ZorroVPN Review

logo-en.png

속도

ZorroVPN은 국내에 전용 서버를 두고 있습니다. 국내 서버에 접속하여 사용해본 결과, 지금까지 사용한 그 어떤 VPN 서비스보다 빠른 속도를 보여주었습니다. 특히, ZorroVPN은 오로지 OpenVPN-265bit 프로토콜을 사용하고, 속도는 더 빠르지만 보안에 취약한 다른 프로토콜들을 사용하지 않는다는 점을 고려할 때, 매우 고무적인 결과입니다. 특히, 아이폰에서 셀룰러, WIFI 가리지 않고 언제나 VPN을 접속 상태로 두어도, 속도와 인터넷 연결에 있어 다른 서비스들 보다 탁월한 성능을 보여주었습니다.

인터페이스

ZorroVPN은 Native Client App를 제공하지 않습니다(ZorroVPN은 현재까지 윈도우 플랫폼에 대한 베타 버전을 제공하고 있을 뿐입니다). 물론, 네트워크 설정에 익숙한 사용자에게 Native Client App 미제공이 문제가 되지는 않습니다. OpenVPN GUI(윈도우), Tunnelblick(Mac) 등 오픈소스 Client App이 있기 때문입니다(그리고 저는 이들 오픈소스 앱이 Navtive App 보다 더 보안성이 좋다고 믿습니다).

하지만 VPN을 처음 사용하는 사람, 1회적인 목적으로 VPN을 사용하려는 사람에게는 초기 설정이 번거로울 수 있습니다.

보안

ZorroVPN은 VPN 체인, Tor 네트워크 사용 기능 등이 있고, 이들 요소들을 사용자의 선호에 따라 자유롭게 설정할 수 있다는 점에서 매우 좋은 보안 기능을 제공한다고 할 수 있습니다.

하지만, ZorroVPN은 동시 접속 기기 수를 5대로 제한하고 있고, 제한 위반 여부를 확인하기 위해서는 사용자의 접속 시간 등 필요한 로그 정보를 수집할 수 밖에 없습니다. 그럼에도 불구하고 이에 관해 ZorroVPN은 자신들은 로그 정보를 수집하지 않는다 주장하고 있습니다. 엄밀히 말하면 거짓말입니다.

그리고 ZorroVPN은 사용자의 이메일 정보를 수집하는데, 접속 로그 정보와 이메일 정보가 결합될 경우 개인 식별이 더욱 용이해질 것 입니다.

총평

접속 기기 제한과 이메일 수집은 거의 대부분의 VPN 서비스 제공자들이 하고 있는 정책입니다. ZorroVPN은 이들 서비스들 중에서는 좋은 속도와 더욱 다양한 보안 기능을 제공하고 있어, 사용자들이 한번쯤 고려해볼 만한 서비스임에는 틀림없습니다.

다만, mullvad와 같이 이메일을 수집하고 않는 보다 더 개인정보 보호에 적합한 서비스도 있음에도 ZorroVPN을 이용한 이유(빠른 속도 외에는)는 없다고 생각합니다.

Don’t use IPVanish!

인터넷에서 가장 활발히 광고 중인 VPN인 IPVanish가 사용자의 로그정보(사용자 이름, 이메일, 접속한 VPN 서버, 원래 IP 주소, 사용자가 VPN 서버에 접속하고 접속을 중단한 날짜와 시간 등)를 미국 국토안보국(Department of Homeland Security, DHS)에 제공한 것으로 드러났습니다(DHS 직원의 진술서).

IPVanish가 DHS에 사용자 로그정보를 제공한 시점은 2016. 6. 9. 입니다. 위 날짜 전후로도 IPVanish는 자신들은 사용자의 로그 정보를 절대 저장하지 않는다고 홈페이지 등에서 거짓 광고를 하였습니다.

문제는 IPVanish 처럼 절대 다수의 VPN 서비스들이 로그정보를 저장하지 않는다고 광고하지만, 사용자는 직접 서비스 제공자가 실제로 로그정보를 저장하지 않는지를 확인할 방법이 없다는 것입니다.

사실 VPN 서버에 접속 가능한 기기의 수를 제한하고 있는 VPN 서비스는 어떤 형태로든 로그정보를 일단 저장하고 있다고 보아야 합니다. 로그정보를 저장하지 않고는 접속 기기 숫자를 확인할 수 없기 때문입니다(VPN 서비스 사용약관을 확인하시고, 접속 기기 숫자를 제한하면서도 ‘No-log policy’라고 주장한다면 십중팔구 거짓말입니다).

따라서 VPN 서비스를 선택하실 때는

  1. 접속 기기 숫자 제한이 없는 서비스를 이용하시거나(가령, Perfect-Privacy),
  2. 솔직하게 로그정보를 저장하고 있음을 인정하고, 그 삭제 방법을 투명하게 공개하는 서비스(가령, VPNac, VyprVPN 등)

를 이용하는 것을 권해드립니다.

애플이 ‘Browser Fingerprinting’에 도전하다.

애플은 2018. 6. 4. 미국 캘리포니아에서 개최한 WWDC 2018에서 ‘Browser Fingerprinting‘에 도전장을 내밀었습니다.

여러분이 온라인에 접속하면, 여러분이 사용한 컴퓨터와 기타 기기들은 여러분이 접속한 서버에 여러분의 시스템과 환경설정에 관한 매우 세세한 정보를 제공합니다. 이 정보들은 서버(또는 그 서버 운영자)가 여러분의 컴퓨터 또는 장치를 인식하고 추적하는데 사용됩니다. 그리고 Browser Fingerprinting은 여러분의 온라인상의 활동을 추적하는데 매우 효과적입니다.

Browser Fingerprinting에 사용되는(즉, 여러분의 브라우저가 서버에 제공하는) 정보는 대략 아래와 같습니다.

• the User agent header

• the Accept header

• the Connection header

• the Encoding header

• the Language header

• the list of plugins

• the platform

• the cookies preferences (allowed or not)

• the Do Not Track preferences (yes, no or not communicated)

• the timezone

• the screen resolution and its color depth

• the use of local storage

• the use of session storage

• a picture rendered with the HTML Canvas element

• a picture rendered with WebGL

• the presence of AdBlock

• the list of fonts

서버 운영자는 위 정보들을 이용해서 여러분의 온라인상의 활동을 추적하고, 그 추적된 정보를 바탕으로 여러분들의 취향을 분석해 그 취향에 맞는 온라인 광고를 합니다. 물론, 온라인 광고말도 피싱과 같은 다른 범죄 행위에 사용되기도 합니다.

현재까지 Browser Fingerfinting에 대한 그나마 가장 확실한 대처법은 Tor Browser를 사용하는 것이었는데, Tor Browser는 기본값이 Tor 네트워크에 접속토록하고 있어, 일반 사용자들이 사용하기 위해서는 약간의 설정값 변경절차가 필요했습니다.

그런데 애플은 다음 버전의 macOS, iOS 기기에 탑재되는 Safari Browser에 Browser Fingerprinting을 방지하는 기술을 탑재하겠다고 발표했습니다. 즉, 서버에 ‘단순화된 시스템 프로파일’만을 제공하여, 서버 운영자가 개개인 접속자를 식별하는 것을 방지하겠다는 것입니다.

그 결과 서버 운영자는 여러분을 단지 맥 사용자 정도로 밖에 특정하지 못한다고 합니다. 즉, 아래 사진의 무수히 많은 맥 중 단지 하나로밖에 특정이 안 된다고 합니다.


애플은 지난해 WWDC에서도 추적 광고 차단 기능을 Safari Browser에 기본 탑재한데 이어, 올해도 인터넷 상의 프라이버시 보호를 위한 조치들을 취해가고 있습니다. 평소 ‘VPN + 파이어폭스(설정 수정)’을 통해 Browser Fingerprint에 대응해왔는데, 앞으로는 ‘VPN + Safari‘를 사용해볼 생각입니다.

미국 DHS는 악의적인 휴대전화 추적 장치가 사용되고 있음을 인정했다.

NSA의 프리즘 등 감시시스템, CIA의 ‘Year Zero(Vault 7)’에 이어 이번에는 StingRay 입니다.

DHS(Department of Homeland Security)는 미국 상원 의원의 질의에 대한 답변(DHS-response-to-Wyden-3-26-18)에서 휴대전화 추적 장치가 워싱턴 시에서 사용되고 있음을 인지했다고 밝혔습니다. 이 추적 장치들이들 이 분야의 유명한 브랜드인 StingRay를 빌려 StingRay라고 통칭되고 있습니다.

StingRay는 가짜 기지국 처럼 동작하는데, 이를 통해 ① 휴대전화 위치를 추적하고, ② 경우에 따라서는 통신을 2G로 다운그래이드시켜 통신의 암화화를 해제시키며, ③ Malware를 심어 놓기도 합니다.

 

그리고 StingRay는 대사관이 치외법권 지역이라는 것을 이용하여 각국의 수도에 위치한 대사관에 설치되어 있다고 합니다(CBS 기사). 국내로 치면 아마 서울 광화문에 있는 미국 대사관에 StingRay가 설치되어 있을 가능성이 높고, StingRay의 성능에 따라서는 1마일(약 1.6km) 반영의 통신을 도청할 수 있다고 합니다.

StingRay에 대한 해결책은 종단 간 암호화 기술이 적용된 통신 서비스를 이용하는 것입니다. 가령 Signal이 이에 해당합니다.

영화에서나 보던 스파이 기술들이 속속들이 세상의 조명을 받고 있습니다.