VPN 프로토콜 비교: WireGuard vs OpenVPN, 뭘 골라야 하나
VPN 앱에서 WireGuard, OpenVPN 중 뭘 선택해야 하는지 모르겠다면. 비전공자도 이해할 수 있게 구조적 차이, 각 VPN 서비스별 프로토콜, 상황별 선택 기준을 정리합니다.
VPN 앱을 설치하고 설정을 열었더니 “WireGuard”와 “OpenVPN” 중에 고르라고 한다. 혹은 “NordLynx”, “Lightway” 같은 이름이 보이기도 한다.
뭐가 뭔지 모르겠으니까 그냥 기본값으로 두고 쓰고 있을 거다. 대부분은 그래도 괜찮다. 하지만 상황에 따라 이 선택이 속도, 배터리, 심지어 VPN이 작동하느냐 마느냐를 결정한다.
VPN 프로토콜이 뭔가요?
프로토콜은 데이터를 암호화하고 전송하는 규칙이다. 택배에 비유하면, 같은 물건을 보내더라도 퀵서비스로 보낼지 등기우편으로 보낼지에 따라 속도와 안전성이 달라지는 것과 비슷하다.
VPN 프로토콜은 VPN 터널을 어떻게 만들지 결정한다. 같은 VPN 서비스라도 프로토콜에 따라 속도, 보안 강도, 배터리 소모, 방화벽 우회 능력이 달라진다.
WireGuard는 왜 빠른가요?
WireGuard의 핵심 코드는 약 4,000줄이다. OpenVPN은 핵심만 7만 줄, OpenSSL 라이브러리까지 합치면 수십만 줄이다.
이 차이가 속도를 결정한다. WireGuard는 Linux 커널(운영체제의 핵심부) 안에서 직접 실행된다. 데이터가 커널 바깥으로 나갔다 들어올 필요가 없다. OpenVPN은 커널 밖 사용자 공간에서 돌아가기 때문에 데이터를 한 번 더 옮기는 과정이 생긴다.
벤치마크 결과는 명확하다. 같은 하드웨어에서 WireGuard는 OpenVPN보다 2~4배 빠른 속도를 낸다. 500Mbps 광케이블 기준으로, WireGuard는 480Mbps를 뽑아내는 데 비해 OpenVPN은 180Mbps에 머물렀다는 테스트 결과도 있다.
배터리도 차이 난다. 모바일에서 OpenVPN은 코드가 무거운 만큼 CPU를 더 쓴다. WireGuard로 바꾸면 배터리 소모가 눈에 띄게 줄어든다.
OpenVPN은 왜 아직 살아있나요?
20년 넘은 프로토콜이 아직 쓰이는 데는 이유가 있다.
방화벽 우회. WireGuard는 UDP(빠르지만 차단하기 쉬운 전송 방식) 전용이다. TCP를 쓸 수 없다. 반면 OpenVPN은 TCP 포트 443을 사용할 수 있는데, 이건 일반 HTTPS(웹사이트 접속) 트래픽과 같은 포트다. 방화벽 입장에서 VPN인지 그냥 웹사이트 접속인지 구분하기 어려워진다.
학교 와이파이, 회사 네트워크, 중국·러시아처럼 VPN을 적극 차단하는 환경에서 이 차이가 결정적이다.
암호화 유연성. OpenVPN은 수십 가지 암호화 알고리즘 중에서 선택할 수 있다. WireGuard는 ChaCha20(암호화), Poly1305(인증), Curve25519(키 교환) 조합이 고정이다. 대부분의 경우 WireGuard의 고정 조합이 더 안전하다 — 잘못 설정할 여지가 없으니까. 하지만 특정 규정이나 환경에서 AES-256-GCM 같은 특정 알고리즘을 요구하면, OpenVPN이 필요하다.
WireGuard의 프라이버시 문제는 해결됐나요?
WireGuard에는 태생적인 프라이버시 이슈가 있다. 기본 설정에서 접속자의 IP 주소를 서버 메모리에 저장한다. 그것도 무기한으로 — 서버를 재부팅하기 전까지 남아 있다.
“로그 안 남긴다”를 내세우는 VPN 서비스 입장에서 이건 큰 문제다. 그래서 주요 VPN들은 각자 방식으로 이걸 해결했다.
- NordVPN (NordLynx): Double NAT 시스템. 모든 사용자에게 동일한 로컬 IP를 부여해서 누가 누군지 구분 불가능하게 만들고, 터널 세션별로만 고유 IP를 부여한다.
- Mullvad: 세션 종료 시 데이터 삭제. 2025년부터 Cloudflare BoringTun을 포크한 Rust 기반 WireGuard 구현체(GotaTun)를 쓰기 시작했고, 양자내성 암호화(post-quantum encryption)가 전 플랫폼 기본값이다.
- ProtonVPN: WireGuard에 자체 프라이버시 보호(double-NAT)를 적용해 사용 중이고, 검열 우회용 Stealth 프로토콜(WireGuard를 TLS로 감싸서 일반 HTTPS처럼 보이게 하는 방식)을 제공한다.
🟢 일반 사용자 기준: NordVPN, ProtonVPN, Mullvad, Surfshark 같은 유료 VPN을 쓰고 있다면 이 문제는 이미 해결된 상태다. 신경 안 써도 된다.
🔴 직접 WireGuard 서버를 운영하는 경우: IP 저장 설정을 직접 관리해야 한다. 이건 다른 이야기이고, 이 글의 범위를 벗어난다.
내 VPN은 어떤 프로토콜을 쓰나요?
주요 VPN 서비스별로 어떤 프로토콜을 쓰는지 정리한다.
| VPN 서비스 | 기본 프로토콜 | 특이사항 |
|---|---|---|
| NordVPN | NordLynx (WireGuard 기반) | Double NAT로 IP 문제 해결. 2025년 양자내성 암호화 추가 |
| ExpressVPN | Lightway (자체 개발) | WireGuard 대신 독자 프로토콜. TCP/UDP 모두 지원. ~2,000줄. 오픈소스 |
| ProtonVPN | WireGuard | Stealth 프로토콜(검열 우회용) 별도 제공. 무료 플랜도 지원 |
| Mullvad | WireGuard 전용 | 2025년 앱에서 OpenVPN 선택지 제거, 2026년 1월 서버 완전 철거. 양자내성 암호화 기본값 |
| Surfshark | WireGuard (자동 선택) | 양자내성 암호화 내장 (macOS/Linux/Android). Dausos 프로토콜도 제공 (현재 macOS만) |
눈에 띄는 흐름이 있다. Mullvad는 아예 OpenVPN을 버렸고, 나머지도 WireGuard(또는 WireGuard 기반 변형)를 기본값으로 밀고 있다. 업계 전체가 WireGuard 쪽으로 수렴 중이다.
ExpressVPN만 독자 노선을 걷고 있는데, Lightway가 TCP를 지원한다는 점에서 WireGuard의 약점을 정확히 찌른 설계다. 성능과 방화벽 우회를 둘 다 잡겠다는 접근이고, 나쁘지 않은 선택이다.
그래서 나는 뭘 선택하면 되나요?
한 줄 결론: 유료 VPN을 쓰고 있다면, 기본값(거의 WireGuard 계열)을 그대로 두면 된다.
아래는 상황별 정리다.
🟢 일반 사용자 — 유튜브 보고, 카페 와이파이 쓰고, 가끔 해외 콘텐츠 보는 수준
그냥 WireGuard(또는 앱 기본값)를 쓰면 된다. 속도가 빠르고, 배터리를 덜 먹고, 와이파이↔LTE 전환 시 연결이 안 끊긴다.
🟡 VPN이 막히는 환경 — 학교, 회사, 공공 와이파이, 중국·UAE 등
OpenVPN TCP 443을 먼저 시도한다. 그래도 안 되면 ProtonVPN의 Stealth나 ExpressVPN의 Lightway TCP를 써보는 게 현실적이다. 이 프로토콜들은 VPN 트래픽을 일반 웹 접속처럼 위장한다.
🔴 OPSEC이 필요한 상황 — 프로토콜보다 서비스 관할권이 먼저인 환경
프로토콜 선택보다 VPN 서비스 자체의 로그 정책, 관할권, 감사 이력이 더 결정적이다. Mullvad(양자내성 WireGuard 기본, RAM 전용 서버)를 기준으로 보되, 이 수준의 위협 모델이면 VPN 하나로 해결되는 문제가 아니다. Tor 병용, OS 단위 보안이 필요하다.
정리
| WireGuard | OpenVPN | |
|---|---|---|
| 코드 크기 | ~4,000줄 | 7만 줄+ (OpenSSL 제외) |
| 속도 | 원본 대비 95%+ 유지 | 원본 대비 ~75% |
| 방화벽 우회 | UDP 전용, 약함 | TCP 443 가능, 강함 |
| 배터리 | 적음 | 많음 |
| 암호화 | 고정 (ChaCha20 등) | 선택 가능 |
| 프라이버시 (기본) | IP 저장 이슈 있음 | 없음 |
| 로밍 (WiFi↔LTE) | 끊김 없음 | 불안정할 수 있음 |
대부분의 사람에게 WireGuard가 맞는 선택이다. OpenVPN이 필요한 상황은 명확하다 — VPN이 막히는 네트워크. 그 외에는 기본값을 건드릴 이유가 없다.
자주 묻는 질문
- WireGuard와 OpenVPN 중 뭘 쓰면 되나요?
- 일반적인 사용이라면 WireGuard입니다. 속도가 2~4배 빠르고, 배터리 소모가 적고, 연결이 안정적입니다. 학교·회사·중국처럼 VPN을 적극 차단하는 환경에서만 OpenVPN TCP 443 모드가 유리합니다.
- WireGuard가 OpenVPN보다 보안이 약한가요?
- 아닙니다. WireGuard는 코드가 약 4,000줄로 OpenVPN(7만 줄+)보다 훨씬 적어서 보안 감사가 쉽고, 현대적인 암호화 알고리즘(ChaCha20, Curve25519)을 사용합니다. 다만 기본 설정에서 접속 IP를 서버에 저장하는 프라이버시 이슈가 있어, NordVPN·Mullvad 등은 이를 별도로 해결했습니다.
- NordVPN의 NordLynx가 WireGuard와 다른 건가요?
- NordLynx는 WireGuard 위에 Double NAT 시스템을 얹은 것입니다. WireGuard의 IP 저장 문제를 해결하기 위해 모든 사용자에게 동일한 로컬 IP를 부여하고, 터널 세션별로만 고유 IP를 할당합니다. 프로토콜 자체의 속도·암호화는 WireGuard와 동일합니다.
- ExpressVPN은 왜 WireGuard 대신 Lightway를 쓰나요?
- ExpressVPN은 WireGuard의 UDP 전용 한계를 지적하며 자체 프로토콜 Lightway를 개발했습니다. Lightway는 TCP/UDP 모두 지원하고, 코드가 약 2,000줄로 WireGuard보다 가볍습니다. 오픈소스이며 wolfSSL 기반 암호화를 사용합니다.
- 무료 VPN도 WireGuard를 지원하나요?
- ProtonVPN 무료 플랜이 WireGuard와 Stealth 프로토콜을 모두 지원합니다. 다만 무료 플랜은 서버 수와 속도에 제한이 있습니다.