당신의 VPN이 몰래 검색 기록을 저장하고 있다면? 확인하는 7가지 방법

유료 VPN을 쓰고 있으니 개인정보는 보장된다고 생각하시나요?

사실은 — 꼭 그렇지 않습니다.

저는 샤오루, 전직 KPMG 사이버보안 컨설턴트이자 현재 독립 보안 블로거입니다. 이전에 무료 VPN의 프라이버시 위험에 대해 쓴 적이 있는데, 많은 독자들이 돌아와서 물었습니다: "그러면 유료면 안전한 거죠?"

실망스러운 답변 드립니다: 유료 VPN도 검색 기록을 기록할 수 있습니다. 그리고 일부는 실제로 적발되었습니다.

이 글에서 VPN이 여러분의 모든 행적을 몰래 추적하고 있는지 알아내는 7가지 구체적인 방법을 알려드립니다.

노로그 정책이란? 그리고 왜 대부분이 빈 약속인가

거의 모든 VPN이 웹사이트에 "노로그 정책" 또는 "제로로그 정책"이라고 대문짝만 하게 내세웁니다. 메시지: 접속 시간도 기록하지 않고, 방문 사이트도 기록하지 않고, IP 주소도 기록하지 않습니다 — 아무것도 기록하지 않습니다.

멋지게 들리죠? 문제는 — 그 진술에는 법적 구속력이 전혀 없습니다.

모르실 수도 있지만, "노로그"에는 법적 정의도 규제 기준도 없습니다. 어떤 VPN 회사든 웹사이트에 "기록을 남기지 않습니다"라고 쓴 다음, 개인정보 정책 47페이지의 8포인트 글씨로 "서비스 품질 향상을 위해 일부 연결 데이터를 수집할 수 있습니다"라는 문구를 묻어둘 수 있습니다.

노로그 정책은 근본적으로 자기 선언입니다 — 음식점이 "세상에서 가장 맛있는 집"이라고 간판을 거는 것과 같습니다. 쓰여 있다고 액면 그대로 믿을 수는 없습니다. 진짜 중요한 것은: 누군가 이 주장을 검증했는가? 그리고 무엇을 발견했는가?

노로그라고 하고 적발된 VPN들

확인 방법을 알려드리기 전에, "말과 행동이 다른" 고전적 사례들을 살펴봅시다. 겁주려는 게 아닙니다 — 모두 잘 기록된 실제 사건입니다.

UFO VPN: 2020년 2천만 건의 기록 유출

UFO VPN은 웹사이트에 분명히 "사용자 활동을 추적하지 않습니다"라고 적어 놓았습니다. 그런데 2020년 7월, 보안 연구팀 Comparitech가 UFO VPN의 Elasticsearch 데이터베이스에 비밀번호 보호가 전혀 없다는 사실을 발견했습니다 — 공개 인터넷에 활짝 열려 있었고, 2천만 건 이상의 사용자 로그 항목이 포함되어 있었습니다. 평문 비밀번호, 접속 IP, 세션 토큰, 심지어 방문 웹사이트까지.

더 심각한 건, 같은 조사에서 FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN — 여섯 개의 다른 VPN 브랜드가 모두 같은 백엔드 서버를 공유하고 있었습니다. 전부 유출되었습니다. 이 앱들은 서로 다른 브랜드처럼 보였지만 같은 회사가 다른 옷을 입고 있었던 겁니다.

IPVanish: FBI에 협조하여 사용자 데이터 제출

IPVanish도 엄격한 노로그 정책을 주장했습니다. 하지만 2016년 미국 국토안보부(DHS)의 아동 성착취 사건 수사에서 IPVanish는 용의자의 접속 로그를 자진 제공했습니다. IP 주소와 접속 시간이 포함되어 있었습니다.

법원 문서에는 IPVanish가 로그를 보유하고 있었을 뿐 아니라 적극적으로 협조했다고 명시되어 있습니다. 이후 회사가 인수되고 경영진이 교체되면서 "이제는 정말 기록하지 않습니다"라고 주장했지만 — 한번 깨진 신뢰를 어떻게 재건하겠습니까?

PureVPN: "제로 로그"라면서 FBI의 용의자 추적에 협력

2017년 FBI가 사이버스토킹 사건을 수사하면서 PureVPN이 용의자의 실제 IP 주소와 접속 시간 기록을 제공했습니다. 당시 PureVPN의 개인정보 정책에는 "어떤 로그도 보관하지 않습니다"라고 명시적으로 적혀 있었습니다.

PureVPN은 나중에 자신들이 기록한 것은 "활동 로그"가 아닌 "접속 로그"라고 항변했지만 — 사용자 입장에서, 로그가 실제 신원을 추적하는 데 사용될 수 있다면 그 차이가 무슨 의미가 있을까요?

VPNpro 조사: 97개 VPN 브랜드가 실제로는 23개 모회사 소유

2019년 VPNpro 연구에서 또 다른 문제가 드러났습니다: 시장의 97개 VPN 브랜드가 실제로는 23개 모회사 소유였습니다. 독립적으로 보이는 많은 VPN 브랜드들이 같은 법인 소유입니다. 다른 제품을 비교하고 있다고 생각했는데, 사실은 같은 회사의 다른 포장을 고르고 있었을 수도 있습니다.

확인하는 7가지 방법: VPN이 정말 데이터를 기록하고 있는가?

사례 분석은 끝났으니 이제 실전입니다 — 현재 사용 중인 VPN을 꺼내서 각 항목에 대조해 보세요.

방법 1: 개인정보 정책을 돋보기로 읽기 — "레드 플래그" 단어 찾기

네, 개인정보 정책을 읽어야 합니다. 아무도 그런 걸 읽고 싶어하지 않지만, 가장 직접적인 방법입니다.

핵심은 무엇이 적혀 있는지가 아니라, 무엇이 빠져 있고 어떤 애매한 표현이 사용되는지입니다.

흔한 레드 플래그 단어들:

• "수집할 수 있습니다(may collect)" — "may"는 "will"과 같습니다
• "집계된 데이터(aggregated data)" — 무해하게 들리지만, 집계 데이터에 타임스탬프를 결합하면 개인 식별이 가능
• "서비스 개선을 위해(improve our services)" — 만능 변명; 어떤 데이터든 이걸로 정당화 가능
• "접속 로그" vs "활동 로그" — 이 구분은 말장난입니다. 접속 로그(IP, 타임스탬프, 접속 시간)만으로도 수사기관이 위치를 파악하기에 충분
• "타사 분석(third-party analytics)" — 행동 데이터가 Google Analytics나 Firebase 같은 외부 플랫폼에 전송되고 있다는 뜻

개인정보 정책에 "수집하지 않는 것"의 명확한 목록이 없거나, 문서 전체가 애매한 법률 용어로 가득하다면 레드 플래그입니다.

방법 2: 회사의 관할권 확인

VPN 회사가 어디에 등록되어 있느냐에 따라 어떤 법률의 적용을 받는지 — 그리고 정부가 데이터를 법적으로 요구할 수 있는지가 결정됩니다.

고위험 관할권 (정보 공유 동맹):

• 파이브 아이즈 (미국, 영국, 캐나다, 호주, 뉴질랜드): 회원국 간 정보 공유; 법률로 기업의 사용자 데이터 제출 강제 가능
• 나인 아이즈: 덴마크, 프랑스, 네덜란드, 노르웨이 추가
• 포틴 아이즈: 독일, 벨기에, 이탈리아, 스웨덴, 스페인 추가

비교적 프라이버시 친화적인 관할권:

• 파나마: NordVPN의 등록지; 의무 데이터 보존법 없음
• 영국령 버진아일랜드(BVI): ExpressVPN의 등록지; 정보 동맹 미가입
• 스위스: Proton VPN의 등록지; 엄격한 프라이버시 보호법
• 스웨덴: Mullvad의 등록지; 포틴 아이즈 소속이지만 스웨덴법은 VPN에 로그 보존을 요구하지 않음

참고: 관할권이 유일한 요소는 아니지만 중요한 첫 번째 필터입니다. VPN이 미국에 등록되어 있다면, 아무리 노로그를 외쳐도 미국 정부의 법원 명령 하나면 강제 준수됩니다(IPVanish가 교과서적 사례).

방법 3: 제3자 독립 감사 통과 여부 확인

현재 가장 신뢰할 수 있는 검증 방법입니다. 독립 감사란 외부의 평판 있는 회계법인이나 사이버보안 업체가 VPN 회사의 서버와 시스템에 직접 들어가서 실제로 사용자 데이터를 기록하는지 확인하는 것입니다.

독립 감사를 통과한 VPN (2026년 기준):

감사를 통과하지 않았다고 반드시 기록하는 것은 아니지만, 감사 통과는 최소한 검증 가능하고 객관적인 사실입니다 — 빈 마케팅 슬로건이 아니라.

방법 4: 서버 아키텍처 확인 — RAM 전용인가 하드드라이브인가?

좀 더 기술적이지만 매우 중요한 부분입니다.

전통적인 VPN 서버는 하드드라이브를 사용합니다. 디스크에 데이터가 기록되면 재부팅 후에도 유지됩니다. 서버가 압수되면 포렌식 도구로 하드드라이브의 데이터를 복구할 수 있습니다.

RAM 전용 서버는 다릅니다: 모든 데이터가 메모리에서 실행되고, 서버가 재부팅되는 순간 모든 데이터가 영구 삭제됩니다. 누군가가 물리적으로 서버 전체를 가져가더라도 전원이 꺼지는 순간 데이터가 사라집니다.

현재 RAM 전용 아키텍처를 사용하는 VPN: - ExpressVPN (TrustedServer): 업계 선구자, 2019년 시작 - NordVPN: 2020년 전면 전환 시작 - Surfshark: 모든 서버 RAM 전용으로 전환 - Mullvad: 완전 RAM 전용

VPN 웹사이트에 RAM 전용이나 디스크리스 서버에 대한 언급이 없다면, 전통적인 하드드라이브를 사용하고 있을 가능성이 높습니다 — 기술적으로 로그를 보존할 수 있다는 의미입니다.

방법 5: 워런트 카나리아 검색

워런트 카나리아는 영리한 법적 우회 장치입니다. 미국 같은 나라에서 기업이 국가안보서한(NSL)을 받으면, 법으로 공개를 금지합니다. 하지만 법이 기업에 거짓말을 요구하지는 않습니다.

그래서 일부 VPN은 웹사이트에 "이 날짜 현재, 우리는 사용자 데이터에 대한 비밀 정부 요청을 받은 적이 없습니다"라는 문구를 게시합니다. 이것이 워런트 카나리아입니다 — 어느 날 이 문구가 사라지면, 요청을 받았지만 말할 수 없다는 뜻입니다.

확인 방법: 1. VPN 웹사이트에서 "warrant canary" 또는 "투명성 보고서"를 검색 2. 문구가 정기적으로 업데이트되는지 확인 (날짜 포함) 3. 이전에 있었는데 지금 없다면 — 레드 플래그

워런트 카나리아가 있는 VPN에는 NordVPN, Surfshark, Private Internet Access가 포함됩니다. ExpressVPN과 Mullvad는 투명성 보고서를 대신 선택합니다.

방법 6: DNS 유출 테스트 실행

VPN이 노로그라고 주장해도 DNS 유출이 있으면 검색 기록은 ISP(인터넷 서비스 제공자)에게 완전히 보입니다.

테스트 단계: 1. VPN에 연결 2. dnsleaktest.com 또는 ipleak.net 접속 3. "Extended Test" 클릭

결과 해석: - 표시된 DNS 서버가 VPN 제공자의 것이면 — OK, 유출 없음 - ISP의 서버가 표시되면 — DNS 유출이 있으며, ISP가 어떤 웹사이트를 방문하는지 볼 수 있음

DNS 유출은 많은 VPN, 특히 소규모이거나 기술력이 부족한 VPN에서 흔한 문제입니다. 개인정보 정책이 아무리 인상적이어도 DNS가 유출되면 노로그 주장 전체가 무의미합니다.

방법 7: 앱의 권한과 내장 트래커 확인

마지막 방법: VPN 앱 자체의 내부를 들여다봅니다.

권한 확인 (안드로이드 사용자): - 설정 → 앱 → VPN 앱 → 권한으로 이동 - 합리적인 VPN 권한: 네트워크 접근, VPN 연결 - 비합리적 권한: 연락처, 문자, 카메라, 마이크, 위치(정밀 위치), 전화 상태 - 연락처나 문자 접근을 요구한다면 즉시 삭제하세요

트래커 확인: - Exodus Privacy에서 VPN 앱 이름을 검색 - 이 도구가 앱에 내장된 트래커 수를 목록으로 보여줌 - 0-2개 트래커는 정상 (아마 충돌 보고용) - 5개 초과? 아마도 사용 행동, 기기 정보, 심지어 위치까지 추적한 다음 광고주에게 판매하고 있을 가능성

VPN 로그가 가장 위험한 상황은?

"VPN이 기록해도 뭐 어때? 나쁜 짓 안 하는데"라고 생각할 수 있습니다.

사실 로그의 위험은 "적발되는 것"을 넘어 훨씬 광범위합니다:

1. 데이터 유출: UFO VPN처럼 — 데이터베이스가 해킹당해서 검색 기록, IP 주소, 계정 정보가 다크웹에 노출
2. 해외 정부의 데이터 요청: VPN이 해외에 있으니 닿지 않는다고요? 파이브 아이즈 국가 간 정보 공유는 농담이 아닙니다
3. 회사 인수: 오늘 신뢰하는 VPN 회사가 내일 데이터 회사에 인수될 수 있고, 과거 로그는 인수 자산의 일부가 됩니다
4. 중국에서 우회 접속: VPN이 로그를 보관하고 서버가 파이브 아이즈 국가나 중국이 닿을 수 있는 관할권에 있다면 — 위험은 자명합니다. 우회 접속의 법적 위험에 대해 알고 싶다면 중국에서 VPN 사용은 불법인가?를 참고하세요.

간편 참조표: VPN의 프라이버시 수준 평가

대부분 항목이 "주의"나 "위험"에 해당한다면 — 진지하게 변경을 고려하세요.

(광고 타임) 로그를 남기지 않는 것에 대해 말하자면, Sunset Browser에 내장된 VPN은 직관적인 접근을 취합니다: 검색 기록을 남기지 않고, 접속 데이터를 남기지 않으며, 개인 식별 정보를 수집하지 않습니다. 서버 아키텍처가 처음부터 로그 저장이 불가능하도록 설계되어 있습니다. 앱을 열고 터치 한 번으로 연결 — 무료 플랜은 계정 등록도 불필요합니다. 프라이버시를 진지하게 다루는 도구를 찾고 있다면 중국 VPN 추천에서 상세 리뷰를 확인해 보세요. 광고 끝.

FAQ

VPN의 노로그 정책을 믿을 수 있나요?

액면 그대로 믿을 수는 없습니다 — 제3자 독립 감사를 통한 검증을 찾으세요. UFO VPN, IPVanish, PureVPN 모두 노로그를 주장했지만 기록을 보관한 것으로 드러났습니다. 딜로이트, KPMG, Cure53 같은 평판 있는 기관의 감사를 받은 VPN이 상대적으로 더 신뢰할 만합니다.

유료 VPN이 무료 VPN보다 항상 안전한가요?

꼭 그렇지 않습니다. 돈을 냈다는 것만으로 개인정보 정책이 더 신뢰할 수 있다는 보장은 없습니다. IPVanish는 유료 VPN이었는데도 FBI에 사용자 로그를 제출하며 협조했습니다. 가격보다 관할권, 감사 보고서, 서버 아키텍처 같은 객관적 지표에 집중하세요. 무료 vs 유료에 대한 자세한 내용은 무료 VPN은 안전한가?를 참고하세요.

VPN에 DNS 유출이 있는지 어떻게 알 수 있나요?

VPN 연결 후 dnsleaktest.com이나 ipleak.net에서 Extended Test를 실행하세요. 표시된 DNS 서버가 VPN 제공자가 아닌 ISP의 것이라면 유출이 있는 것입니다. DNS가 유출되면 인터넷 서비스 제공자가 여전히 어떤 웹사이트를 방문했는지 볼 수 있습니다.

Mullvad가 스웨덴 경찰 수색에서 정말 데이터가 없었나요?

네. 2023년 4월 스웨덴 경찰이 수색 영장을 가지고 Mullvad 사무실을 수색하며 사용자 데이터를 요구했습니다. Mullvad는 제공할 사용자 데이터가 없다고 밝혔고, 경찰은 빈손으로 돌아갔습니다. 이것은 현재까지 노로그 주장에 대한 가장 설득력 있는 실제 검증 사례로 남아 있습니다.

VPN 회사들은 왜 개인정보 정책에 애매한 표현을 사용하나요?

데이터를 절대적으로 수집하지 않는 것은 기술적으로 어렵기 때문입니다(예: 서버 부하 모니터링). 그리고 애매한 표현은 법적 완충 역할을 합니다. 하지만 좋은 VPN은 "아무것도 수집하지 않습니다"와 "데이터를 수집하되 개인과 연결하지 않습니다"를 명확히 구분하고, 독립 감사로 이를 이행하고 있음을 증명합니다. VPN의 개인정보 정책이 전부 애매한 표현이고 구체적 약속이 없다면 레드 플래그입니다.

결론: 신뢰는 마케팅이 아니라 검증 위에 세워져야 합니다

VPN 프라이버시에서 가장 큰 문제는 기술이 아니라 신뢰입니다.

모든 VPN이 가장 안전하고, 가장 프라이빗하며, 절대 기록을 남기지 않는다고 주장합니다 — 하지만 UFO VPN에서 IPVanish, PureVPN까지 역사가 거듭 증명했습니다: 말만으로는 안 됩니다.

좋은 소식은, 이제 직접 검증할 수 있는 7가지 구체적인 방법이 있다는 것입니다. 누구의 마케팅도 믿을 필요 없습니다 — 개인정보 정책을 확인하고, 관할권을 확인하고, 감사 보고서를 확인하고, DNS 유출 테스트를 직접 실행할 수 있습니다.

무료가 가장 비싸지만, 유료라고 안전이 보장되지도 않습니다. 프라이버시를 진정으로 보호할 수 있는 것은 여러분 자신의 판단뿐입니다.