VPN이 막혔을 때 — 회사·학교 네트워크, 해외 여행지에서 VPN 우회하는 법

회사나 학교 네트워크에서 VPN을 켰는데 안 된 적 있을 거다. 아니면 해외 여행 중에 VPN을 켰는데 갑자기 끊기거나. 분명히 유료 VPN인데 특정 네트워크에서만 안 먹힌다.

이건 VPN이 고장난 게 아니다. 네트워크 관리자가 VPN 트래픽을 탐지해서 차단하고 있는 거다. 회사·학교 네트워크가 흔히 쓰는 방식이고, 인터넷 검열이 심한 나라(중국, 러시아, 이란)도 같은 기술을 훨씬 공격적으로 쓴다.

이 글은 그 탐지 원리와, 탐지를 피하는 기술 — 난독화(obfuscation) — 을 다룬다.

방화벽은 VPN을 어떻게 알아보나?

핵심 기술은 DPI(Deep Packet Inspection)다. 이름 그대로 패킷(인터넷을 통해 오가는 데이터 조각)을 깊이 들여다보는 기술이다.

일반 방화벽은 “이 트래픽이 어디로 가는지”만 본다. 목적지 IP나 포트 번호를 확인해서 차단 목록에 있으면 막는 방식이다. DPI는 한 단계 더 간다. 패킷의 내용물, 정확히는 패턴을 분석한다.

VPN 프로토콜마다 고유한 패턴이 있다. OpenVPN은 TLS 핸드셰이크 과정에서 일반 HTTPS와 다른 시퀀스를 남기고, WireGuard는 UDP 기반에 특유의 초기 핸드셰이크 구조가 있다. DPI는 이 패턴을 지문처럼 읽는다.

비유하면, 편지 내용은 못 읽지만 봉투 모양만 보고 “이건 일반 우편이 아니라 외교 행낭이다”를 구분하는 거다.

난독화는 어떻게 작동하나?

난독화의 핵심은 간단하다. VPN 트래픽을 일반 HTTPS 트래픽처럼 보이게 만드는 거다.

HTTPS는 인터넷에서 가장 흔한 트래픽이다. 네이버를 열든, 유튜브를 보든, 전부 HTTPS다. 방화벽이 HTTPS를 전부 막으면 인터넷 자체가 죽는다. 난독화는 이 점을 이용한다. VPN 패킷을 HTTPS 패킷과 구분할 수 없게 변형하면, 방화벽은 이걸 VPN인지 알 수 없다.

구체적인 방식은 여러 가지다.

TLS 래핑 — VPN 데이터를 TLS(HTTPS에서 쓰는 암호화 계층) 안에 한 번 더 감싼다. 겉에서 보면 일반 웹사이트 접속과 동일하다. ProtonVPN의 Stealth 프로토콜이 이 방식이다.

트래픽 변형 — 패킷의 크기, 타이밍, 헤더를 조작해서 VPN 고유의 패턴을 없앤다. OpenVPN의 XOR 스크램블이나 NordVPN의 난독화 서버가 여기에 해당한다.

프록시 위장 — VPN 트래픽을 Shadowsocks나 VLESS 같은 프록시 프로토콜로 감싸서, 아예 다른 종류의 트래픽으로 보이게 한다. Mullvad의 브릿지 모드가 이 방식이다.

중국 — 세계 최강의 방화벽

중국의 GFW(Great Firewall, 만리방화벽)는 인터넷 검열의 기준점이다. 다른 나라가 “우리도 중국처럼 막겠다”고 할 때 참고하는 게 GFW다.

2026년 기준, GFW의 차단 방식은 다층 구조다. DNS 오염(가짜 DNS 응답을 보내 잘못된 IP로 연결), IP 차단, 키워드 필터링, DPI, 그리고 **능동 탐지(active probing)**까지 동원한다. 능동 탐지란, 의심스러운 서버에 방화벽이 직접 접속을 시도해서 “이게 VPN 서버인지” 확인하는 기술이다. 수동적으로 지나가는 트래픽만 보는 게 아니라, 적극적으로 찔러보는 거다.

일반 WireGuard, OpenVPN, IKEv2는 2026년 기준 거의 100% 차단된다. 난독화 없이는 연결 자체가 성립하지 않는다.

난독화가 있는 VPN은 된다 — 단, 100%는 아니다. 2026년 4월 기준, 중국 당국이 데이터센터를 물리적으로 급습해 릴레이 서버 인프라를 끊는 사건까지 있었다. 소규모 VPN이나 무료 VPN은 이 시점에서 대부분 사망했다.

살아남은 건 자체 난독화 기술을 보유한 대형 VPN들이다. 그래도 도시, ISP, 시기에 따라 편차가 크다. “어제 됐는데 오늘 안 된다”가 일상이다.

러시아 — 국가 예산 투입한 차단

러시아의 TSPU(Technical Means of Countering Threats)는 2019년 ‘주권 인터넷법’에 따라 모든 ISP 네트워크에 설치된 DPI 장비다. 통신사가 아니라 로스콤나드조르(Roskomnadzor, 러시아 통신감독원)가 직접 통제한다. ISP는 이 장비에 대한 권한이 없다.

2025~2027년 러시아 국가 예산에 ‘네트워크 주권’ 항목이 처음 등장했다. 로스콤나드조르의 VPN 차단에 600억 루블(약 6.6억 달러, 원화로 약 9,000억 원)이 배정됐다. 2026년 초 내부 문서에 따르면, 기존 DPI에 머신러닝 모델을 통합해 암호화된 트래픽 패턴을 분류하는 계획이 진행 중이다.

2026년 1월 기준, 로스콤나드조르가 차단한 VPN 서비스는 439개 — 3개월 만에 70% 증가한 수치다. VLESS(가장 탐지가 어렵다고 알려진 프로토콜)까지 차단했다는 보고가 2025년 말에 나왔다.

그런데 부작용도 있었다. VPN을 무차별 차단하다가 은행 시스템이 같이 먹통이 된 사례가 보도됐다. VPN 트래픽과 정상 기업 트래픽을 완벽하게 구분하는 건 검열 당국에게도 쉽지 않다.

이란 — 셧다운까지 동원

이란은 DPI, IP 차단, DNS 조작, SSL/TLS 가로채기를 복합적으로 사용한다. 2026년에는 1월 시위 진압(약 10일)과 23월 미-이스라엘 공습 직후 재개된 셧다운이 합쳐져, 4월 21일 기준 2차 셧다운만 53일 연속 — 단일 국가 기준 역대 최장 기록이다. 1월 1일부터 따지면 118일 중 인터넷이 정상 작동한 날은 2530일에 불과했다. VPN 우회 이전에 인터넷 자체가 없는 상황이 벌어진 거다.

이란 정부는 2024년에 VPN 사용 자체를 공식적으로 불법화했다. 정부 허가 없는 VPN 사용은 처벌 대상이다.

그럼에도 이란 인구의 약 80~83%가 VPN을 사용한다는 조사가 있다(청년층과 학계는 90% 이상). V2Ray, Psiphon, Tor가 널리 쓰이고, 스타링크 같은 위성 인터넷도 대안으로 떠오르고 있다. 법과 현실 사이의 괴리가 극단적인 사례다.

VPN별 난독화 지원 현황

광고 카피가 아니라 기술적으로 뭘 하는지를 기준으로 정리한다.

NordVPN — 난독화 전용 서버를 별도 운영한다. OpenVPN TCP/UDP에서만 작동하며, NordLynx(WireGuard 기반)에서는 난독화가 안 된다. 앱 설정에서 난독화 서버를 수동으로 선택해야 한다. 2026년 중국 테스트에서 70~85% 성공률이 보고됐다.

ExpressVPN — Lightway 프로토콜에 난독화가 내장되어 있다. DPI를 감지하면 자동으로 난독화가 활성화된다. 별도 설정 없이 전 서버에서 작동하는 구조다. 다만 중국에서의 안정성은 시기에 따라 편차가 크다는 사용자 보고가 있다.

ProtonVPN — Stealth 프로토콜을 자체 개발했다. WireGuard 기반에 TLS 난독화를 결합한 구조로, 오픈소스다. 무료 플랜에서도 사용 가능하다. 2026년 로드맵에 Linux Stealth 지원과 포스트퀀텀 암호화(PQE) 준비가 포함되어 있다.

Mullvad — Shadowsocks 기반 난독화를 제공한다. 2026년 1월 15일부로 OpenVPN 지원이 완전히 종료되면서, 기존 Shadowsocks→OpenVPN 브릿지 구조는 폐기됐다. 현재는 WireGuard + Shadowsocks 난독화 조합이 기본이다. 브릿지 모드를 “자동”으로 설정하면 연결 실패 시 자동으로 Shadowsocks 경유로 전환된다.

Surfshark — Camouflage Mode(OpenVPN XOR 스크램블)와 NoBorders Mode를 제공한다. NoBorders는 제한된 네트워크에 최적화된 서버 목록을 제공하는 기능이지, 트래픽 자체를 난독화하지는 않는다. 실제 난독화는 Camouflage Mode에서만 작동한다. 2026년 중국 테스트에서 43% 성공률이라는 보고가 있어, 앞의 네 서비스보다 성공률이 낮다.

상용 VPN 말고 다른 방법은 없나?

있다. 원래 검열 우회를 위해 만들어진 도구들이 있다.

Shadowsocks — 중국 개발자가 GFW 우회를 위해 만든 프록시다. 트래픽을 암호화해서 일반 HTTPS처럼 보이게 한다. 직접 서버를 세팅해야 하는 경우가 많지만, 상용 VPN의 난독화 기능 상당수가 Shadowsocks에서 파생됐다.

V2Ray / VLESS — Shadowsocks의 진화형이다. TLS, WebSocket, HTTP/2, QUIC 등 다양한 전송 계층을 선택할 수 있어 DPI 우회에 유연하다. VLESS는 패킷 오버헤드가 25~50바이트에 불과해(OpenVPN은 100바이트 이상) 패턴 지문 자체가 극히 적다. 러시아에서 VLESS 차단이 보고되기 전까지 98% 성공률을 보였다.

Tor + Pluggable Transports — Tor 브라우저에 obfs4 같은 플러거블 트랜스포트를 결합하는 방식이다. 트래픽을 무작위 데이터처럼 보이게 변형한다. 속도가 느리고 설정이 복잡하지만, 익명성까지 필요한 상황에서는 가장 강력한 조합이다.

이 도구들은 기술 지식이 필요하다. 서버를 직접 빌리고, 설정 파일을 만들고, 클라이언트를 구성해야 한다. 일반 사용자한테는 난독화 기능이 내장된 상용 VPN이 현실적인 선택이다.

누가 어디까지 해야 하나

🟢 해외 출장·여행자 — 출발 전에 난독화 지원 VPN을 설치하고, 난독화 서버 목록을 미리 받아둬라. 현지에 도착하면 VPN 앱 다운로드 자체가 차단될 수 있다. NordVPN 난독화 서버, ExpressVPN(자동 난독화), ProtonVPN Stealth 중 하나면 충분하다. VPN 2개를 설치해두면 하나가 막혔을 때 백업이 된다.

🟡 장기 체류자 — VPN 하나에만 의존하면 안 된다. 메인 VPN + 백업 VPN + Shadowsocks 또는 V2Ray 클라이언트까지 준비해두는 게 안전하다. 중국의 경우 국경일이나 정치적 이벤트 전후로 차단이 강화되는 패턴이 있다. 평소에 되던 것도 갑자기 안 될 수 있다.

🔴 기자, 인권 활동가, 내부고발자 — 상용 VPN만으로는 부족한 영역이다. Tor + obfs4 브릿지, 또는 자체 VLESS 서버 구축이 기본이다. VPN 업체의 서버를 거치는 것 자체가 리스크일 수 있다. 이 수준의 위협에서는 OS 단위 보안(Tails, Whonix)과 하드웨어 분리까지 고려해야 한다 — 이 글의 범위를 넘어선다.

다만, 선은 분명히 있다

이 글은 검열을 기술적으로 우회하는 방법을 다뤘다. 정보 접근의 자유는 보편적 권리이고, 정부가 시민의 인터넷을 차단하는 행위 자체가 문제다.

하지만 같은 도구가 다른 목적에 쓰일 수도 있다. 검열 우회 기술 자체는 중립적이다. 이 기술로 차단된 뉴스를 읽는 것과, 이 기술로 불법 콘텐츠를 유통하는 건 완전히 다른 이야기다.

기술적 사실을 숨기지는 않는다. 하지만 도구가 중립적이라고 해서 모든 사용이 중립적인 건 아니다.

정리

방화벽은 DPI로 VPN의 패킷 패턴을 읽어 차단한다. 난독화는 그 패턴을 없애거나 일반 HTTPS로 위장해서 탐지를 피한다.

중국 GFW는 DPI + 능동 탐지 + 물리적 서버 급습까지 동원하고, 러시아 TSPU는 국가 예산 약 9,000억 원을 투입해 머신러닝 기반 차단으로 진화 중이다. 이란은 인터넷 셧다운이라는 극단적 카드까지 쓴다.

난독화가 있는 VPN은 이런 환경에서도 작동하지만, 100% 보장은 없다. 도시, ISP, 시기에 따라 편차가 크고, “어제 됐는데 오늘 안 된다”가 현실이다.

지금 당장 할 수 있는 건 하나다 — 출발 전에 난독화 지원 VPN을 설치하고, 서버 목록을 미리 받아두는 것. 현지에서는 늦다.