오늘날 거의 모든 주요 VPN 제공 업체는 노로그 정책을 주장한다. 하지만 이것이 정확히 무엇을 의미하며, VPN 서비스를 선택할 때 왜 중요한가? 노로그 정책이 중요한 이유와 VPN을 사용하는 동안 온라인 개인 정보를 더 안전하게 보호하는 방법에 대해 자세히 알아 보자.
노로그 정책이란?
VPN의 ‘노로그’ 정책은 서비스가 검색 기록, 홈 IP 주소, 쿠키, 다운로드한 파일을 포함한 개인 데이터 같은 서버를 통과하는 모든 트래픽을 수집하거나 기록하지 않는다는 것을 의미한다. 이 정책은 데이터 보존에 대한 VPN의 입장을 나타내며, 포괄적이고 전반적인 사용자 개인 정보 보호 조치를 약속한다.노로그 주장에 대한 문제점은 사용자가 자신의 데이터가 외부에서 수집되지 않는지 확인할 수 없다는 것이다. 그렇기 때문에 많은 상위 VPN은 이러한 주장을 입증하기 위해 외부 감사인을 고용하는 추가 단계를 거친다. 최고의 노로그 VPN은 데이터 수집 관행을 명확하게 공개할 뿐만 아니라 정기적으로 독립적인 감사를 받는 등 최대한의 투명성을 제공한다.
물론 VPN은 서비스가 적절하게 유지되고 최적으로 실행되는지 확인하기 위해 일부 사용자 데이터를 수집할 필요가 있다. VPN이 기기 제한을 부과하는 경우, 연결 활동을 기록해야 한다. 서버에 과부하가 걸리지 않도록 하기 위해 VPN은 데이터 사용량을 추적해야 한다.
여기서 핵심은 이러한 로그가 모두 익명 및/또는 임시 로그인지 확인하는 것이다. VPN은 온라인에 접속한 시간 동안의 연결 활동만 저장하고 그 이상은 저장하지 않아야 한다. 각 개인의 트래픽을 완전히 익명화하기 위해 데이터 사용량은 사용자 단위가 아닌 모든 사용자의 총합으로 측정해야 한다. 이러한 모든 관행은 VPN 업체의 개인정보 보호정책에 명확하게 명시되어 있어야 하며 독립적인 감사를 통해 검증되어야 한다.
VPN에서 노로그가 중요한 이유?
VPN을 사용한다는 것은 어떤 식으로든 개인 정보 보호와 익명성을 확보한다는 뜻이다. 스트리밍 서비스의 지역 차단 제한을 우회하기 위해서만 VPN을 사용하더라도, 사용자의 실제 신원과 연결 위치를 숨기려고 하는 것이다.개인 정보 보호가 VPN의 핵심이므로, VPN이 개인 정보를 침해하는 방식으로 작동해서는 안 된다는 것은 말할 필요도 없다. 이것이 바로 노로그 정책이 필요한 이유이다. 노로그 정책은 연결 중 사용자의 활동을 비공개로 익명으로 유지하겠다는 VPN의 약속의 초석이다.
일반 VPN 사용자는 VPN이 사용자의 트래픽을 기록하는 것에 대해 크게 걱정하지 않을 수 있지만, 정치적 반체제 인사, 언론인, 변호사, 억압적인 정권에 속한 사람들에게는 큰 걱정거리이다. 너무 과장되게 들리겠지만, 고위험 상황에 처한 사람들에게 VPN의 신뢰성은 사활이 걸린 문제일 수 있다.
최악의 경우 정부가 VPN 서버를 장악하더라도 노로그 정책을 준수하는 서비스라면 당국이 찾을 수 있는 것은 아무것도 없다. 2017년 터키 당국이 유명인 암살 사건을 조사하던 중 익스프레스VPN(ExpressVPN) 서버 하나를 압수한 것이 바로 이 사례다. 결국 조사 당국이 빈손으로 돌아간 것으로 익스프레스VPN의 노로그 정책은 입증되었다.
범죄 활동을 숨기는 데 사용되어야 한다는 말은 전혀 아니지만, VPN은 약속한 정책을 충실히 지켜야 한다.
VPN이 수집하는 데이터를 확인하는 방법
특히 위험 부담이 큰 온라인에서 안전을 지키기 위해 VPN을 사용하려는 경우, 명확하고 투명한 개인 정보 보호 정책과 입증된 노로그 기록을 갖춘 서비스를 원하실 것이다.
VPN에서 최대한의 개인 정보 보호를 요구하는 사용자의 경우, 서비스를 사용하기 전에 해당 업체의 개인 정보 보호 정책을 꼼꼼하게 읽어보아야 한다. 때로는 업체의 웹 사이트에서 이러한 개인 정보 보호 정책을 찾는 것이 다소 까다로울 수 있다. 가장 좋은 방법은 구글에서 '(VPN 이름) + 개인 정보 보호 정책'을 검색한 다음 해당 업체의 웹사이트로 연결되는 링크를 선택하는 것이다.
일부 개인 정보 보호 정책은 매우 상세하고 법적 전문 용어로 가득할 것이다. 이해하기 어려울 수도 있지만, 어떤 데이터가 수집되는지 알아보는 것은 그만한 가치가 있다. 일반적으로 회사가 수집하는 데이터와 수집하지 않는 데이터를 명확하고 투명하게 설명하지 않는다면 그 서비스는 피해야 한다.
또한, VPN이 수집한 데이터를 얼마나 오래 보관하는지, 정책에 명시되어 있는지 확인하라. 여기에는 연결 로그와 전체 데이터 사용량이 포함될 수 있다. 이 모든 데이터는 익명화되거나 짧은 기간 동안만 저장되어야 한다. VPN이 RAM 전용 서버를 사용하는 경우, 서버가 다시 시작되면 수집된 모든 데이터가 삭제되므로 데이터가 더 안전할 것이다.
마지막으로, 회사가 투명한 개인 정보 보호 정책을 가지고 있을 수 있지만, 독립적인 감사 증거를 제시할 수 없다면 회사의 말을 믿어야 한다. VPN 서비스에 대한 서드파티 감사는 노로그 정책을 확인할 수 있는 가장 좋은 (그리고 유일한) 방법이다. 개인적으로 필자는 적어도 지난 1~2년 동안 감사를 받은 적이 없는 VPN은 사용하지 말자. 이상적으로는 매년 또는 1년에 두 번씩 정기적인 감사를 받는 서비스가 좋다.
editor@itworld.co.kr