"No-Log" VPN의 진실 — 감사 보고서와 실제 수사 사례

VPN을 결제하고 나면 한 가지 의문이 생긴다. “No-Log이라는데 진짜 내 활동 기록이 안 남는 건지, 아니면 그냥 하는 말인지.”

합리적인 의문이다. 성인 사이트를 보거나, 탈모나 발기부전 관련 정보를 검색하거나, 이직 준비 중에 경쟁사 사이트를 들락거리거나 — 법적으로 아무 문제없지만 기록으로 남기긴 싫은 것들이다. VPN이 그 기록을 진짜 안 남기는지 확인하고 싶은 거다.

결론부터 말하면, “No-Log”이라는 두 글자는 업체마다 의미가 다르고, 실제로 그 약속을 깬 업체가 한두 곳이 아니다. 수사에서 로그를 넘긴 사례가 최소 세 건 확인되고, 반대로 경찰이 사무실까지 들이닥쳤는데 진짜로 넘길 게 없었던 사례도 있다.

어느 쪽인지를 가르는 기준을 보겠다.

”No-Log”이 거짓말이었던 세 가지 사건

1. HideMyAss — LulzSec 해킹 사건 (2011)

시작은 해커 그룹 LulzSec이 소니 픽처스 엔터테인먼트를 SQL 인젝션으로 해킹한 사건이다. LulzSec 멤버 코디 크레칭어(Cody Kretsinger)는 HideMyAss의 웹 프록시 서비스를 경유해서 공격을 수행했다.

FBI가 영국 법원 명령을 받아 HideMyAss에 로그를 요청했다. HideMyAss는 접속 IP 주소와 타임스탬프를 30일간 보관하고 있었고, 이를 그대로 넘겼다. 크레칭어는 체포돼 연방 교도소 1년 1일, 자택 구금 1년, 소니에 대한 배상금 60만 5,663달러를 선고받았다.

HideMyAss는 사후에 “법원 명령에 따른 것”이라고 해명했지만, 핵심은 다른 데 있다. 로그를 보관하지 않았다면 법원 명령이 와도 넘길 게 없었을 거다. “No-Log”을 내세우면서 접속 로그를 30일간 쌓고 있었다는 게 문제의 본질이다.

2. IPVanish — 미국 국토안보부 아동 착취 수사 (2016)

2016년 5월, 미국 국토안보수사국(HSI) 요원 스콧 사이크스가 아동 성착취물 수사를 진행하고 있었다. IRC 채팅방에서 용의자가 공유한 링크를 추적한 결과, IP 주소가 IPVanish의 모회사 하이윈즈(Highwinds) 소유로 나왔다.

HSI가 첫 번째 소환장을 보냈을 때, 하이윈즈는 “고객 데이터 보호를 위해 사용 정보를 기록하지 않는다”고 답했다. 하지만 HSI가 두 번째 소환장을 보내자 — 이번에는 특정 IP와 포트의 IRC 트래픽 데이터를 요청했다 — 하이윈즈는 사용자 이름, 이메일, 구독 정보, 실제 IP 주소, 접속·해제 시간을 전부 넘겼다.

용의자 빈센트 게비르츠(Vincent Gevirtz)는 이 정보로 체포됐고 아동 포르노 공유를 시인했다. 첫 번째 요청에는 “로그 없다”고 답해놓고, 두 번째 요청에는 전부 넘긴 거다. “No-Log”이 사실이었다면 두 번째 요청에도 넘길 게 없었어야 한다.

3. PureVPN — FBI 사이버스토킹 수사 (2017)

매사추세츠 뉴턴에 사는 라이언 린(Ryan Lin, 당시 24세)은 전 하우스메이트를 대상으로 사이버스토킹을 벌였다. 아동 성착취 이미지를 피해자의 가족과 지인에게 보내고, 자살을 종용하는 메시지를 발송하고, 120건 이상의 허위 폭탄 위협 신고를 날렸다.

FBI가 PureVPN에 협조를 요청했다. PureVPN은 연결 타임스탬프와 IP 주소를 넘겼다. 이 로그에서 결정적 단서가 나왔다 — 같은 VPN IP 주소에서 몇 분 간격으로 린의 실제 Gmail 계정, 협박에 사용한 별도 Gmail 계정, 그리고 린이 만든 Rover.com 계정에 차례로 로그인한 기록이 있었다. 린은 체포돼 연방 교도소 17년 6개월을 선고받았다.

PureVPN은 당시 홈페이지에 “we do NOT keep any logs”라고 명시하고 있었다. 연결 로그를 보관하면서.

No-Log이 진짜였던 두 가지 사건

1. Mullvad — 스웨덴 경찰 압수수색 (2023)

2023년 4월 18일, 스웨덴 국가수사국(NOA) 소속 경찰 6명이 영장을 들고 뫼테보리(Gothenburg)의 Mullvad 사무실에 들이닥쳤다. 목적은 고객 데이터가 담긴 컴퓨터를 압수하는 거였다.

Mullvad의 변호인은 회사가 고객 데이터를 보관하지 않는다는 점을 설명했고, 서비스 운영 방식을 현장에서 직접 시연했다. Mullvad는 또한 스웨덴 법률상 자사 장비 압수가 위법이라는 점을 주장했다. 경찰은 검찰과 협의한 뒤 — 아무것도 가져가지 않고 사무실을 떠났다.

스웨덴 법률상 다른 국가의 수사 협조 요청에 관련된 활동에는 비밀유지 의무가 적용된다. 이 압수수색이 다른 나라의 요청으로 이루어졌을 가능성이 있다는 뜻이다. 어느 나라가 요청했든, 결과는 같았다. 넘길 데이터가 없었다.

2. ProtonVPN — 스위스 법률의 구조적 보호

ProtonVPN 사례는 좀 복잡하다. 2021년, 같은 Proton 그룹의 ProtonMail이 프랑스 기후 활동가의 IP 주소를 스위스 당국에 넘긴 사건이 터졌다. 스위스 연방법무부의 법적 구속력 있는 명령에 따른 것이었다.

하지만 여기서 핵심적인 구분이 하나 있다. 스위스 법률은 이메일 서비스와 VPN 서비스를 다르게 취급한다. ProtonMail은 스위스 법원 명령으로 IP 로깅을 강제당할 수 있지만, ProtonVPN은 그럴 수 없다. 스위스 법률상 VPN 서비스 제공자에게 사용자 활동 로그 수집을 강제할 법적 근거가 없다.

ProtonVPN의 투명성 보고서에 따르면 법적 요청을 다수 받았지만, 보유하지 않는 데이터를 수집하도록 강제하는 건 스위스 법으로 불가능하다.

🟡 다만 주의할 점: 2025년 7월, Proton은 스위스 감시법(OSCPT) 개정안에 대한 우려로 인프라 일부를 EU(독일, 노르웨이)로 분산하기 시작했다. 스위스의 법적 보호가 영구적이지 않을 수 있다는 의미다.

”No-Log”이 안 지키는 것들

No-Log 정책이 말하는 “로그 없음”은 보통 이걸 뜻한다 — 트래픽 로그(어떤 사이트에 접속했는지)와 연결 로그(언제, 어떤 IP에서 접속했는지)를 서버에 기록하지 않는다.

하지만 No-Log 정책의 범위 밖에 있는 데이터가 있다.

🔴 거의 모든 VPN이 보관하는 것:

• 가입 이메일 주소
• 결제 내역 (신용카드 번호, 거래 ID, 결제일)
• 구독 상태 (어떤 플랜을, 언제부터 언제까지)

🟡 많은 VPN이 수집하는 것:

• 연결 시도 횟수 (동시 접속 기기 제한을 위해)
• 총 데이터 전송량 (대역폭 관리 목적)
• 마지막 접속 시간 (계정 활성 여부 확인)
• 앱 진단 데이터 (크래시 리포트 등)

수사기관이 VPN 업체에 “이 사용자의 트래픽 로그를 달라”고 요청하면, No-Log 정책을 제대로 이행하는 업체는 “없다”고 답할 수 있다. 하지만 “이 이메일 주소로 가입한 사람의 결제 내역과 구독 기간을 달라”는 요청에는? 그건 No-Log 정책과 아무 관계가 없는 비즈니스 데이터다. 대부분의 업체가 넘길 수 있고, 넘긴다.

Mullvad가 예외인 이유가 여기 있다. 이메일 없이 가입하고, 현금이나 모네로로 결제하면, 계정 자체에 신원을 연결할 정보가 없다. 넘기고 싶어도 넘길 게 없는 구조다.

독립 감사의 의미와 한계

VPN 업체들이 “독립 감사를 통과했다”고 자랑하는 걸 자주 볼 텐데, 감사에도 종류가 있다.

회계법인 감사 (Deloitte, KPMG, PwC) ISAE 3000 같은 국제 감사 기준에 따라 “서버에 사용자 활동 로그가 존재하는가”를 검증한다. 정책, 절차, 샘플링된 기록을 확인하는 방식이다. 소스코드를 직접 읽거나 침투 테스트를 하지는 않는다.

보안 컨설팅 기업 감사 (Cure53, NCC Group, Trail of Bits) 소스코드를 직접 뜯어보고, 서버 구성을 검사하고, 침투 테스트를 수행한다. “로그가 없다”뿐 아니라 “왜 없을 수밖에 없는 구조인가”를 기술적으로 검증한다.

둘 다 유용하지만, 공통된 한계가 하나 있다.

감사는 특정 시점의 스냅샷이다. 2025년 12월에 감사를 통과했다고 해서 2026년 5월에도 같은 상태라는 보장은 없다. 감사 이후에 서버 설정을 바꾸거나, 새로운 로깅 모듈을 추가해도, 다음 감사 전까지는 아무도 모른다.

그래서 감사보다 더 강력한 검증이 법집행 실전 검증이다 — 수사기관이 실제로 데이터를 요청했거나 서버를 물리적으로 압수했을 때, 진짜로 데이터가 없었는가. Mullvad의 2023년 사건, ExpressVPN의 2017년 터키 서버 압수 사건이 이에 해당한다.

🟢 감사 + 법집행 실전 검증 모두 통과: Mullvad, ExpressVPN 🟡 감사만 통과 (법집행 검증 사례 없음): NordVPN, Surfshark 🔴 감사 이전에 로그를 넘긴 전력: PureVPN, IPVanish

그래서 뭘 봐야 하나

No-Log 정책을 평가할 때 진짜 확인해야 하는 건 세 가지다.

1. “No-Log”이 구체적으로 뭘 안 남긴다는 건지 확인하라. “No-Log”은 법적 정의가 없는 마케팅 용어다. 트래픽 로그만 안 남기는 건지, 연결 로그까지 안 남기는 건지, 메타데이터도 안 남기는 건지 — 개인정보 처리방침(Privacy Policy)을 직접 읽어야 한다.

2. 계정 자체의 익명성을 봐라. No-Log이 진짜여도, 가입 이메일과 신용카드 결제 내역으로 신원이 연결되면 의미가 반감된다. 이메일 없이 가입할 수 있는지, 현금이나 모네로 결제가 가능한지가 No-Log 정책만큼 중요하다.

3. 감사 종류와 법집행 이력을 함께 봐라. 회계법인 감사는 “로그가 없었다”를 확인해주고, 보안 감사는 “로그가 생길 수 없는 구조인가”를 확인해준다. 둘 다 있으면 좋지만, 실전에서 수사기관 앞에서 데이터가 없음을 증명한 이력이 가장 무겁다.

정리

“No-Log”이라는 두 글자는 아무것도 보장하지 않는다. HideMyAss, IPVanish, PureVPN은 전부 No-Log을 내세우면서 로그를 넘겼다. 반면 Mullvad는 경찰이 영장을 들고 사무실에 왔는데 진짜로 넘길 게 없었다.

차이를 만드는 건 정책이 아니라 구조다. 로그를 남기지 않겠다는 약속이 아니라, 로그를 남길 수 없는 기술적 설계. 계정에 신원을 연결할 정보가 애초에 없는 가입 구조. 그리고 그 구조가 실전에서 검증됐는지.

VPN을 고를 때 “No-Log”이라는 배지만 보지 마라. 그 배지 뒤에 뭐가 있는지를 봐라.