카테고리 보관물: Privacy

ZorroVPN Review

Posted on by
응답

logo-en.png

속도

ZorroVPN은 국내에 전용 서버를 두고 있습니다. 국내 서버에 접속하여 사용해본 결과, 지금까지 사용한 그 어떤 VPN 서비스보다 빠른 속도를 보여주었습니다. 특히, ZorroVPN은 오로지 OpenVPN-265bit 프로토콜을 사용하고, 속도는 더 빠르지만 보안에 취약한 다른 프로토콜들을 사용하지 않는다는 점을 고려할 때, 매우 고무적인 결과입니다. 특히, 아이폰에서 셀룰러, WIFI 가리지 않고 언제나 VPN을 접속 상태로 두어도, 속도와 인터넷 연결에 있어 다른 서비스들 보다 탁월한 성능을 보여주었습니다.

인터페이스

ZorroVPN은 Native Client App를 제공하지 않습니다(ZorroVPN은 현재까지 윈도우 플랫폼에 대한 베타 버전을 제공하고 있을 뿐입니다). 물론, 네트워크 설정에 익숙한 사용자에게 Native Client App 미제공이 문제가 되지는 않습니다. OpenVPN GUI(윈도우), Tunnelblick(Mac) 등 오픈소스 Client App이 있기 때문입니다(그리고 저는 이들 오픈소스 앱이 Navtive App 보다 더 보안성이 좋다고 믿습니다).

하지만 VPN을 처음 사용하는 사람, 1회적인 목적으로 VPN을 사용하려는 사람에게는 초기 설정이 번거로울 수 있습니다.

보안

ZorroVPN은 VPN 체인, Tor 네트워크 사용 기능 등이 있고, 이들 요소들을 사용자의 선호에 따라 자유롭게 설정할 수 있다는 점에서 매우 좋은 보안 기능을 제공한다고 할 수 있습니다.

하지만, ZorroVPN은 동시 접속 기기 수를 5대로 제한하고 있고, 제한 위반 여부를 확인하기 위해서는 사용자의 접속 시간 등 필요한 로그 정보를 수집할 수 밖에 없습니다. 그럼에도 불구하고 이에 관해 ZorroVPN은 자신들은 로그 정보를 수집하지 않는다 주장하고 있습니다. 엄밀히 말하면 거짓말입니다.

그리고 ZorroVPN은 사용자의 이메일 정보를 수집하는데, 접속 로그 정보와 이메일 정보가 결합될 경우 개인 식별이 더욱 용이해질 것 입니다.

총평

접속 기기 제한과 이메일 수집은 거의 대부분의 VPN 서비스 제공자들이 하고 있는 정책입니다. ZorroVPN은 이들 서비스들 중에서는 좋은 속도와 더욱 다양한 보안 기능을 제공하고 있어, 사용자들이 한번쯤 고려해볼 만한 서비스임에는 틀림없습니다.

다만, mullvad와 같이 이메일을 수집하고 않는 보다 더 개인정보 보호에 적합한 서비스도 있음에도 ZorroVPN을 이용한 이유(빠른 속도 외에는)는 없다고 생각합니다.

VPN 서비스 선택하기 전에 알아야할 사항들

Posted on by
응답

세상에는 정말 많은 VPN 서비스 업체들이 있습니다. 이들 중 선택에 고려해야 할 요소는 보안성과 속도 일 것입니다. 그래서 많은 VPN 업체들이 자신들이 가장 보안성이 뛰어나고 속도로 빠르다고 홍보하고 있습니다.

하지만 이들의 주장이 모두 사실인지는 지극히 의문입니다. 네트워크와 암호화 기술에 관한 기본적인 지식만 있어도, 이들의 주장 중 상당수는 거짓 내지 과장이라는 것을 알 수 있습니다.

이와 관련하여 VyprVPN에서 ‘VPN에 관한 10가지 미신’이라는 제목의 블로그 포스트를 게재하였습니다. 그 내용이 정확하고 신뢰할만해서 소개합니다. VyprVPN은 자신들이 보관하는 로그 데이터의 종류과 보관기간을 투명하게 공개하는 업체 중 하나입니다.

VPN 서비스 선텍에 어려움이 있으신 분들은 한번 읽어보시면 도움이 될 것입니다.

Don’t use IPVanish!

Posted on by
응답

인터넷에서 가장 활발히 광고 중인 VPN인 IPVanish가 사용자의 로그정보(사용자 이름, 이메일, 접속한 VPN 서버, 원래 IP 주소, 사용자가 VPN 서버에 접속하고 접속을 중단한 날짜와 시간 등)를 미국 국토안보국(Department of Homeland Security, DHS)에 제공한 것으로 드러났습니다(DHS 직원의 진술서).

IPVanish가 DHS에 사용자 로그정보를 제공한 시점은 2016. 6. 9. 입니다. 위 날짜 전후로도 IPVanish는 자신들은 사용자의 로그 정보를 절대 저장하지 않는다고 홈페이지 등에서 거짓 광고를 하였습니다.

문제는 IPVanish 처럼 절대 다수의 VPN 서비스들이 로그정보를 저장하지 않는다고 광고하지만, 사용자는 직접 서비스 제공자가 실제로 로그정보를 저장하지 않는지를 확인할 방법이 없다는 것입니다.

사실 VPN 서버에 접속 가능한 기기의 수를 제한하고 있는 VPN 서비스는 어떤 형태로든 로그정보를 일단 저장하고 있다고 보아야 합니다. 로그정보를 저장하지 않고는 접속 기기 숫자를 확인할 수 없기 때문입니다(VPN 서비스 사용약관을 확인하시고, 접속 기기 숫자를 제한하면서도 ‘No-log policy’라고 주장한다면 십중팔구 거짓말입니다).

따라서 VPN 서비스를 선택하실 때는

  1. 접속 기기 숫자 제한이 없는 서비스를 이용하시거나(가령, Perfect-Privacy),
  2. 솔직하게 로그정보를 저장하고 있음을 인정하고, 그 삭제 방법을 투명하게 공개하는 서비스(가령, VPNac, VyprVPN 등)

를 이용하는 것을 권해드립니다.

애플이 ‘Browser Fingerprinting’에 도전하다.

Posted on by
응답

애플은 2018. 6. 4. 미국 캘리포니아에서 개최한 WWDC 2018에서 ‘Browser Fingerprinting‘에 도전장을 내밀었습니다.

여러분이 온라인에 접속하면, 여러분이 사용한 컴퓨터와 기타 기기들은 여러분이 접속한 서버에 여러분의 시스템과 환경설정에 관한 매우 세세한 정보를 제공합니다. 이 정보들은 서버(또는 그 서버 운영자)가 여러분의 컴퓨터 또는 장치를 인식하고 추적하는데 사용됩니다. 그리고 Browser Fingerprinting은 여러분의 온라인상의 활동을 추적하는데 매우 효과적입니다.

Browser Fingerprinting에 사용되는(즉, 여러분의 브라우저가 서버에 제공하는) 정보는 대략 아래와 같습니다.

• the User agent header

• the Accept header

• the Connection header

• the Encoding header

• the Language header

• the list of plugins

• the platform

• the cookies preferences (allowed or not)

• the Do Not Track preferences (yes, no or not communicated)

• the timezone

• the screen resolution and its color depth

• the use of local storage

• the use of session storage

• a picture rendered with the HTML Canvas element

• a picture rendered with WebGL

• the presence of AdBlock

• the list of fonts

서버 운영자는 위 정보들을 이용해서 여러분의 온라인상의 활동을 추적하고, 그 추적된 정보를 바탕으로 여러분들의 취향을 분석해 그 취향에 맞는 온라인 광고를 합니다. 물론, 온라인 광고말도 피싱과 같은 다른 범죄 행위에 사용되기도 합니다.

현재까지 Browser Fingerfinting에 대한 그나마 가장 확실한 대처법은 Tor Browser를 사용하는 것이었는데, Tor Browser는 기본값이 Tor 네트워크에 접속토록하고 있어, 일반 사용자들이 사용하기 위해서는 약간의 설정값 변경절차가 필요했습니다.

그런데 애플은 다음 버전의 macOS, iOS 기기에 탑재되는 Safari Browser에 Browser Fingerprinting을 방지하는 기술을 탑재하겠다고 발표했습니다. 즉, 서버에 ‘단순화된 시스템 프로파일’만을 제공하여, 서버 운영자가 개개인 접속자를 식별하는 것을 방지하겠다는 것입니다.

그 결과 서버 운영자는 여러분을 단지 맥 사용자 정도로 밖에 특정하지 못한다고 합니다. 즉, 아래 사진의 무수히 많은 맥 중 단지 하나로밖에 특정이 안 된다고 합니다.

애플은 지난해 WWDC에서도 추적 광고 차단 기능을 Safari Browser에 기본 탑재한데 이어, 올해도 인터넷 상의 프라이버시 보호를 위한 조치들을 취해가고 있습니다. 평소 ‘VPN + 파이어폭스(설정 수정)’을 통해 Browser Fingerprint에 대응해왔는데, 앞으로는 ‘VPN + Safari‘를 사용해볼 생각입니다.