vpn

ProtonVPN이 안전한가요? 보안, 프라이버시 및 감사 분석

ProtonVPN이 안전한가요? 독립적 감사 결과, 암호화 프로토콜, 관할권 분석, 킬 스위치 테스트 및 무로그 정책 검증.

VPN.com Editorial Team · ·9 분 읽기

ProtonVPN이 안전한가요? 보안 및 프라이버시 심층 분석

ProtonVPN은 스위스 관할권, 감사된 무로그 정책 및 AES-256-GCM 암호화를 기반으로 88/100 신뢰도 점수를 획득했습니다. 이 서비스는 120개 이상의 국가에 15,000개 이상의 서버를 운영합니다. Securitum의 독립적 감사에서 사용자 활동의 로깅이 없음을 확인했습니다. 스위스 법은 해외 데이터 요청 및 대량 감시에 대한 강력한 프라이버시 보호를 제공합니다.

스위스 관할권과 데이터에 미치는 영향

ProtonVPN은 스위스 제네바에 본사를 둔 Proton AG 산하에서 운영됩니다. 스위스는 5 Eyes, 9 Eyes 및 14 Eyes 감시 동맹 밖에 있습니다. 이러한 구분은 대부분의 마케팅 주장보다 훨씬 더 중요합니다.

스위스 법은 당국이 데이터 공개를 강요하기 전에 유효한 스위스 법원 명령을 요구합니다. 해외 정부 요청은 상호 법적 지원 조약 절차를 거쳐야 합니다. 스위스 법원은 국내 법적 기준을 충족하지 못하는 요청을 거부합니다.

스위스의 연방 데이터 보호법은 전 세계에서 가장 엄격한 프라이버시 프레임워크 중 하나입니다. 이 법은 광범위한 감시를 금지하고 데이터 수집의 상당성을 의무화합니다. ProtonVPN은 현재 스위스 법령에 따라 백도어를 설치하거나 실시간 도청을 수행하도록 강요받을 수 없습니다.

한 가지 중요한 미묘한 차이가 있습니다. 스위스 당국은 유효한 법원 명령 하에 특정 계정에 대해 앞으로부터 로깅을 시작하도록 ProtonVPN을 강요할 수 있습니다. 그러나 ProtonVPN이 수집한 적이 없는 과거 데이터를 요청할 수는 없습니다. 무로그 정책은 소급적 감시가 기술적으로 불가능하다는 의미입니다.

ProtonVPN 감사 이력

ProtonVPN은 수년에 걸쳐 여러 번의 독립적 보안 감사를 거쳐 신뢰할 수 있는 투명성 기록을 구축했습니다.

2019년 SEC Consult는 ProtonVPN의 Windows, macOS 및 Android 애플리케이션을 감사했습니다. 이 감사에서는 낮음에서 중간 심각도로 평가된 여러 취약점을 발견했습니다. Proton은 전체 감사 보고서를 공개하기 전에 보고된 모든 문제를 패치했습니다.

유럽 사이버보안 회사인 Securitum은 2022년에 무로그 정책 감사를 수행했습니다. 감사자들은 ProtonVPN의 서버 인프라를 검토했고 해당 서비스가 검색 활동, 연결 타임스탬프 또는 IP 주소를 저장하지 않음을 확인했습니다. Securitum은 무로그 주장이 실제 서버 구성과 일치함을 발견했습니다.

2023년 Securitum은 Secure Core 서버를 포함한 ProtonVPN의 업데이트된 인프라를 다루는 후속 감사를 수행했습니다. 결과는 이전 결과를 재확인했습니다. 모든 감사 보고서는 독립적 검증을 위해 Proton 웹사이트에 공개되어 있습니다.

Proton은 또한 모든 VPN 클라이언트 애플리케이션을 오픈소스화했습니다. 이를 통해 모든 보안 연구자가 취약점이나 숨겨진 로깅 메커니즘의 코드를 검사할 수 있습니다. 오픈소스 접근 방식은 정기적 감사 이상으로 영구적인 책임성 계층을 추가합니다.

ProtonVPN 무로그 정책: 정확히 무엇이 저장되는가

ProtonVPN의 개인정보 보호정책은 서비스가 수집하는 것과 하지 않는 것을 지정합니다. “무로그”는 제공자별로 다른 의미를 가지기 때문에 이 구분은 중요합니다.

수집하지 않음: 검색 기록, DNS 쿼리, 트래픽 콘텐츠, 연결 타임스탬프, 세션 지속 시간, 소스 IP 주소 또는 할당된 VPN IP 주소. ProtonVPN은 어떤 상황에서도 이러한 데이터 포인트를 저장하지 않습니다.

수집함: 이메일 주소 및 결제 정보를 포함한 계정 생성 데이터. ProtonVPN은 마지막 성공적인 로그인 시도의 타임스탐프도 저장합니다. 이 단일 타임스탬프는 각 새 로그인으로 덮어씌워지므로 과거 로그인 기록이 누적되지 않습니다.

타임스탐프는 순전히 계정 간 자격 증명 남용을 방지하기 위해 존재합니다. 연결한 서버, 연결 시간 또는 접근한 내용을 공개할 수 없습니다. 이 접근 방식은 최소한의 계정 보안 요구와 최대 프라이버시 사이의 균형을 맞춥니다.

ProtonVPN은 제3자를 통해 결제를 처리하고 추가 익명성을 위해 Bitcoin을 수락합니다. 사용자는 익명 ProtonMail 주소와 암호화폐로 등록하여 파일에 본질적으로 정보를 남기지 않을 수 있습니다.

암호화 표준 및 프로토콜 옵션

ProtonVPN은 데이터 채널에 기본적으로 AES-256-GCM 암호화를 사용합니다. 이 암호는 알려진 공격으로 손상되지 않은 상태로 유지됩니다. NSA 자체도 최고 기밀 정보를 보호하기 위해 AES-256을 인증합니다.

이 서비스는 4개의 VPN 프로토콜을 지원합니다. WireGuard는 현대 암호화로 capable 연결에서 400 Mbps를 초과하는 속도를 제공합니다. OpenVPN은 4096비트 RSA 키 교환을 사용하여 UDP 및 TCP 모드 모두에서 실행됩니다. IKEv2/IPSec은 모바일 기기에서 빠른 재연결을 제공합니다. Stealth 프로토콜은 VPN 트래픽을 TLS에 래핑하여 심층 패킷 검사를 우회합니다.

완벽한 전진 보안은 모든 세션에 대해 고유한 암호화 키를 생성합니다. 공격자가 한 세션 키를 손상시키면 모든 과거 및 향후 세션은 보호된 상태로 유지됩니다. ProtonVPN은 지원되는 모든 프로토콜에서 이를 강제합니다.

킬 스위치 동작 및 DNS 유출 보호

ProtonVPN은 데스크톱 애플리케이션에 2가지 킬 스위치 모드를 포함합니다. 표준 킬 스위치는 VPN 연결이 예기치 않게 끊길 때 인터넷 트래픽을 차단합니다. 영구 킬 스위치는 ProtonVPN이 수동으로 연결 해제된 경우에도 모든 비VPN 트래픽을 차단합니다.

영구 킬 스위치는 의도하지 않은 VPN 터널 외부 검색을 완전히 방지합니다. 이 기능은 저널리스트, 활동가 및 단일 노출된 연결이 위험을 초래하는 고감시 환경의 사용자를 대상으로 합니다.

DNS 유출 보호는 모든 DNS 쿼리를 ProtonVPN의 자체 DNS 서버를 통해 라우팅합니다. 이 서비스는 모든 VPN 서버에서 DNS 리졸버를 운영하여 제3자 DNS 관여를 제거합니다. 독립적 테스트 도구는 활성 연결 중에 DNS, IPv6 또는 WebRTC 유출이 없음을 지속적으로 확인합니다.

Android에서 ProtonVPN은 운영 체제의 always-on VPN 및 VPN 없이 연결 차단 기능과 통합됩니다. 이는 앱 자체와 독립적으로 시스템 수준의 킬 스위치 보호를 제공합니다.

과거 보안 사건 및 Proton의 대응

ProtonVPN은 서버 침해 또는 사용자 데이터 노출로 알려진 이력이 없습니다. 최신 정보 기준으로 사용자 트래픽 또는 계정 자격 증명을 손상시킨 확인된 해킹이 없습니다.

2019년 제3자 보안 연구자가 Windows 클라이언트에서 로컬 권한 상승 취약점을 발견했습니다. ProtonVPN은 48시간 내에 보고를 인정했고 같은 주 내에 패치를 출시했습니다. 취약점은 로컬 머신 접근이 필요했으며 야생에서 악용되지 않았습니다.

Proton의 상위 서비스인 ProtonMail은 2021년 고프로필 사건에 직면했습니다. 스위스 당국은 유효한 법원 명령 하에 특정 활동가의 IP 주소를 로깅하도록 ProtonMail을 강제했습니다. ProtonVPN은 스위스 법이 감시 규정에서 VPN 서비스를 이메일과 다르게 취급함을 명확히 했습니다. 이후 회사는 법인을 이동하여 보호를 강화했고 정부 요청을 상세히 기술하는 투명성 보고서를 발표했습니다.

Proton은 이제 수신한 법적 요청 수를 나열하는 연간 투명성 보고서를 발표합니다. 2023년 Proton은 6,000개 이상의 요청을 받았고 법적 검토 후 약 4,000개에 대응했습니다. VPN 사용자의 경우 대응은 파일에만 있는 제한된 계정 데이터를 제공함을 의미하며, 검색 활동은 제공하지 않습니다.

ProtonVPN에만 해당하는 독특한 보안 기능

Secure Core는 트래픽을 출구 서버에 도달하기 전에 스위스, 아이슬란드 및 스웨덴의 강화된 서버를 통해 라우팅합니다. 이 이중 홉 아키텍처는 손상된 출구 서버가 실제 IP 주소를 노출하는 것으로부터 보호합니다. Secure Core 서버는 고보안 데이터 센터에서 Proton이 소유한 전용 하드웨어에서 실행됩니다.

NetShield는 ProtonVPN의 서버에 내장된 DNS 수준 광고, 맬웨어 및 추적기 차단 기능입니다. 악성 도메인을 기기에 도달하기 전에 필터링하여 네트워크 수준에서 위협을 차단합니다. NetShield는 DNS 해석을 통해 필터링이 발생하므로 사용자 데이터를 처리하지 않습니다.

VPN Accelerator는 병렬 연결 기술을 사용하여 장거리 서버 연결에서 속도를 400% 이상 높입니다. 이 기술은 먼 서버에 연결할 때와 관련된 일반적인 속도 저하를 제거합니다.

Tor over VPN은 지정된 서버를 통해 Tor 네트워크에 대한 기본 제공 접근을 제공합니다. 사용자는 Tor 브라우저를 별도로 설치하지 않고도 .onion 사이트에 접근할 수 있습니다. VPN 계층은 ISP가 Tor 사용을 감지하지 못하게 합니다.

ProtonVPN은 또한 Windows, Android 및 Linux에서 분할 터널링을 지원합니다. 이를 통해 사용자는 특정 앱을 VPN 터널 외부로 라우팅하면서 다른 모든 것을 보호할 수 있습니다.

자주 묻는 질문

ProtonVPN이 로그를 유지하나요?

ProtonVPN은 검색 활동, DNS 쿼리, IP 주소 또는 연결 타임스탬프를 로깅하지 않습니다. 저장되는 유일한 데이터는 마지막 성공적인 로그인의 단일 덮어쓰기 타임스탐프입니다. Securitum은 2022년과 2023년에 이 정책을 감사하고 확인했습니다. 오픈소스 코드베이스는 독립적 검증을 허용합니다.

ProtonVPN이 해킹당했나요?

ProtonVPN의 서버 또는 사용자 데이터의 확인된 침해가 발생하지 않았습니다. 2019년 Windows 클라이언트의 로컬 권한 상승 버그는 발견 후 며칠 내에 패치되었습니다. 취약점은 실제 사용자에 대해 악용되지 않았습니다. Proton은 책임감 있는 취약점 공개를 장려하기 위해 버그 바운티 프로그램을 운영합니다.

ProtonVPN이 신뢰할 수 있나요?

ProtonVPN은 관할권, 감사 및 투명성 관행을 기반으로 신뢰 지표에서 88/100을 점수합니다. 스위스 법적 보호, 여러 독립적 감사 및 오픈소스 코드는 검증 가능한 책임성을 생성합니다. Proton은 수신한 모든 정부 요청을 기술하는 연간 투명성 보고서를 발표합니다. 회사의 10년 운영 이력에는 데이터 노출 사건이 없습니다.

ProtonVPN이 제 데이터를 볼 수 있나요?

ProtonVPN은 AES-256-GCM 암호화가 터널 콘텐츠를 보호하기 때문에 검색 데이터를 볼 수 없습니다. 회사의 서버 구성은 트래픽 로그를 디스크에 쓰지 않습니다. Securitum은 인프라 감사 중에 이 아키텍처를 확인했습니다. 법원 명령 하에도 ProtonVPN은 보유한 최소한의 계정 데이터만 제공할 수 있습니다.