무료 VPN 쓰면 안 되는 이유 — 공짜 뒤에 숨은 비즈니스 모델

새벽 2시. 아무도 안 보는 줄 알고 시크릿 모드 켜고 뭔가를 검색한다. 무료 VPN까지 켰으니 완벽하다고 생각한다.

그 순간, 당신이 검색한 키워드와 접속한 사이트 주소가 홍콩에 있는 서버에 기록되고 있다.

발기부전 치료제 검색 기록. 성병 검사 예약하려고 들어간 비뇨기과 사이트. 새벽마다 반복 접속하는 성인 사이트. 이혼 전문 변호사 검색. 이것들이 당신의 이름, IP, 기기 정보와 묶여서 광고 브로커 서버에 쌓이고 있다.

무료 VPN은 프라이버시를 지켜주는 도구가 아니다. 프라이버시를 수확하는 도구다.

무료 VPN은 어떻게 돈을 버는가?

VPN 서버를 전 세계에 운영하려면 한 달에 수억 원이 든다. 서버비, 회선비, 엔지니어 인건비. 유료 VPN은 월 5~15달러 구독료로 이걸 충당한다.

무료 VPN은? 당신의 데이터로 충당한다.

구체적으로 세 가지 경로다.

경로 1 — 데이터 판매. 접속 기록, 위치 정보, 기기 식별자를 광고 데이터 브로커에게 넘긴다. 브로커는 이걸 프로파일로 묶어 광고주에 판매한다.

경로 2 — 대역폭 재판매. 당신의 인터넷 회선을 다른 사용자에게 몰래 빌려준다. Hola VPN이 이 짓을 했다. 당신의 IP로 누군가가 사이버 공격을 수행할 수 있다.

경로 3 — 광고/멀웨어 삽입. 브라우저에 광고를 주입하거나, 앱 자체에 트래커/멀웨어를 심는다.

통신사 감시를 피하려고 설치한 VPN이, 통신사보다 더 많은 걸 들여다보고 있는 셈이다.

무료 VPN은 구체적으로 뭘 가져가나?

“접속 기록 정도 수집하겠지” 싶을 수 있다. 현실은 그 정도가 아니다.

• 접속한 모든 사이트 주소 — 탈모 클리닉, 정신건강 상담, 성인 사이트, 도박 사이트 구분 없이 전부
• 접속 시간과 체류 시간 — 새벽 2시에 뭘 얼마나 오래 봤는지까지
• 기기 고유번호 — 폰을 바꿔도 추적 가능한 하드웨어 식별자(IMEI, 광고 ID)
• GPS 좌표 — “서울 어딘가”가 아니라 정확한 위도·경도
• 설치된 앱 목록 — 데이팅 앱, 금융 앱, 의료 앱까지 전부 스캔

이 데이터가 유출되면? 당신의 이름 옆에 “새벽 2시에 OO 사이트 접속, OO 클리닉 예약, OO 앱 설치” 같은 정보가 다크웹에 올라간다. 실제로 올라간 적 있다.

실제로 터진 사건은 뭐가 있나?

이론이 아니다. 이미 터졌다.

Hola VPN — 약 4,600만 명의 폰이 범죄 도구가 됐다

2015년, 무료 VPN ‘Hola’가 사용자 기기를 봇넷(botnet — 다른 사람의 기기를 몰래 원격 조종하는 네트워크)으로 돌린 사실이 드러났다. 당신의 인터넷 회선을 몰래 빌려서, 누군가가 당신의 IP 주소로 사이버 공격을 수행할 수 있었다.

수사기관이 추적하면 범인은 당신이다. 약 4,600만 명이 이걸 모르고 쓰고 있었다.

SuperVPN — 2100만 명의 데이터가 다크웹에 풀렸다

2021년, SuperVPN·GeckoVPN·ChatVPN 등 무료 VPN 3개에서 합산 2100만 명의 사용자 데이터가 유출됐다. 이름, 이메일, 결제 정보, 기기 정보가 다크웹 마켓에 올라왔다.

보호하려고 설치한 VPN이 유출 경로가 된 것이다.

중국 기업이 만든 VPN — 전체의 59%

2018년 조사에서 인기 무료 VPN 앱의 59%가 중국 기업 소유로 밝혀졌다. 대부분 소유 구조를 의도적으로 숨기고 있었다. 중국 국가정보법 제7조는 모든 조직과 시민에게 국가정보 업무에 대한 협력 의무를 부과한다 — 사실상 정부의 데이터 요청에 대해 기업이 거부할 여지가 극히 제한적이다.

한국에 사는 당신의 브라우징 기록이 중국 정부 손에 들어갈 수 있다는 얘기다.

위험도는 현실적으로 어디까지인가?

모든 위험을 동일 무게로 나열하면 편집증이 된다. 현실적으로 분류하면 이렇다.

🟢 데이터 수집·판매 (거의 확실) — 무료 VPN을 쓰는 순간 일어나고 있다고 봐야 한다. 88%가 유출하는 현실에서, 당신이 쓰는 앱이 나머지 12%에 속할 확률은 낮다.

🟡 데이터 유출·다크웹 노출 (가능성 있음) — SuperVPN처럼 보안이 허술한 무료 VPN은 해킹당해서 데이터가 통째로 유출될 수 있다. 이름+접속기록+위치가 묶여서 올라간다.

🔴 기기가 범죄에 악용 (드물지만 실제 발생) — Hola처럼 대역폭을 재판매하는 경우, 당신의 IP로 사이버 공격이 수행될 수 있다. 수사기관 추적 시 당신이 용의자가 된다.

🟢은 무료 VPN 쓰는 모든 사람에게 해당된다. 🟡🔴는 특정 앱에 따라 다르지만, 어떤 앱이 해당되는지 사전에 알 방법이 없다는 게 문제다.

숫자로 보면?

보안 리서치 기관 top10vpn.com이 2018년부터 매년 무료 VPN을 조사해왔다.

• 2024년 — 인기 무료 VPN 100개 테스트 → 88%가 데이터 유출
• 2021년 — 인터넷 차단 중 급부상한 VPN 테스트 → 80%가 IP 주소 노출
• 2018년 — 인기 무료 VPN 소유권 조사 → 59%가 중국 기업 소유

10개를 깔면 9개가 문제가 있다. 이 정도면 운에 맡기는 거다.

무료 VPN을 지금 쓰고 있다면 — 3단계

1단계 — 삭제. 지금 쓰고 있는 무료 VPN 앱을 삭제한다. 삭제 전에 앱이 요청한 권한(위치, 연락처, 저장소 등)을 확인해두자. 그 권한 범위만큼 데이터가 이미 나갔다고 보면 된다.

2단계 — 확인. ipleak.net에 접속해서 IP 주소와 DNS가 정상적으로 보이는지 확인한다. VPN 앱 중에는 삭제 후에도 네트워크 설정을 건드려놓는 경우가 있다.

3단계 — 대안 선택. 돈을 쓸 수 있으면 유료 VPN으로 간다. 못 쓰겠으면 ProtonVPN 무료 플랜이 현실적인 유일한 선택지다.

유료 VPN이 꼭 필요한가?

솔직하게 말하면 — 상황에 따라 다르다.

🟢 일반 사용자 — 카페 와이파이를 가끔 쓰고, 해외 콘텐츠를 우회 접속하는 정도라면 ProtonVPN 무료 플랜으로 충분하다. 스위스 법 적용, 로그 없음 정책, 독립 감사 통과. 서버 수와 위치 선택에 제한이 있지만 데이터를 팔지 않는다.

🟡 민감한 상황 — 불법 도박 사이트에 접속하거나, 성인 라이브 스트리밍에 결제하거나, 정신건강 상담을 온라인으로 받거나, 회사 네트워크에서 이직 사이트를 뒤지는 경우. 유료 VPN을 쓰는 게 맞다. Mullvad(월 5유로, 이메일도 필요 없음), NordVPN, ProtonVPN 유료 플랜 — 셋 다 독립 감사를 통과했고 로그 없음 정책을 운영한다.

🔴 OPSEC 필요 — 내부고발, 기자, 활동가. 유료 VPN만으로는 부족하다. Tor + VPN 조합, 또는 Tails OS까지 가야 한다. 이건 별도 주제다.

핵심은 하나다. 무료 VPN에서 유료 VPN으로 갈아타는 건 “더 좋은 서비스”를 쓰는 게 아니라, “데이터를 팔지 않는 서비스”를 쓰는 것이다.

VPN이 있어도 배포는 다른 이야기다

성인 콘텐츠를 보는 것 자체는 개인의 영역이다. 뭘 보든 그건 본인 문제고, 이 글이 판단할 일이 아니다.

선은 배포에서 갈린다.

리벤지 포르노를 유포하는 건 이미 피해를 입은 사람을 한 번 더 죽이는 행위다. 아동·청소년 성착취물을 퍼뜨리는 건 아이의 고통을 상품으로 만드는 행위다. 거기에 돈까지 붙으면 — 타인의 가장 취약한 순간을 팔아서 수익을 올리는 거다.

그 돈을 벌기 위해 자기 안의 뭔가를 죽여야 한다. 한번 넘은 선은 돌아오지 않고, 그 과정에서 사람 자체가 변한다. 그렇게 망가진 채로 번 돈이 의미가 있을 리 없다.

VPN을 쓰든 안 쓰든, 디지털 포렌식을 동원한 적극적 수사 대상이다. 피해자 신고가 들어오면 대상은 특정된다. “추적이 어렵다”는 논리가 통하는 영역이 아니다.

정리

무료 VPN의 비즈니스 모델은 단순하다. 당신의 데이터가 상품이다.

10개 중 9개가 데이터를 유출하고, 약 4,600만 명의 기기가 범죄 도구로 전용됐고, 2100만 명의 정보가 다크웹에 풀렸다.

당장 할 일 하나: 지금 무료 VPN을 쓰고 있다면, 삭제하고 ProtonVPN 무료 플랜으로 갈아타라.