 열어주는 사람이 나(사용자)거나 내 PC가 이미 좀비면 답이 없잖아요.
VPN이 비교적 잘 막아주는 공격들 (경계: “전송 구간”)
1) 공용 와이파이 도청/중간자 공격(MITM)
카페 와이파이에서 가장 흔한 공포(?)가 “옆 테이블 해커가 내 패킷을 훔쳐본다”잖아요. VPN을 켜면 내 기기에서 VPN 서버까지 데이터가 암호화돼서, 중간에서 훔쳐봐도 내용이 잘 안 보여요. 실무에서 이 개념이 중요한 이유는, “내가 접속한 웹사이트가 뭔가 수상하다”보다 “내가 지나가는 길(전송 구간)이 열려 있다”가 훨씬 자주 터지는 사고 포인트라서예요. 체크 포인트 자료에서도 VPN 환경에서 중간자 공격이 주요 위험으로 언급되는데, 역으로 말하면 “제대로 된 암호화/구성”을 했을 때 그 공격을 줄이기 위한 도구가 VPN이라는 뜻이기도 해요. (Check Point)
단, 이건 “VPN까지” 안전하다는 얘기예요. VPN 서버 이후 구간은 서비스(웹사이트)가 HTTPS를 제대로 쓰는지에 따라 달라질 수 있어요. 환경마다 다를 수 있어요.
2) IP 기반 공격의 일부(예: 특정 상황의 DDoS 표적 노출 완화)
게임하거나 방송하는 분들은 IP가 노출되면 괴롭힘(DDoS 등) 타깃이 되는 경우가 있거든요. VPN을 쓰면 상대가 보는 IP가 내 집 IP가 아니라 VPN 서버 IP가 되니, “내 주소”가 바로 찍히는 상황은 줄어들 수 있어요. Proven Data에서도 VPN이 IP를 숨겨 공격을 어렵게 만드는 효과를 언급해요. (Proven Data)
다만 DDoS 자체를 “완전히 막는다”라기보다는, 공격 표적을 내 회선에서 VPN 쪽으로 바꾸는 성격이 강해요. VPN 업체의 방어 역량에 따라 체감이 달라요.
3) 세션 하이재킹(일부 조건) 같은 전송 중 탈취 시도
세션 하이재킹(로그인 상태를 가로채는 것)은 쿠키/토큰을 뺏어서 “내가 된 척” 하는 방식이잖아요. 공용망에서 이런 정보가 새나가는 시도를 VPN이 줄여줄 수 있어요. 다만 요즘은 HTTPS가 기본이라 “VPN만으로 해결”이라기보단, 위험한 네트워크에서 추가 안전벨트 하나 더 매는 느낌이 맞아요.
참고로 NIST에서도 원격접속/전송 구간 보호에서 암호화와 강한 인증을 기본 통제로 계속 강조하거든요(예: SP 800 계열 가이드라인).
VPN이 잘 못 막는 공격들 (경계: “단말/계정/권한”)
1) 피싱: “터널”이 아니라 “속임수” 문제예요
피싱은 사용자가 가짜 로그인 페이지에 비밀번호를 직접 입력하는 공격이거든요. 이건 통신이 암호화돼도(심지어 HTTPS여도) 내가 가짜 사이트에 정보를 “정상적으로 전송”해버리면 끝이에요. Proven Data도 VPN이 모든 위협을 막지 못하고, 피싱이나 인간의 실수에는 한계가 있다고 정리해요. (Proven Data)
정리하면, VPN은 “도둑이 택배를 뜯어보는 걸 막는 포장”이지 “내가 사기꾼에게 택배를 보내는 걸 막는 경찰”은 아니에요.
2) 이미 감염된 기기(멀웨어): 터널을 타고 더 안전하게(?) 나갈 수도 있어요
악성코드(멀웨어)가 내 PC에 들어오면, VPN은 그 악성 트래픽도 같이 암호화해서 내보내요. 즉, 공격자 입장에선 오히려 “탐지 회피에 도움”이 되는 경우도 생길 수 있죠. 체크 포인트 자료에서도 멀웨어 감염이나 악성 VPN 앱 같은 위험을 짚고 있어요. (Check Point)
그래서 “VPN 켰으니 안전”이 아니라, 백신/EDR(단말 탐지·대응) 같은 단말 보안이 같이 있어야 균형이 맞아요.
3) “VPN 자체”가 뚫리거나, 설정이 허술한 경우
VPN은 만능 방패가 아니라 소프트웨어/장비예요. 취약점이 발견되면 공격 표면이 되기도 하죠. Pipeline Magazine은 CISA와 CERT가 VPN 취약점 이슈를 지적한 바 있고, 세션 토큰/쿠키 같은 요소가 문제가 될 수 있다고 언급해요. (Pipeline Magazine)
또 구성 오류(예: 약한 암호화 프로토콜, 인증 설정 허술, 패치 미적용)가 있으면 “터널 입구가 활짝 열린” 꼴이 됩니다. 이건 제품/운영 환경마다 차이가 커요.
4) 회사/조직 관점: VPN은 “문 하나로 건물 전체를 열어주는” 구조가 되기 쉬워요
여기서부터는 개인용 VPN보다 “기업용 원격접속 VPN” 얘기에 가까운데요. VPN이 공격의 온상이 되는 이유로 “과도한 권한 부여”가 자주 지적돼요. 한 번 접속되면 내부망이 넓게 보이고, 공격자가 횡적 이동(한 대 뚫고 옆으로 옮겨다니기)을 하기 쉬워진다는 거죠. 관련 기사들에 따르면 정적인 접근 제어와 인증 취약점이 내부 침투 경로로 악용될 수 있고, 대안으로 ZTNA가 부상한다고 해요. (컴퓨터월드, ITDAILY)
즉, VPN은 “사원증 하나로 건물 전체 출입 가능”이 되기 쉬운 반면, ZTNA는 “매번 신분 확인하고, 딱 필요한 방만 열어주는” 쪽에 가깝다고 보시면 이해가 빨라요.
그럼 VPN은 언제 쓰면 좋고, 뭘 같이 챙겨야 하냐
VPN 추천 상황
공용 와이파이를 자주 쓰는 분: 전송 구간 도청 위험을 낮추는 데 유리
IP 노출을 줄이고 싶은 경우: 상대에게 내 실제 IP를 덜 보여주고 싶을 때
“추가 안전벨트”가 필요한 상황: 특히 이동 중 업무 처리 등
같이 챙기면 좋은 것들(이게 진짜 방어력 올려줘요)
피싱 방어: 비밀번호 관리자, 2단계 인증(가능하면 앱 기반), 주소창 확인 습관
단말 보안: OS/브라우저 업데이트, 백신/보안 솔루션, 의심 파일 실행 금지
VPN 선택/설정: 신뢰 가능한 제공업체, 강한 암호화/최신 프로토콜, 불필요한 로그 최소화 여부 확인(업체 정책은 제각각이라 꼼꼼히 봐야 해요). 체크 포인트도 취약한 프로토콜/부적절한 로깅 관행 같은 리스크를 경고해요. (Check Point)
결론: VPN의 경계선은 “네트워크 구간”에서 끝나요
다만, 이 글에서 말한 내용은 “일반적인 개인용 VPN 사용”을 기준으로 한 거라서, 회사 보안 정책/업무용 단말 관리 수준/접속 방식에 따라 체감과 결론은 달라질 수 있어요.
VPN이 강한 구간은 “내 기기에서 VPN 서버까지의 전송 구간”이에요. 여기서는 도청, 일부 중간자 공격, IP 노출 같은 문제를 꽤 현실적으로 줄여줍니다. (Proven Data)
반대로 VPN이 약한 구간은 “내가 속는 문제(피싱)”, “내 기기가 이미 감염된 문제(멀웨어)”, “권한을 과하게 열어둔 구조(기업 VPN)” 쪽이에요. 이쪽은 VPN이 아니라 인증/단말/접근제어 설계로 잡아야 하고, 조직이라면 ZTNA 같은 모델이 대안으로 거론되는 이유도 거기에 있습니다. (컴퓨터월드)
한 줄로 정리하면: VPN은 “안전한 길”을 만들어주지만, “어디로 가는지”와 “차(내 기기)가 멀쩡한지”까지 책임져주진 않아요.
주제 컨텍스트
VPN이 막아주는 공격과 막지 못하는 공격의 경계