앞선 글에서 파이브 아이즈의 정의와 관할권별 법률 환경을 정리했습니다. 이 글에서는 실제 VPN 업체가 정부 또는 수사기관으로부터 사용자 데이터를 요구받았을 때 어떻게 대응했는지를 검증된 사례 중심으로 비교합니다.
정보 공개 가능성을 판별하는 4가지 신호
VPN 업체의 사용자 정보 보호 수준을 평가할 때는 다음 4가지를 함께 봐야 합니다.
- 본사 관할권. 파이브 아이즈 외부일수록 강제 정보 제공 위험이 낮습니다.
- 서버 운영 방식. RAM 전용이면 압수 수색 시에도 회수할 데이터 자체가 없습니다.
- 외부 감사 이력. 무로그 정책이 실제로 검증된 적이 있는지 여부입니다.
- 실제 대응 이력. 과거 정부 요청을 어떻게 처리했는지가 가장 강력한 신호입니다.
1. NordVPN, 파나마 본사와 외부 감사 완료
관할권
파나마는 5/9/14 Eyes 어디에도 속하지 않으며, 의무적 데이터 보유 법률이 없습니다. 외국 정부의 사용자 데이터 요청에 응할 법적 의무가 없는 환경입니다.
대응 이력
- PricewaterhouseCoopers(PwC) AG에 의해 두 차례 무로그 정책 감사 완료(2018년, 2020년)
- 2018년 핀란드 데이터센터의 단일 서버에서 침입 시도가 있었으나, 서버가 사용자 활동 로그를 보관하지 않아 유출된 데이터는 없었음. 회사가 사고를 공개적으로 인정하고 RAM 전용 서버 전환을 가속화함
- 투명성 보고서 정기 발행으로 받은 데이터 요청 건수를 공개
- RAM 전용 서버(코로커터 인프라) 전환 완료
평가
관할권, 서버 정책, 외부 감사, 실제 사고 대응 모두 통과한 사례입니다. 신뢰도 최상위권으로 평가됩니다.
2. Surfshark, 네덜란드 본사를 기술로 보완
관할권
네덜란드는 9 Eyes 회원국으로, 잠재적으로 정부 요청 위험이 있는 관할권입니다. 다만 본사 위치만으로 자동으로 위험하다고 볼 수는 없습니다.
대응 이력
- 2018년부터 100% RAM 전용 서버로 전환. 재부팅 시 모든 데이터가 휘발됨
- 독일 사이버보안 기업 Cure53과 회계법인 Deloitte로부터 무로그 정책 감사 완료
- 현재까지 사용자 데이터 강제 제공 사례 없음(투명성 보고서 기준)
- RAM 서버 외에 GPS 기능을 통한 위치 위조, 멀티홉 등 추가 보안 기능 제공
평가
관할권의 약점을 기술적, 제도적으로 보완한 대표적인 사례입니다. 데이터 자체가 서버에 존재하지 않으므로 정부 요청이 들어와도 제공할 정보가 없는 구조를 만들었습니다.
3. ProtonVPN, 스위스 본사와 활동가 사건의 교훈
관할권
스위스는 5/9/14 Eyes 어디에도 속하지 않으며, 강력한 연방 데이터 보호법을 운영합니다. 외부 정보 협력 압력이 가장 적은 관할권 중 하나입니다.
대응 이력
- 2021년 프랑스 기후 활동가가 같은 모회사의 ProtonMail을 사용한 사건에서, 스위스 법원의 정식 명령에 따라 해당 사용자의 IP 정보를 프랑스 당국에 제공한 사례가 있음. 이는 ProtonVPN이 아닌 ProtonMail의 사례임
- 이 사건 이후 ProtonVPN은 IP 로그를 보관하지 않는다는 정책을 명확히 재공지
- SwissNS GmbH의 무로그 정책 외부 감사 완료
- 오픈소스 클라이언트를 공개해 코드 검증이 가능
- 무료 플랜도 광고 없이 제공해 사용자 데이터 판매와 무관함을 입증
평가
관할권은 우수하나, 같은 모회사의 ProtonMail 사건은 스위스 법원의 정식 명령은 거부할 수 없다는 한계를 보여줍니다. VPN 자체는 IP 로그를 보관하지 않아 같은 사례가 재발할 가능성은 낮습니다.
4. ExpressVPN, 터키 서버 압수 사건으로 검증된 무로그
관할권
영국령 버진제도(BVI)는 영국 본토 법률이 적용되지 않는 독립 사법권으로, 파이브 아이즈 외부에 해당합니다. 의무적 데이터 보유 법률이 없습니다.
대응 이력
- 2017년 터키 정부가 자국 내 ExpressVPN 서버를 압수한 사건에서, 서버 디스크에 사용자 활동 로그가 전혀 없음이 공식 확인됨. 정부 수사관이 빈손으로 철수한 보기 드문 사례
- 이 사건 이후 TrustedServer 기술을 도입해 모든 서버가 RAM에서만 동작하도록 변경
- PwC와 KPMG에 의해 무로그 정책 감사 완료
- 2019년 모회사 Kape Technologies(이스라엘 기반)에 인수된 점은 일부 사용자에게 우려 요인으로 작용. Kape는 과거 광고 소프트웨어 사업 이력이 있음
평가
실제 압수 사례에서 무로그가 검증된 흔치 않은 업체입니다. 모회사 인수 이슈는 별도로 평가가 필요하지만, 기술적 무로그 자체는 가장 강력하게 입증된 사례 중 하나입니다.
5. Mullvad, 익명 가입으로 정면 돌파한 스웨덴 업체
관할권
스웨덴은 14 Eyes 회원국이지만, Mullvad는 다른 방식으로 사용자 보호를 극대화한 사례입니다.
대응 이력
- 2023년 스웨덴 당국이 본사를 압수 수색했으나, 보관된 사용자 데이터가 전혀 없어 빈손으로 철수한 사례. 회사가 블로그로 공개
- 가입 시 이메일이나 전화번호, 신원 정보를 일체 요구하지 않음. 무작위 계정번호만 발급
- 현금과 암호화폐(모네로, 비트코인) 결제 지원으로 결제 단계에서도 익명성 유지
- Assured AB, Cure53 외부 보안 감사 완료
- 일정 요금제(월 5유로 고정) 정책으로 마케팅 비용 최소화
평가
관할권의 약점을 처음부터 사용자 정보를 받지 않는 방식으로 정면 돌파한 사례입니다. 데이터가 없으면 강제할 것도 없다는 원칙을 가장 철저하게 구현한 업체입니다.
5개 VPN 종합 비교
| VPN | 본사 관할권 | 실제 검증 사례 | 외부 감사 | RAM 서버 |
|---|---|---|---|---|
| NordVPN | 파나마 (외부) | 2018 침입 시 무유출 | PwC 2회 | 가능 |
| Surfshark | 네덜란드 (9E) | 제공 사례 없음 | Cure53, Deloitte | 가능 |
| ProtonVPN | 스위스 (외부) | VPN 자체 사례 없음 | SwissNS | 일부 |
| ExpressVPN | BVI (외부) | 2017 터키 압수 시 무유출 | PwC, KPMG | 가능 (TrustedServer) |
| Mullvad | 스웨덴 (14E) | 2023 압수 시 무유출 | Assured, Cure53 | 가능 |
사용자가 직접 검증하는 방법
VPN 업체의 주장만 믿지 않고 직접 검증하려면 다음 자료를 확인할 수 있습니다.
- 업체 공식 사이트의 투명성 보고서 페이지
- 외부 감사 기관이 발행한 감사 보고서 원문
- VPN 업체가 발행한 워런트 카나리아(Warrant Canary)
- 해당 업체에 대한 언론 보도와 사용자 커뮤니티 리뷰
- 업체 본사 위치와 모회사 정보(회사 등기 자료 등)
자주 묻는 질문
RAM 전용 서버라는 말이 정확히 어떤 의미인가요?
RAM 전용 서버는 모든 데이터를 휘발성 메모리에만 저장하고 디스크에 영구 저장하지 않는 방식을 말합니다. 서버를 재부팅하거나 전원을 끄면 메모리의 모든 정보가 사라집니다. 압수 수색 시에도 회수할 데이터 자체가 존재하지 않습니다.
외부 감사를 받았다는 VPN을 어떻게 신뢰할 수 있나요?
감사 기관의 명성과 감사 보고서의 공개 여부가 핵심입니다. PwC, KPMG, Deloitte, Cure53 같은 글로벌 회계법인이나 보안 전문 기관이 발행한 보고서이고, 해당 보고서 원문을 누구나 다운로드할 수 있다면 신뢰도가 높습니다.
무로그 정책을 100% 신뢰할 수 있나요?
완벽한 보장은 없지만, 위 4가지 신호(관할권, RAM 서버, 외부 감사, 실제 검증 사례)가 모두 충족된다면 사실상 가장 신뢰할 수 있는 수준입니다. 특히 NordVPN, ExpressVPN, Mullvad처럼 실제 압수나 침입 사건에서 무유출이 확인된 경우는 가장 강력한 증거입니다.
저렴한 VPN과 비싼 VPN의 차이가 보안에서 나타나나요?
반드시 가격과 보안이 비례하지는 않습니다. Mullvad는 월 5유로 고정 요금제이지만 보안 수준은 매우 높고, ExpressVPN은 비교적 비싼 가격이지만 보안 수준도 우수합니다. 가격보다는 위의 4가지 신호로 평가하는 것이 정확합니다.
VPN을 바꾸려면 무엇을 확인해야 하나요?
먼저 본사 관할권을 확인하고, 무로그 정책 외부 감사 보고서를 읽어보세요. 그 다음 RAM 전용 서버 운영 여부, 익명 결제 수단 지원, 그리고 30일 환불 정책으로 직접 사용해본 후 결정하는 것이 안전합니다.
결론, 어떻게 선택할까
관할권 하나만으로 안전과 위험을 판단하는 것은 불완전합니다. 위에서 정리한 4가지 신호(관할권, RAM 서버, 외부 감사, 실제 대응 이력)를 함께 봐야 합니다.
- 최고 신뢰도. NordVPN, ExpressVPN, Mullvad. 관할권과 실제 검증 사례 모두 통과
- 높은 신뢰도. Surfshark, ProtonVPN. 보완 장치가 강력하게 갖춰짐
- 회피 권장. 무료 VPN, 외부 감사를 받은 적 없는 업체, 본사 위치를 공개하지 않는 업체
이 시리즈를 통해 정리하고자 한 것은 단 하나입니다. VPN 마케팅 문구가 아니라 검증 가능한 신호로 판단하시기 바랍니다.
NordVPN
파이브 아이즈 외부 관할권에 위치하며 PwC 외부 감사를 두 차례 통과한 무로그 VPN입니다. 최대 10대 동시 연결과 30일 환불 보증을 제공합니다.
NordVPN 최대 73% 할인받기시리즈 다시 보기
- 1편, 파이브 아이즈란 무엇인가
- 2편, 5/9/14 Eyes 관할권 비교
- 3편, VPN 업체별 정보 공개 사례 (현재 글)