2019.02.14

“마냥 안전하지는 않다” VPN 서비스에서도 취약점 발견

Patrick Nelson | Network World
만약 VPN 서비스 가입자로서 과연 인터넷을 통해 사용하는 암호화된 대역이 얼마나 안전한지, VPN 서비스 업체가 약속하는 익명성이 정말로 프라이버시를 지켜주는지 미심쩍은 마음이었다면, 제대로 짚은 것일지도 모른다. 몇몇 VPN 서비스는 안전하지 않은 것으로 드러났기 때문이다.

ⓒ GettyImagesBank

여러 대학의 컴퓨터 과학자로 구성된 한 독립 연구단체가 최근 61곳의 VPN 시스템을 테스트한 결과, 무려 13가지 프로그래밍 오류를 발견했다. 연구팀은 이런 잘못된 환경 구성으로 “인터넷 트래픽이 암호화된 연결 밖으로 돌아다닐 수 있다”고 지적했다.

UC 샌디에이고, UC 버클리, 시카고 일리노이 대학교, 스페인 마드리드 IMDEA와 국제 컴퓨터 과학 연구소(International Computer Science Institute, ICSI)의 컴퓨터 과학자들로 구성된 연구팀은 최근 학술 연구 정보 전문 사이트인 컨버세이션(The Conversation)에 관련 내용을 기고했다. 이 기고 내용에 따르면, 200곳의 VPN 서비스 중 6곳은 사용자 트래픽을 감시한 의심도 받고 있는데, 연구팀은 의도치 않은 정보 유출보다 더 심각한 문제라고 지적했다. VPN의 핵심은 사적이며 감시를 받지 않는다는 것으로, 이 때문에 VPN은 공개 와이파이 상에서 기업의 거래 기밀을 보호하는 것부터 반체제 활동까지 다양한 용도로 사용되고 있다.

또 일부 허점은 실제로 “VPN을 사용하는 목적을 무의미하게 만들고 사용자의 온라인 활동을 외부 스파이나 감시자에게 그대로 노출되도록 내버려 둔다”고 지적했다.

일부 VPN 서비스 업체가 서버의 위치에 대해 거짓말을 한 정황도 발견됐다. 연구팀은 “다수의 다양한 인터넷 연결을 보유하고 있다고 주장하는 VPN 서비스 업체 중 일부는 실제로 단 두 나라에 몇 대의 서버 클러스터만 보유하고 있다”고 밝혔다. 최소한 6곳의 VPN 서비스 업체가 실제와는 다른 특정 국가를 경유한다고 속이고 있는데, 이는 사용자의 소속 국가 법률에 따라 법적 문제를 일으킬 소지도 있다고 설명했다.

이외에 프라이버시 정책도 문제의 소지가 있는 것으로 드러났다. 200곳의 VPN 서비스 업체 중 50곳이 웹 사이트에 프라이버시 정책을 전혀 게재하지 않고 있다.

하지만 가장 큰 문제는 프로그래밍 오류와 서비스 업체의 모니터링이다. 특히 최종 사용자 대부분은 자신이 사용자는 제품에 오류가 있는지 판단할 정도의 기술 지식이 없다. 업체들을 평가할 만한 표준화된 책임 규정도 없어서 업체가 웹 사이트에 올린 프라이버시 관련 홍보 문구에 의존해야 하는 상황이다. 만약 사용자가 문제를 알 수 있다면, 서비스 업체를 바꾸기만 하면 되는 일이다.

연구팀은 이 문제에 대한 해법도 제시하고자 했다. 연구팀의 접근법 중 하나는 VPN 사용자에게 자체 VPN 서버를 생성할 것을 권장하는 것이다. 이는 생각만큼 어렵지 않다.

또 다른 전략은 정부기관으로 하여금 VPN 업계를 규제하도록 하는 것이다. 일부 단체는 미 연방거래위원회에 150억 달러 규모의 VPN 업계에 문제가 있다고 지적하는 공개 의견을 제출하기도 했다. 이들 단체는 VPN 생태계의 불투명성이 가장 큰 문제라며, 사용자가 일반적으로 사용할 수 있는 툴도, 감사도, 독립적인 연구도 없다고 지적하며, FTC가 이를 정리해야 한다고 주장했다.

전반적인 문제를 악화시키는 것은 후원 프로그램의 지원을 받는 리뷰 사이트를 사용하는 VPN이다. 이 단체는 이들 리뷰가 충분히 공정하지 못하며, 이 때문에 사용자가 좋은 서비스 업체와 그렇지 않은 서비스 업체를 가려내기 더 어렵다고 지적했다.  editor@itworld.co.kr


2019.02.14

“마냥 안전하지는 않다” VPN 서비스에서도 취약점 발견

Patrick Nelson | Network World
만약 VPN 서비스 가입자로서 과연 인터넷을 통해 사용하는 암호화된 대역이 얼마나 안전한지, VPN 서비스 업체가 약속하는 익명성이 정말로 프라이버시를 지켜주는지 미심쩍은 마음이었다면, 제대로 짚은 것일지도 모른다. 몇몇 VPN 서비스는 안전하지 않은 것으로 드러났기 때문이다.

ⓒ GettyImagesBank

여러 대학의 컴퓨터 과학자로 구성된 한 독립 연구단체가 최근 61곳의 VPN 시스템을 테스트한 결과, 무려 13가지 프로그래밍 오류를 발견했다. 연구팀은 이런 잘못된 환경 구성으로 “인터넷 트래픽이 암호화된 연결 밖으로 돌아다닐 수 있다”고 지적했다.

UC 샌디에이고, UC 버클리, 시카고 일리노이 대학교, 스페인 마드리드 IMDEA와 국제 컴퓨터 과학 연구소(International Computer Science Institute, ICSI)의 컴퓨터 과학자들로 구성된 연구팀은 최근 학술 연구 정보 전문 사이트인 컨버세이션(The Conversation)에 관련 내용을 기고했다. 이 기고 내용에 따르면, 200곳의 VPN 서비스 중 6곳은 사용자 트래픽을 감시한 의심도 받고 있는데, 연구팀은 의도치 않은 정보 유출보다 더 심각한 문제라고 지적했다. VPN의 핵심은 사적이며 감시를 받지 않는다는 것으로, 이 때문에 VPN은 공개 와이파이 상에서 기업의 거래 기밀을 보호하는 것부터 반체제 활동까지 다양한 용도로 사용되고 있다.

또 일부 허점은 실제로 “VPN을 사용하는 목적을 무의미하게 만들고 사용자의 온라인 활동을 외부 스파이나 감시자에게 그대로 노출되도록 내버려 둔다”고 지적했다.

일부 VPN 서비스 업체가 서버의 위치에 대해 거짓말을 한 정황도 발견됐다. 연구팀은 “다수의 다양한 인터넷 연결을 보유하고 있다고 주장하는 VPN 서비스 업체 중 일부는 실제로 단 두 나라에 몇 대의 서버 클러스터만 보유하고 있다”고 밝혔다. 최소한 6곳의 VPN 서비스 업체가 실제와는 다른 특정 국가를 경유한다고 속이고 있는데, 이는 사용자의 소속 국가 법률에 따라 법적 문제를 일으킬 소지도 있다고 설명했다.

이외에 프라이버시 정책도 문제의 소지가 있는 것으로 드러났다. 200곳의 VPN 서비스 업체 중 50곳이 웹 사이트에 프라이버시 정책을 전혀 게재하지 않고 있다.

하지만 가장 큰 문제는 프로그래밍 오류와 서비스 업체의 모니터링이다. 특히 최종 사용자 대부분은 자신이 사용자는 제품에 오류가 있는지 판단할 정도의 기술 지식이 없다. 업체들을 평가할 만한 표준화된 책임 규정도 없어서 업체가 웹 사이트에 올린 프라이버시 관련 홍보 문구에 의존해야 하는 상황이다. 만약 사용자가 문제를 알 수 있다면, 서비스 업체를 바꾸기만 하면 되는 일이다.

연구팀은 이 문제에 대한 해법도 제시하고자 했다. 연구팀의 접근법 중 하나는 VPN 사용자에게 자체 VPN 서버를 생성할 것을 권장하는 것이다. 이는 생각만큼 어렵지 않다.

또 다른 전략은 정부기관으로 하여금 VPN 업계를 규제하도록 하는 것이다. 일부 단체는 미 연방거래위원회에 150억 달러 규모의 VPN 업계에 문제가 있다고 지적하는 공개 의견을 제출하기도 했다. 이들 단체는 VPN 생태계의 불투명성이 가장 큰 문제라며, 사용자가 일반적으로 사용할 수 있는 툴도, 감사도, 독립적인 연구도 없다고 지적하며, FTC가 이를 정리해야 한다고 주장했다.

전반적인 문제를 악화시키는 것은 후원 프로그램의 지원을 받는 리뷰 사이트를 사용하는 VPN이다. 이 단체는 이들 리뷰가 충분히 공정하지 못하며, 이 때문에 사용자가 좋은 서비스 업체와 그렇지 않은 서비스 업체를 가려내기 더 어렵다고 지적했다.  editor@itworld.co.kr


X