VPN 킬스위치, 켜놨는데 왜 IP가 새나? — 실패하는 5가지 상황과 해결법
VPN 킬스위치를 켜놨는데도 IP가 유출되는 5가지 시나리오를 우선순위별로 정리하고, 각각 1-2-3 스텝 해결법과 주요 VPN별 구현 차이를 비교합니다.
“킬스위치 켜놨으니까 VPN 끊겨도 괜찮지.”
반은 맞고 반은 틀리다. 킬스위치가 커버하지 못하는 구멍이 있고, 그 구멍으로 실제 IP가 새어나간다. 어떤 상황에서 뚫리는지, 뭘 챙겨야 하는지 — 일반 사용자 기준으로 우선순위를 매겨서 정리한다.
VPN 킬스위치가 뭔가?
VPN은 가끔 끊긴다. 서버 점검, Wi-Fi 전환, 신호 불안정 — 이유는 다양하다.
끊기는 순간 기기는 맨몸으로 인터넷에 나간다. 실제 IP가 노출되고, 트래픽이 암호화 없이 흐른다.
**킬스위치(Kill Switch)**는 이때 인터넷 연결 자체를 끊어버리는 기능이다. VPN 터널(암호화된 통로)이 없으면 아예 인터넷을 못 쓰게 막는다.
개념은 단순하다. 그런데 항상 완벽하게 작동하지는 않는다.
아래 5가지 시나리오를 “일반 사용자가 먼저 챙겨야 할 것” 순으로 정리한다.
🟢 우선순위 1: IPv6 유출 — 제일 흔하고 모르고 넘어가는 구멍
VPN 킬스위치가 작동 중인데도 실제 IP가 새는 가장 흔한 원인이다.
인터넷 주소 체계는 두 가지다. 오래된 IPv4(예: 192.168.1.1)와 새로운 IPv6(예: 2001:db8::1). 최신 기기와 공유기는 대부분 IPv6를 지원한다.
문제는, 일부 VPN이 IPv4 트래픽만 터널로 보낸다는 것이다. IPv6 트래픽은 터널 밖으로 그냥 나간다. 킬스위치가 IPv4만 감시하면 IPv6를 통해 실제 IP가 그대로 노출된다.
해결법
- ipleak.net에 접속한다 (VPN 연결 상태에서)
- 페이지 중간의 IPv6 주소 항목을 확인한다
- VPN IP가 아닌 다른 주소가 뜨면 유출이다 → VPN 앱 설정에서 “IPv6 차단” 또는 “IPv6 Leak Protection”을 켠다
현실 판단: NordVPN, ExpressVPN, ProtonVPN, Mullvad — 이 네 곳은 IPv6 트래픽을 자동으로 차단하거나 터널로 라우팅한다. 유료 VPN 쓰고 있으면 이미 처리되어 있을 확률이 높다. 무료 VPN이라면 반드시 확인해야 한다.
🟢 우선순위 2: WebRTC 유출 — 브라우저가 VPN을 우회하는 경로
WebRTC(Web Real-Time Communication)는 브라우저에서 영상통화나 화면공유 같은 실시간 통신을 가능하게 하는 기술이다. Google Meet이 브라우저만으로 화상회의를 돌릴 수 있는 게 WebRTC 덕분이다.
WebRTC는 상대방과 직접 연결(P2P, Peer-to-Peer — 서버를 거치지 않고 기기끼리 직접 통신)을 시도한다. 이 과정에서 브라우저가 VPN을 거치지 않고 실제 IP를 상대방에게 넘길 수 있다.
대부분의 킬스위치는 이걸 못 막는다. 킬스위치는 OS 네트워크 레벨에서 작동하는데, WebRTC는 브라우저 내부에서 IP를 노출하기 때문이다.
다만, 모든 킬스위치가 무력한 건 아니다. Mullvad와 IVPN은 OS 방화벽 규칙으로 WebRTC STUN 요청(외부 서버에 “내 IP가 뭐야?”라고 물어보는 요청)까지 차단한다.
해결법
- browserleaks.com/webrtc에서 유출 여부를 확인한다
- Firefox: 주소창에
about:config입력 →media.peerconnection.enabled를false로 변경 - Chrome / Edge / Brave: WebRTC Leak Prevent 같은 확장 프로그램 설치. Brave는
brave://settings/privacy에서 “WebRTC IP handling policy”를 변경할 수 있다 - Mullvad Browser: WebRTC가 기본 비활성화 상태. 별도 설정 불필요
현실 판단: Google Meet 등 브라우저 영상통화를 아예 안 쓴다면, WebRTC를 꺼놔도 불편할 게 없다. 영상통화를 쓴다면 VPN 자체에서 WebRTC 유출 방지를 지원하는지 확인하는 게 낫다.
🟢 우선순위 3: 앱 수준 킬스위치의 한계 — 구멍 뚫린 우산
킬스위치에는 두 종류가 있다.
- 앱 수준 킬스위치: VPN이 끊기면 특정 앱만 차단한다
- 시스템 킬스위치: VPN이 끊기면 모든 인터넷 트래픽을 차단한다
앱 수준 킬스위치의 문제는 명확하다. 보호 목록에 넣지 않은 앱은 VPN 없이도 인터넷에 접속한다. 새로 설치한 앱, Windows 업데이트 프로세스, 백그라운드 동기화 서비스 — 전부 빠져나간다.
해결법
- VPN 앱 설정에서 킬스위치 종류를 확인한다
- “시스템 전체(System-wide)” 또는 “모든 앱” 옵션이 있으면 그걸 켠다
- 앱 수준만 지원하는 VPN이라면, 최소한 브라우저 + 토렌트 클라이언트는 목록에 반드시 추가한다
현실 판단: NordVPN, ExpressVPN, ProtonVPN, Mullvad — 전부 시스템 킬스위치를 지원한다. 앱 수준만 제공하는 건 대부분 무료/저가 VPN이다. 유료 VPN 쓰고 있으면 시스템 킬스위치가 기본값이거나 한 번 켜면 끝이다.
🟡 우선순위 4: 기기 재시작 시 타이밍 갭 — 부팅할 때 맨몸으로 나가는 순간
기기를 껐다 켤 때, OS가 먼저 뜨고 VPN 앱은 나중에 실행된다.
이 간격 동안 — 짧으면 1~2초, 길면 30초까지 — OS가 자동 업데이트를 확인하고, 이메일 앱이 서버에 연결하고, 브라우저 탭이 리로드된다. 전부 VPN 없이.
일반적인 킬스위치는 VPN 앱이 실행된 후에야 작동한다. 앱이 뜨기 전의 트래픽은 보호하지 못한다.
해결법
- VPN 앱에서 “부팅 시 자동 시작” 옵션을 켠다 (대부분의 VPN 앱에 있다)
- “Permanent Kill Switch” 또는 “Always-on Firewall”이 있으면 켠다 — 이 옵션은 VPN 앱이 꺼져 있을 때도 방화벽 규칙을 유지한다
현실 판단: 🟡 민감한 상황(회사 기밀, 의료정보 다루는 환경)이 아니라면, “부팅 시 자동 시작”만 켜놔도 충분하다. 부팅 직후 1~2초 동안 OS 업데이트 체크 패킷이 나가는 건 일반 사용자에게 실질적 위험이 아니다.
ProtonVPN의 “Advanced Kill Switch”와 Mullvad의 “Always-on Firewall”은 부팅 시점부터 방화벽 규칙이 살아 있어서 이 간격을 완전히 없앤다. IVPN도 동일한 방식으로 부팅 시 트래픽을 차단한다.
🔴 우선순위 5: VPN 재연결 타이밍 갭 — VPN이 끊기고 킬스위치가 반응하기까지
VPN 연결이 끊기면 킬스위치가 즉시 차단하는 게 아니다. 순서가 있다:
- VPN 연결이 끊긴다
- VPN 앱이 끊김을 감지한다
- 킬스위치가 인터넷을 차단한다
1번과 3번 사이에 간격이 있다. 앱 기반 킬스위치는 이 간격이 수 초에 달할 수 있다. Wi-Fi 전환이나 절전 모드 해제 시에는 VPN 재인증에 5~30초까지 걸리기도 한다.
그 몇 초 동안 브라우저 백그라운드 탭이 요청을 보내면, 실제 IP가 담긴 패킷이 나간다.
해결법
OS 방화벽 기반 킬스위치를 쓰면 이 문제가 사라진다. 앱이 끊김을 “감지”하는 게 아니라, 방화벽 규칙 자체가 “VPN 터널 외의 모든 트래픽 차단”으로 설정되어 있어서 감지 지연이 없다.
수동으로 OS 방화벽을 설정하는 방법도 있지만, 설정이 복잡하다. 구체적인 Windows/macOS 방화벽 설정법은 별도 글에서 다룬다.
현실 판단: 🔴 이건 연결이 잠깐 끊기는 것조차 신변 위협으로 이어질 수 있는 환경 — 적대국에서 활동하는 기자나 탄압 대상 활동가 — 에서 신경 쓸 영역이다. 카페 Wi-Fi에서 넷플릭스 보는 일반 사용자가 걱정할 필요는 없다. Mullvad와 ExpressVPN(Network Lock)은 방화벽 기반으로 작동해서 이 갭이 사실상 0이다.
주요 VPN 킬스위치 비교
같은 “킬스위치”라도 구현 방식이 다르다. 주요 VPN 4곳의 차이를 정리한다.
NordVPN
- 시스템 킬스위치 + 앱 수준 킬스위치 둘 다 제공
- Windows에서 OS 방화벽(Windows Filtering Platform) 기반으로 작동
- IPv6 자동 차단
- WebRTC 유출은 별도 브라우저 설정 필요
ExpressVPN (Network Lock)
- 방화벽 기반 시스템 킬스위치, 설치 시 기본 활성화
- IPv4 + IPv6 + DNS 전부 차단
- 재연결 중에도 방화벽 규칙이 유지되어 타이밍 갭 최소화
ProtonVPN
- “Kill Switch” (일반)과 “Advanced Kill Switch” (영구) 두 단계
- Advanced는 VPN을 수동으로 끄거나 기기를 재시작해도 방화벽 규칙이 유지
- Windows: Windows Filtering Platform 사용, Linux: 더미 네트워크 인터페이스로 트래픽 리다이렉트
- Advanced Kill Switch는 현재 Windows와 Linux에서만 지원
Mullvad
- 킬스위치가 기본 활성화, 비활성화 불가
- OS 방화벽 기반, 앱이 크래시해도 방화벽 규칙 유지
- WebRTC 유출까지 방화벽 규칙으로 차단 (별도 브라우저 설정 없이)
- Mullvad 브라우저 확장 프로그램으로 추가 보호 가능
그래서 뭘 챙기면 되나
일반 사용자 기준으로, 우선순위 순서대로:
바로 확인할 것 (3분이면 끝난다):
- ipleak.net에서 IPv6 유출 확인
- browserleaks.com/webrtc에서 WebRTC 유출 확인
VPN 앱에서 한 번만 설정할 것:
- 시스템 킬스위치 켜기 (앱 수준이 아닌 시스템 전체)
- 부팅 시 자동 시작 켜기
NordVPN, ExpressVPN, ProtonVPN, Mullvad 같은 주요 유료 VPN을 쓰고 있다면, 위 대부분은 이미 자동으로 처리되어 있다. ipleak.net 한 번 들어가서 확인만 하면 된다.
무료 VPN을 쓰고 있다면 — 위 다섯 가지 시나리오 전부를 직접 확인해야 한다.
자주 묻는 질문
- VPN 킬스위치란 무엇인가요?
- VPN 연결이 끊기면 인터넷 접속 자체를 차단해서 실제 IP가 노출되지 않도록 막는 기능입니다. 대부분의 유료 VPN에 기본 탑재되어 있습니다.
- 킬스위치를 켜놨는데도 IP가 유출될 수 있나요?
- 네. WebRTC 유출, IPv6 유출, 재시작 시 타이밍 갭 등 킬스위치가 커버하지 못하는 경로가 존재합니다. 다만 NordVPN, Mullvad, ExpressVPN 같은 주요 유료 VPN은 대부분 자동으로 처리합니다.
- 무료 VPN의 킬스위치도 괜찮은가요?
- 무료 VPN은 킬스위치가 아예 없거나, 있어도 앱 수준에서만 작동하는 경우가 많습니다. OS 방화벽 기반 시스템 킬스위치를 지원하는 유료 VPN과는 보호 수준이 다릅니다.
- WebRTC 유출은 킬스위치로 못 막나요?
- 대부분의 킬스위치는 네트워크 레벨에서 작동하기 때문에 브라우저 레벨의 WebRTC 유출을 막지 못합니다. 다만 Mullvad, IVPN 같은 일부 VPN은 방화벽 규칙으로 WebRTC 유출까지 차단합니다.