공공 와이파이, 진짜 위험한가? 2026년 현실 점검

솔직히 말하면, 2026년에 카페 와이파이 쓴다고 해킹당할 확률은 극히 낮다.

“공공 와이파이 위험합니다, 절대 쓰지 마세요” — 이런 글은 넘쳐난다. 하지만 HTTPS가 웹의 기본이 된 지금, 그 경고가 어디까지 현실이고 어디부터 과장인지 구분하는 글은 별로 없다.

남은 구멍이 뭔지, 현실적으로 누가 걱정해야 하는지 정리한다.

공공 와이파이에서 공격은 어떻게 일어나나?

가장 대표적인 공격은 **중간자 공격(Man-in-the-Middle, MITM)**이다. 공격자가 나와 와이파이 라우터 사이에 끼어들어 트래픽을 가로채는 방식이다.

정상 흐름:

나 → 와이파이 라우터 → 인터넷

MITM 공격 시:

나 → 공격자 기기 → 와이파이 라우터 → 인터넷

기술적으로는 ARP 스푸핑이라는 기법을 쓴다. 네트워크에서 “나 라우터야”라고 거짓말해서 다른 기기의 트래픽을 자기 쪽으로 끌어당기는 것이다. Bettercap이나 Ettercap 같은 오픈소스 도구로 실행할 수 있다.

여기까지만 들으면 무섭다. 하지만 결정적으로 빠진 게 있다.

HTTPS가 이미 대부분을 막고 있다

2026년 현재, Chrome 데스크톱 페이지 로드의 95% 이상이 HTTPS다. 전체 웹사이트 기준으로도 약 90~92%가 HTTPS를 기본으로 쓴다.

HTTPS가 켜져 있으면, 공격자가 중간에 끼어들어도 암호화된 데이터만 보인다. 네이버에 로그인하는 비밀번호, 카카오톡 웹에서 보내는 메시지 — 전부 암호화된 상태로 지나간다.

단, 한 가지 빈틈이 있다.

HTTPS는 통신 내용을 암호화하지만, 어떤 사이트에 접속하는지(도메인)는 노출될 수 있다. TLS 연결을 시작할 때 SNI(Server Name Indication)라는 필드에 도메인 이름이 평문으로 들어가기 때문이다. 쉽게 말하면, 편지 내용은 봉인돼 있지만 봉투 겉면의 주소는 보이는 것과 같다.

이걸 막는 기술이 ECH(Encrypted Client Hello)다. 2026년 3월 RFC 9849로 표준화됐지만, 아직 모든 사이트와 브라우저가 지원하지는 않는다. 즉, 지금은 “어떤 사이트에 갔는지”는 여전히 노출될 수 있다.

그래도 핵심은 변하지 않는다 — 통신 내용(비밀번호, 메시지, 결제 정보)은 HTTPS가 보호한다.

그러면 아직 남은 위험은 뭔가?

HTTPS가 많은 걸 해결했지만, 구멍이 완전히 사라진 건 아니다.

HTTP 사이트

HTTPS를 안 쓰는 사이트가 아직 8~10% 남아 있다. 오래된 커뮤니티, 소규모 블로그, 일부 공공기관 사이트가 여기 해당한다. 이런 사이트에서 로그인하면 아이디와 비밀번호가 평문으로 흘러간다.

🟢 일반 사용자: 주소창에 자물쇠 아이콘이 없는 사이트에서는 로그인하지 않으면 된다.

DNS 스누핑

DNS(Domain Name System)는 인터넷의 전화번호부다. naver.com을 입력하면, 브라우저가 DNS 서버에 “이 도메인의 IP 주소가 뭐야?”라고 물어본다. 이 질문이 암호화되지 않으면, 같은 네트워크에 있는 공격자가 어떤 사이트에 접속하는지 목록을 볼 수 있다.

내용은 못 본다. 하지만 “저 사람이 불법 도박 사이트에 접속했다”, “성인 사이트에 들어갔다”, “정신건강 상담센터를 검색했다” 정도는 알 수 있다.

🟢 일반 사용자: 유료 VPN(NordVPN, ProtonVPN, Mullvad 등)을 쓰면 DNS 질문도 암호화 터널 안으로 들어간다. 대부분 자동. 🟡 민감한 상황: VPN 없이 보호하려면 브라우저에서 DoH(DNS over HTTPS)를 수동으로 켤 수 있다. Chrome 설정 → 개인정보 및 보안 → 보안 DNS 사용 → Cloudflare나 Google 선택.

가짜 와이파이 (Evil Twin)

공격자가 카페 와이파이와 똑같은 이름의 핫스팟을 만든다. “CafeWiFi_5G”, “Starbucks_Free” 같은 이름이다. 여기에 접속하면 공격자가 곧 라우터다. 모든 트래픽이 공격자를 경유한다.

여기서 SSL 스트리핑이라는 기법이 결합될 수 있다. 브라우저가 HTTPS로 접속하려 할 때, 공격자가 중간에서 HTTP로 다운그레이드시키는 것이다.

하지만 주요 사이트(구글, 네이버, 카카오, 주요 은행 등)는 HSTS(HTTP Strict Transport Security) preload 목록에 등록되어 있다. HSTS preload란, 브라우저에 “이 사이트는 무조건 HTTPS로만 접속해라”는 정보가 미리 내장되어 있는 것이다. 공격자가 HTTP로 다운그레이드를 시도해도, 브라우저가 거부한다.

결론적으로 SSL 스트리핑은 HSTS preload에 등록되지 않은 소규모 사이트에서만 먹힌다.

🟢 일반 사용자: 기기의 “자동 와이파이 연결” 기능을 끈다. 처음 보는 와이파이에 수동으로만 접속한다. 🟡 민감한 상황: VPN을 켜면 가짜 와이파이에 접속하더라도 트래픽 전체가 암호화된다.

DNS 질문까지 보호할 때 — VPN의 빈틈

“VPN 쓰면 DNS도 보호된다”고 했다. 맞다 — 대부분의 유료 VPN은 그렇다. 하지만 전부는 아니다.

DNS leak(DNS 유출)이라는 현상이 있다. VPN이 켜져 있는데도 DNS 질문이 암호화 터널 바깥, 즉 ISP의 DNS 서버로 직접 나가는 것이다. 특히 무료 VPN에서 빈번하다. 한 조사에 따르면 Google Play의 VPN 앱 283개 중 84%가 DNS 요청을 유출했다.

확인 방법:

1. VPN을 켠 상태로 dnsleaktest.com에 접속
2. “Extended test” 클릭
3. 결과에 ISP의 DNS 서버가 뜨면 유출 중

🟢 일반 사용자: NordVPN, ProtonVPN, Mullvad 같은 유료 VPN은 자체 DNS 서버를 운영하며 leak 방지가 기본 설정이다. 이런 서비스를 쓰고 있다면 별도 조치 불필요. 🟡 민감한 상황: 무료 VPN이나 잘 모르는 VPN을 쓰고 있다면 위 테스트를 반드시 해볼 것.

현실적으로 얼마나 위험한가?

카페 와이파이에서 ARP 스푸핑을 하려면 공격자가 물리적으로 같은 장소에 있어야 한다. 노트북을 펼치고, 도구를 돌리고, 그 사이에 유의미한 데이터를 뽑아내야 한다.

대부분의 사이버 공격자는 이렇게 비효율적인 방법을 쓰지 않는다. 피싱 이메일 하나 보내는 게 수백 배 효율적이다.

🟢 일반 사용자 (카페에서 유튜브, SNS, 웹서핑): 대부분 HTTPS가 적용된 서비스를 쓰고 있다. 현실적 위험은 매우 낮다. 기본 수칙만 지키면 충분하다.

🟡 민감한 상황 (공공 와이파이에서 업무, 금융거래): VPN을 쓰거나, 가능하면 모바일 데이터로 전환한다. 이 정도면 충분하다.

🔴 OPSEC이 필요한 경우 (내부고발, 기자, 활동가): 공공 와이파이 자체를 피한다. 전용 모바일 핫스팟 + VPN + Tor 조합을 쓴다. 이 글의 범위를 넘어서는 이야기다.

지금 바로 할 수 있는 3가지

1. 자동 와이파이 연결 끄기

• iPhone: 설정 → Wi-Fi → “네트워크에 연결 요청” 켜기
• Android: 설정 → 네트워크 → Wi-Fi → “자동으로 공개 네트워크에 연결” 끄기
• Windows: 설정 → 네트워크 → Wi-Fi → “알려진 네트워크 관리”에서 공공 네트워크 삭제

2. 공용 네트워크 설정 확인 (Windows)

• 카페 와이파이 접속 시 “공용 네트워크”로 설정 → 파일 공유, 네트워크 검색이 자동으로 꺼진다.

3. VPN 하나 쓰기 (공공 와이파이 자주 쓴다면)

• 트래픽 암호화 + DNS 보호를 한 번에 해결한다. 유료 VPN 기준이다 — 무료 VPN은 DNS leak 위험이 있다.

결론

2026년 기준, 카페 와이파이는 10년 전처럼 위험하지 않다.

HTTPS가 웹 트래픽의 90% 이상을 암호화하고, 주요 사이트는 HSTS preload로 다운그레이드 공격까지 막는다. “공공 와이파이 = 해킹”이라는 공식은 더 이상 현실에 맞지 않는다.

하지만 DNS 노출, 가짜 와이파이, HTTP 잔존 사이트 — 구멍이 완전히 없어진 건 아니다. 자기 상황에 맞는 만큼만 대응하면 된다. 카페에서 유튜브 보는 건 괜찮다. 카페에서 회사 서버에 기밀 문서를 올리는 건 VPN 없이 하지 마라.