내 인터넷 기록을 ISP(통신사)는 얼마나 볼 수 있는가

밤 11시, 혼자 있는 방에서 시크릿 모드를 켜고 뭔가를 검색한다. 성인 사이트일 수도 있고, 탈모 치료제일 수도 있고, 정신건강의학과 후기일 수도 있다.

시크릿 모드니까 기록이 안 남는다고 생각한다. 브라우저에는 안 남는다. 하지만 통신사에는?

“SKT가 내가 어디 접속했는지 다 알고 있는 거 아냐?” — 이 질문에 대한 정확한 답을 기술 구조로 하나씩 짚겠다.

HTTPS 시대에 통신사가 정확히 뭘 볼 수 있나?

결론부터. HTTPS 덕분에 사이트 안에서 뭘 했는지는 통신사가 볼 수 없다. 어떤 영상을 재생했는지, 어떤 글을 읽었는지, 검색창에 뭘 쳤는지 — 전부 암호화된다.

하지만 어떤 사이트에 접속했는지 자체는 다른 이야기다.

비유하면, 통신사는 내가 어떤 건물에 들어갔는지는 알지만, 건물 안에서 몇 층 몇 호실에 갔는지는 모른다. pornhub.com에 접속했다는 사실은 보이지만, 거기서 뭘 봤는지는 안 보인다.

이 “건물 이름”이 새는 경로가 세 가지 있다. DNS, SNI, 그리고 IP 주소 자체.

DNS 요청은 왜 통신사에 그대로 노출되나?

DNS(Domain Name System)는 사이트 주소를 IP 숫자로 바꿔주는 시스템이다. 주소창에 xvideos.com을 치면, “이 도메인의 IP 좀 알려줘”라는 요청이 날아간다.

문제는 이 DNS 요청이 기본 설정에서 암호화되지 않는다는 거다. 평문(plain text)으로 통신사 DNS 서버를 그대로 통과한다.

스마트폰이나 컴퓨터를 처음 인터넷에 연결하면, DNS 서버는 자동으로 통신사 것으로 설정된다. SKT를 쓰면 SKT의 DNS, KT를 쓰면 KT의 DNS. 즉 접속하는 사이트 목록이 통신사에게 고스란히 전달된다.

DNS가 왜 문제이고 어떻게 바꾸는지는 DNS가 뭔데? 통신사가 내 접속 기록을 아는 진짜 이유에서 자세히 다뤘다.

DNS를 바꿔도 접속 기록이 새는 이유는?

DNS를 Cloudflare(1.1.1.1)로 바꿨다고 치자. 그러면 안전할까?

아직 한 군데 더 구멍이 있다. SNI(Server Name Indication)다.

HTTPS 연결을 시작할 때, 브라우저는 서버에게 “나는 pornhub.com에 접속하려는 거야”라고 알려줘야 한다. 하나의 서버(IP)에 여러 사이트가 올라가 있을 수 있기 때문이다. 이 “어디 접속하려는지” 정보가 SNI 필드에 담기는데 — 이 부분은 암호화 전에 전송된다.

통신사의 DPI(Deep Packet Inspection, 아래에서 설명) 장비가 이 SNI 필드를 읽는다. 한국 정부가 2019년부터 시행하고 있는 HTTPS 사이트 차단이 바로 이 SNI를 감청하는 방식이다. 차단 목록에 있는 도메인이 SNI에 찍히면 접속을 끊어버린다.

즉, DNS를 바꿔도 SNI가 평문이면 접속한 도메인은 여전히 노출된다.

**ECH(Encrypted Client Hello)**라는 기술이 이 문제를 해결한다. SNI 필드 자체를 암호화하는 거다. 2026년 현재 Firefox는 기본 활성화, Chrome 계열도 지원한다. 다만 서버(사이트) 쪽도 ECH를 지원해야 작동하기 때문에, 아직 모든 사이트에서 되는 건 아니다. Cloudflare를 쓰는 사이트들은 대부분 지원한다.

통신사의 DPI 장비는 암호화된 내용도 읽을 수 있나?

DPI(Deep Packet Inspection)는 네트워크를 지나가는 데이터 패킷을 실시간으로 열어보는 장비다. 한국 통신 3사(SKT, KT, LG U+) 모두 DPI 장비를 운용하고 있다.

HTTPS 이전 시대에는 DPI가 거의 만능이었다. 어떤 사이트에서 어떤 페이지를 봤는지, 어떤 검색어를 쳤는지 전부 읽을 수 있었다.

HTTPS 시대에는 DPI의 역할이 크게 줄었다. 암호화된 패킷의 내용은 읽을 수 없다. 대신 DPI가 할 수 있는 건 이런 것들이다.

• SNI 필드를 읽어서 접속 도메인 확인 (위에서 설명)
• VPN, Tor 등 특정 프로토콜의 트래픽 패턴 탐지
• 패킷 크기와 전송 패턴으로 트래픽 종류 추정 (영상 스트리밍인지 웹 브라우징인지 정도)

DPI가 할 수 없는 것 — HTTPS로 암호화된 통신 내용을 읽는 것. 어떤 영상을 봤는지, 어떤 게시글을 읽었는지, 로그인 정보가 뭔지. 이건 암호화 키 없이는 불가능하다.

내용을 못 봐도 메타데이터로 뭘 알 수 있나?

통신사가 내용을 못 본다고 해서 아무것도 모르는 건 아니다. 메타데이터가 있다.

메타데이터는 “누가, 언제, 어디에, 얼마나” 접속했는지에 대한 기록이다. 구체적으로는 이런 것들이다.

• 접속한 IP 주소와 도메인
• 접속 시각과 접속 시간
• 전송된 데이터 양
• 사용한 기기 정보

내용은 못 봐도 패턴은 읽힌다. “이 사람이 매일 밤 11시에 같은 성인 사이트에 30분씩 접속한다”는 수준의 정보가 메타데이터만으로 드러난다.

통신비밀보호법 시행령 제41조에 따르면, 인터넷 로그기록자료와 접속지 추적자료의 법정 최소 보관기간은 3개월이다. 대부분의 통신사가 3~4개월 후 삭제한다. 수사기관이 이 기록을 조회하려면 법원의 허가(통신사실확인자료 제공 요청)가 필요하다.

그래서 뭘 해야 하나?

🟢 일반 사용자 — 이것만 챙기면 된다:

1. 브라우저에서 DNS over HTTPS 켜기. 크롬 기준 — 설정 → 개인정보 및 보안 → 보안 → “보안 DNS 사용” → Cloudflare(1.1.1.1) 선택. 이것만으로 DNS 요청이 통신사를 우회한다.
2. Firefox 쓰기. ECH가 기본 활성화되어 있어서, Cloudflare 기반 사이트 접속 시 SNI까지 암호화된다.

이 두 가지면 일반 사용자 수준에서는 충분하다. 통신사가 보는 건 “Cloudflare CDN에 접속했다” 정도뿐이고, 거기서 뭘 했는지는 특정할 수 없다.

🟡 민감한 상황 (비공개로 찾아봐야 할 개인 정보, 회사 와이파이에서의 이직 준비, 성인 건강 관련 검색 등) — 여기까지 하면 된다:

VPN을 사용하면 DNS, SNI, IP 주소, 메타데이터 전부 VPN 터널 안에 감춰진다. 통신사가 보는 건 “이 사람이 VPN 서버 IP에 연결했다”와 암호화된 트래픽 덩어리뿐이다. 어떤 사이트에 접속했는지 자체를 알 수 없게 된다.

회사 네트워크에서 이직 사이트를 보고 있다면, VPN은 선택이 아니라 필수다. 회사 네트워크 관리자는 통신사보다 더 세밀한 로그를 볼 수 있다.

🔴 OPSEC 필요 (익명 제보자, 비밀 유지 의무가 있는 상담·치료사, 법적 분쟁 당사자) — 여기까지 해야 한다:

VPN만으로는 부족하다. VPN 업체가 로그를 넘길 가능성, VPN 연결 자체가 DPI로 탐지되는 점을 고려해야 한다. Tor + VPN 조합, 또는 Mullvad처럼 계정 없이 사용 가능한 VPN + 현금 결제 조합이 필요한 영역이다. 일반인이 여기까지 할 필요는 없다.

정리

HTTPS 시대에 통신사가 볼 수 있는 건, 요약하면 이거다.

볼 수 있는 것 — 접속한 도메인(DNS, SNI를 통해), 접속 시각, 데이터 양, IP 주소. “이 사람이 pornhub.com에 갔다”는 수준.

볼 수 없는 것 — 사이트 안에서 뭘 했는지 전부. 어떤 영상을 봤는지, 어떤 글을 읽었는지, 뭘 검색했는지, 로그인 정보. HTTPS가 이걸 막는다.

내용은 안전하지만, “어디에 갔는지” 자체가 부끄러운 경우가 문제다. DNS over HTTPS를 켜고, ECH를 지원하는 브라우저를 쓰면 일반 사용자 수준에서는 빈틈이 거의 사라진다. 그래도 불안하면 VPN이 가장 확실한 한 방이다 — 통신사가 보는 모든 메타데이터를 한꺼번에 가린다.

지금 당장 할 수 있는 건 하나다. dnsleaktest.com에 접속해서 현재 DNS가 통신사 것인지 확인하고, 그렇다면 브라우저 설정에서 DNS over HTTPS를 켜는 것. 1분이면 된다.