티스토리 뷰
VPN은 요즘 “공공 Wi-Fi에서는 무조건 켜야 한다”, “VPN만 쓰면 해킹이 안 된다”처럼 과장된 말과 함께 소비되는 경우가 많습니다. 하지만 VPN은 만능 방패가 아니라, 네트워크 구간을 ‘터널링(암호화된 통로)’으로 바꿔주는 도구에 가깝습니다. 즉, VPN이 보호하는 건 주로 “내 기기 ↔ VPN 서버” 사이의 통신 경로이며, 그 밖의 위험(피싱 사이트에 직접 로그인, 악성 앱 설치, 계정 인증코드 유출, 브라우저 확장프로그램 악성화 등)을 대신 막아주지는 못합니다. 반대로 VPN이 꼭 필요한 상황도 분명히 있습니다. 예를 들어 공항·호텔처럼 관리 주체가 불명확한 네트워크에서 업무 자료를 열어야 하거나, 해외에서 국내 서비스 접속이 불안정하거나, 통신사/공공망에서 DNS 조작·가로채기 가능성을 줄이고 싶을 때는 도움이 됩니다. 다만 “어떤 VPN을 쓰느냐”가 중요합니다. VPN은 내 트래픽을 ‘어디로 보내는가’를 바꾸는 도구이기 때문에, 신뢰할 수 없는 VPN을 쓰면 오히려 개인정보를 새로 맡기는 셈이 됩니다. 그래서 이 글은 VPN을 광고처럼 설명하지 않고, ①VPN이 실제로 해결해주는 문제와 못 하는 것, ②누가/언제 쓰면 실익이 큰지, ③오히려 위험해지는 경우(무료 VPN, 과도한 권한, 로그 정책 불명), ④실전 설정 체크리스트까지 “현실 기준”으로 정리합니다. 목표는 간단합니다. 필요할 때만, 믿을 수 있는 방식으로, 과신하지 않고 쓰는 것입니다.
서론
VPN을 이해하려면 먼저 ‘위험이 어디에서 생기는지’를 나눠봐야 합니다. 보안 사고는 크게 두 종류로 옵니다. 첫째는 네트워크 구간에서 생기는 위험입니다. 공공 Wi-Fi에서 누군가가 같은 네트워크에 붙어 트래픽을 관찰하거나(조건에 따라), 가짜 AP(위장 와이파이)로 유도하거나, DNS를 조작해 가짜 사이트로 보내는 방식 등이 여기에 속합니다. 둘째는 사용자의 행동에서 생기는 위험입니다. 피싱 사이트에 직접 로그인하거나, 인증코드를 넘겨주거나, 출처 불명 앱을 설치하거나, 브라우저 확장프로그램이 악성으로 변하는 경우처럼 “내가 스스로 문을 여는” 유형이죠. VPN은 이 중 첫 번째 범주, 즉 네트워크 구간의 위험을 줄이는 데 초점이 있습니다. 내가 접속한 Wi-Fi 환경이 찜찜할 때, 기기에서 나가는 통신을 암호화된 터널로 보내면 중간에서 훔쳐보기나 조작이 어려워지는 면이 있습니다. 하지만 VPN은 두 번째 범주—피싱 로그인, 인증코드 유출, 악성 앱—를 원천적으로 막아주지 않습니다. 그래서 VPN을 “만능 보안”으로 믿는 순간 위험해집니다. 더 큰 문제는, VPN을 켜는 것 자체가 내 트래픽을 한 곳(VPN 사업자)으로 모아 보내는 행위라는 점입니다. 결국 ‘Wi-Fi 운영자’를 덜 믿고 ‘VPN 운영자’를 더 믿는 구조가 되는데, 그 믿음이 근거 없이 형성되면 오히려 리스크가 이동합니다. 정리하면, VPN은 ‘언제나 켜는 도구’가 아니라 ‘상황에서 선택하는 도구’입니다. 이 글의 흐름도 그 기준으로 갑니다. 먼저 VPN이 정확히 무엇을 보호하는지, 그 다음 “쓰면 이득인 상황”과 “쓰지 않는 편이 나은 상황”을 나누고, 마지막으로 선택 기준과 최소 설정을 제공합니다.
본론
1) VPN이 해주는 것(현실적으로)
VPN은 내 기기에서 나가는 트래픽을 VPN 서버까지 암호화된 통로로 보내줍니다. 그래서 같은 공공망에 있는 누군가가 내 트래픽을 엿보거나 변조하려는 시도에 대한 방어력이 올라갑니다(특히 민감한 업무 환경). 또한 특정 네트워크에서 DNS 조작이나 트래픽 간섭이 의심될 때, VPN을 통해 경로를 바꾸면 증상이 완화되기도 합니다. 해외 체류 중 지역 제한/라우팅 문제로 서비스 접속이 불안정할 때, VPN이 ‘우회 경로’ 역할을 해서 체감 품질이 좋아지는 경우도 있습니다.
다만 여기까지입니다. VPN이 “사이트가 가짜인지”를 알려주지는 않고, “내가 인증코드를 입력한 순간”을 되돌려주지도 않으며, “악성 앱 설치”를 막아주는 백신 역할도 하지 않습니다.
2) VPN이 못 하는 것(여기서 과신이 사고를 만든다)
- 피싱 사이트: VPN을 켜도 가짜 로그인 페이지에 직접 아이디/비번을 입력하면 끝입니다. 주소창/도메인 확인이 여전히 최우선입니다.
- 계정 탈취(인증코드 요구, 세션 탈취): VPN은 2FA를 대신하지 않습니다. 인증코드 공유 금지, 패스키/OTP, 로그인 알림이 핵심입니다.
- 악성 앱/APK: 출처 불명 앱 설치는 VPN과 무관하게 위험합니다.
- 기기 자체 감염: 이미 기기에 악성코드가 있다면, VPN을 켜도 내부에서 정보가 새나갈 수 있습니다.
즉, VPN은 “네트워크 구간”을 줄여줄 뿐, “행동/기기 보안”까지 해결해주지 않습니다.
3) 누가 VPN을 쓰면 ‘효율’이 좋은가
- 업무/자료를 다루는 사람: 공공 Wi-Fi에서 회사 메일·문서·협업툴 접속이 잦다면, 회사 정책에 맞는 VPN(특히 회사 VPN)을 쓰는 편이 안전합니다.
- 해외 이동이 잦은 사람: 호텔/공항 네트워크는 품질 편차가 크고, 일부 국가/환경에서는 트래픽 간섭이 체감될 수 있어 VPN이 실용적일 때가 있습니다.
- 공공망에서 반드시 민감 작업을 해야 하는 상황이 생기는 사람: “가능하면 테더링”이 정답이지만, 불가피할 때의 차선책으로 VPN이 의미가 있습니다.
반대로, 집/회사처럼 신뢰 가능한 네트워크에서 단순히 ‘심리적 안정감’ 때문에 상시 VPN을 켜는 것은 이득이 크지 않을 수 있습니다(속도 저하, 서비스 오류, 불필요한 위탁).
4) 언제 VPN이 특히 도움이 되나(상황별 판단)
- 공항/호텔/카페 공공 Wi-Fi + 로그인/업무/자료 열람이 필요할 때: 테더링이 1순위, VPN은 차선.
- DNS 조작 의심(이상한 리다이렉트/광고 증가): 우선 공유기 DNS 점검이 먼저지만, 임시로 VPN/보안 DNS가 증상을 줄이는 데 도움이 될 수 있습니다.
- 해외에서 국내 서비스 접속 문제: VPN이 라우팅 우회로 도움이 되는 경우가 있습니다(단, 서비스 약관/정책은 준수).
- 보안이 중요한 업무 환경: 회사 VPN/제로트러스트(기업 보안 솔루션) 체계가 있다면 그걸 따르는 게 최선입니다.
5) 오히려 위험해지는 경우(특히 ‘무료 VPN’ 함정)
VPN은 내 통신을 한 사업자에게 모아 보내는 구조입니다. 즉, “어디를 믿을지”가 핵심입니다. 무료 VPN은 운영비를 어디선가 회수해야 하므로 광고 삽입, 트래픽 분석, 로그 보관, 제휴 판매 같은 리스크가 커질 수 있습니다. 또한 앱 권한이 과도하거나, 개발사/정책이 불명확하면 내 데이터가 새로운 곳으로 유출되는 셈이 됩니다.
또 하나의 위험은 “VPN을 켰으니 안전하다”는 심리입니다. 이 심리가 피싱 링크 클릭, 도메인 확인 생략, 인증코드 공유 같은 치명적 실수를 부릅니다. 보안은 도구가 아니라 습관이기 때문에, VPN이 주는 안정감이 오히려 방심을 키우면 손해입니다.
6) VPN 선택 기준(초보용 체크리스트)
- 신뢰 출처: 가능하면 회사 VPN, 혹은 평판/정책이 명확한 서비스.
- 로그 정책: “무로그”라는 문구보다, 무엇을 수집/보관하는지 정책이 구체적인지 확인.
- 앱 권한: 불필요한 권한 요구(연락처/사진 등)가 과하면 경계.
- 킬 스위치/자동 연결: 연결이 끊겼을 때 트래픽이 그대로 새지 않도록 제어 가능한 옵션이 있으면 유리.
- 속도/안정성: 실사용에서 끊기면 오히려 위험한 행동(반복 로그인, 인증 재시도)을 유발할 수 있습니다.
7) 가장 현실적인 결론: “공공망에서는 테더링이 1순위”
많은 사람들이 VPN을 고민하는 이유는 공공 Wi-Fi가 불안해서입니다. 그런데 가장 단순하고 강력한 대안은 내 데이터망(테더링/개인 핫스팟)입니다. 내가 통제하는 망으로 민감 행동을 분리하는 게, 어떤 VPN보다 이해하기 쉽고 실수도 줄입니다. VPN은 ‘그 다음 선택지’로 두는 것이 현실적입니다.
결론
VPN은 유용한 도구지만, 유용한 만큼 오해도 많습니다. VPN이 해주는 건 네트워크 구간의 위험을 줄이는 것이고, 해주지 못하는 건 피싱·계정 탈취·악성 앱 같은 “사용자 행동/기기 보안” 영역입니다. 그래서 VPN을 쓸 때 가장 중요한 태도는 과신하지 않는 것입니다. 공공 Wi-Fi에서 민감 작업이 불가피할 때, 혹은 해외·업무 환경에서 통신 경로 안정성이 필요할 때, 신뢰할 수 있는 VPN을 ‘필요한 시간만’ 사용하는 것이 가장 합리적입니다. 반대로 무료 VPN을 무턱대고 설치하거나, 상시 켠다는 이유로 도메인 확인·인증코드 보안 같은 기본을 느슨하게 만들면, VPN은 보안 도구가 아니라 방심 장치가 됩니다. 이 글을 한 줄로 요약하면 이렇습니다. 공공망에서는 테더링이 최우선, VPN은 차선책, 그리고 어떤 상황에서도 ‘피싱/인증/업데이트’ 기본기는 그대로 유지. 다음 글(36번)에서는 VPN과 함께 자주 언급되는 DNS 변경(보안 DNS)으로 피싱 줄이는 방법을 다룹니다. VPN과 달리 보안 DNS가 해결해주는 문제(가짜 도메인 차단)와 한계(이미 속아서 입력하면 끝)를 구분해서, “쓰면 이득인 설정”으로 정리해드리겠습니다.