Surfshark는 안전한가? 보안, 개인정보 보호 및 감사 분석
Surfshark는 안전한가? 독립적인 감사 결과, 암호화 프로토콜, 관할권 분석, 킬 스위치 테스트 및 무로그 정책 검증.
가장 안전한 VPN
Surfshark는 안전한가? 직접적인 평가
Surfshark는 85/100의 신뢰 점수를 획득했습니다. 네덜란드 관할권에서 운영되며, AES-256-GCM 암호화를 사용하고, Deloitte의 독립적인 감사로 검증된 엄격한 무로그 정책을 유지합니다. 100개 이상의 국가에 3,200개 이상의 서버를 보유하고 있으며, 킬 스위치 보호, DNS 유출 방지 및 RAM 전용 서버 인프라를 제공합니다. Surfshark는 대부분의 사용자에게 안전합니다.
관할권 및 데이터 요청의 의미
Surfshark는 2021년 법적 본사를 영국령 버진아일랜드에서 네덜란드로 이전했습니다. 네덜란드는 EU 내에 위치하지만 VPN 제공자에게 특정한 이점을 제공합니다. 네덜란드 법은 VPN 회사에 사용자 데이터 보유를 요구하지 않습니다.
네덜란드는 9 Eyes 정보 공유 동맹에 속합니다. 이는 일부 개인정보 보호 옹호자들의 우려를 초래합니다. 그러나 동맹 멤버십은 제공자가 정부가 요청할 수 있는 데이터를 저장할 경우에만 중요합니다. 검증된 무로그 정책은 이 위험을 완전히 무효화합니다.
네덜란드 당국이 유효한 법적 요청을 발행하면, Surfshark는 보유하고 있는 것만 제출할 수 있습니다. 투명성 보고서에 따르면, Surfshark는 정부 요청을 받았고 데이터 전송 없이 준수했습니다. 회사는 물리적으로 열람 기록, 연결 타임스탬프 또는 IP 주소 로그를 제공할 수 없습니다.
독립적인 감사 이력
Deloitte 무로그 감사
Deloitte는 2023년 Surfshark의 무로그 인프라에 대한 독립적인 감사를 완료했습니다. Big Four 회사는 서버 구성, 배포 프로세스 및 내부 데이터 처리 절차를 검토했습니다. Deloitte는 Surfshark의 인프라가 명시된 무로그 정책과 일치함을 확인했습니다.
이 Surfshark 감사는 동일한 범위를 다루는 2022년 Deloitte의 이전 검토 이후에 수행되었습니다. 두 평가 모두 어떤 서버에서도 사용자 활동 로깅의 증거를 찾지 못했습니다.
Cure53 보안 감사
독일 사이버보안 회사인 Cure53은 2018년 Surfshark의 브라우저 확장을 감시했습니다. 팀은 2개의 치명적, 2개의 높은 심각도 및 2개의 중간 심각도 취약점을 식별했습니다. Surfshark는 감사 보고서가 공개되기 전에 6개 모든 문제를 패치했습니다.
Cure53은 또한 2021년 Surfshark의 서버 인프라에 대한 후속 평가를 수행했습니다. 그 검토는 중요한 취약점을 찾지 못했습니다. 회사는 초기 검토 이후 Surfshark의 보안 태세가 상당히 개선되었다고 지적했습니다.
이러한 감사가 의미하는 것
두 개의 별도 회사가 이제 Surfshark의 개인정보 보호 및 보안 주장을 검증했습니다. Deloitte는 로깅 관행에 중점을 두었고 Cure53은 기술적 방어를 테스트했습니다. 함께, 이러한 감사는 둘 중 하나보다 더 강한 보증을 제공합니다.
로깅 정책 세부 사항
Surfshark의 개인정보 보호 정책은 회사가 수집하는 것과 수집하지 않는 것을 정확히 명시합니다. 이 구분은 어떤 마케팅 주장보다 더 중요합니다.
Surfshark가 저장하지 않는 것
- 열람 기록 또는 트래픽 대상
- VPN에 연결하는 데 사용된 IP 주소
- 연결 또는 연결 해제 시간을 표시하는 세션 타임스탬프
- 네트워크 트래픽 볼륨 또는 대역폭 소비
- 연결된 동안 수행된 DNS 쿼리
Surfshark가 수집하는 것
Surfshark는 계정 관리를 위해 이메일 주소와 암호화된 암호를 저장합니다. 제3자 결제 제공자가 처리한 청구 정보를 수집합니다. 회사는 성능 개선을 위해 익명화된 진단 데이터와 충돌 보고서를 수집합니다.
Surfshark는 또한 집계된 연결 빈도 데이터를 추적합니다. 이는 사용자가 하루에 몇 번 연결하는지 알고 있지만 언제 또는 어디서인지는 알 수 없습니다는 의미입니다. 이 데이터는 개별 열람 세션 또는 방문한 웹사이트를 식별할 수 없습니다.
RAM 전용 서버 인프라
모든 3,200개 이상의 Surfshark 서버는 휘발성 RAM 메모리에서만 실행됩니다. 이는 모든 서버가 재부팅 시 모든 데이터를 자동으로 제거한다는 의미입니다. 물리적 서버 압수도 사용 가능한 정보를 생성하지 않을 것입니다. 이 아키텍처는 Surfshark 무로그 주장을 정책 기반이 아닌 기술적으로 시행 가능하게 만듭니다.
암호화 표준 및 프로토콜
Surfshark는 AES-256-GCM 암호화를 기본 암호로 사용합니다. 이 표준은 전 세계 기밀 정부 통신을 보호합니다. 현재 컴퓨팅 기술로 AES-256을 깨뜨릴 수 있는 알려진 공격은 없습니다.
사용 가능한 프로토콜
| 프로토콜 | 속도 | 보안 수준 | 최적 용도 |
|---|---|---|---|
| WireGuard | 가장 빠름 | 높음 | 일상적인 열람, 스트리밍 |
| OpenVPN UDP | 중간 | 매우 높음 | 최대 호환성 |
| OpenVPN TCP | 느림 | 매우 높음 | 제한적인 네트워크 |
| IKEv2 | 빠름 | 높음 | 모바일 장치 |
WireGuard는 대부분의 Surfshark 앱에서 기본 프로토콜로 사용됩니다. OpenVPN과 비교할 수 있는 보안을 유지하면서 대략 40% 더 빠른 속도를 제공합니다. Surfshark는 정적 IP 할당 주변의 알려진 개인정보 보호 제한을 해결하기 위해 WireGuard 상단에 이중 NAT 시스템을 추가합니다.
OpenVPN은 20년 이상의 추적 기록을 선호하는 사용자를 위해 계속 사용 가능합니다. UDP 및 TCP 변형 모두 데이터 채널 암호화 옆에 4096비트 RSA 핸드셰이크 키를 사용합니다.
킬 스위치 동작 및 DNS 유출 보호
Surfshark는 Windows, macOS, iOS, Android 및 Linux 애플리케이션에 킬 스위치를 포함합니다. VPN 연결이 예기치 않게 끊어지면 기능이 모든 인터넷 트래픽을 차단합니다. 이는 짧은 연결 해제 중에 실제 IP 주소가 유출되는 것을 방지합니다.
킬 스위치는 데스크톱 플랫폼에서 시스템 수준에서 작동합니다. 패킷이 암호화되지 않은 상태로 탈출하기 전에 네트워크 어댑터에서 트래픽을 가로챕니다. 모바일 구현은 OS 제약 조건 내에서 유사한 보호를 달성하기 위해 플랫폼별 API를 사용합니다.
DNS 유출 보호
Surfshark는 네트워크의 모든 서버에서 개인 DNS를 실행합니다. 모든 DNS 쿼리는 Surfshark 제어 리졸버로의 암호화된 터널을 통해 라우팅됩니다. 이는 ISP와 같은 제3자 DNS 제공자로부터의 DNS 유출 위험을 제거합니다.
dnsleaktest.com 및 ipleak.net의 독립적인 테스트는 Surfshark의 모든 프로토콜 옵션에서 일관되게 DNS 유출이 없음을 보여줍니다. IPv6 유출 보호는 기본적으로 활성화되어 IPv4 VPN 터널을 우회할 수 있는 IPv6 트래픽을 차단합니다.
과거 보안 사건
Surfshark는 2025년 초 현재 확인된 데이터 유출 또는 서버 침해를 겪지 않았습니다. Surfshark 인프라와 관련된 공개 유출 데이터베이스에 사용자 데이터가 나타나지 않았습니다.
2020년에 보안 연구원들은 Surfshark의 Windows 애플리케이션의 잠재적 취약점을 지적했습니다. 문제는 이론적으로 권한 상향을 허용할 수 있는 오래된 OpenSSL 라이브러리를 포함했습니다. Surfshark는 공개 후 48시간 이내에 패치를 출시했습니다. 야생에서의 악용은 문서화되지 않았습니다.
2018년의 Cure53 감사는 가장 중요한 취약점 발견을 나타냅니다. 브라우저 확장의 6개 발견은 공개 공개 전에 해결되었습니다. Surfshark는 버그 바운티 프로그램을 조기에 문제를 발견하는 것으로 인정합니다. 회사는 책임 있게 유효한 취약점을 공개하는 외부 연구원에게 지불합니다.
Surfshark 특정 고유 보안 기능
CleanWeb
CleanWeb은 DNS 수준에서 광고, 추적자 및 악성코드 도메인을 차단합니다. 2023년에 사용자 기반 전체에서 10억 개 이상의 추적 시도를 방지했습니다. 기능은 별도의 브라우저 확장 설치 없이 작동합니다.
MultiHop (이중 VPN)
MultiHop은 동시에 서로 다른 국가의 2개 VPN 서버를 통해 트래픽을 라우팅합니다. 이는 두 번째 암호화 계층을 추가하고 트래픽 연관 공격을 상당히 어렵게 만듭니다. 사용자는 사전 설정 서버 쌍에서 선택하거나 사용자 정의 조합을 만들 수 있습니다.
Nexus 기술
Surfshark Nexus는 사용자를 단일 서버가 아닌 전체 서버 네트워크에 연결합니다. 트래픽은 한 서버를 통해 진입하고 SDN 라우팅을 사용하여 다른 서버를 통해 탈출할 수 있습니다. 이는 3,200개 이상의 서버 전체에서 레이턴시를 줄이면서 IP 회전 및 로드 분배를 개선합니다.
Alternative ID
Alternative ID는 사용 가능한 이메일 주소와 온라인 페르소나를 생성합니다. 사용자는 실제 개인 정보를 노출하지 않고 서비스에 등록할 수 있습니다. 이 기능은 연결 수준 개인정보 보호에만 초점을 맞춘 경쟁자와 Surfshark를 분리합니다.
회전 IP
Surfshark는 VPN 세션을 연결 해제하지 않고 5~10분마다 보이는 IP 주소를 변경합니다. 연결이 활성 상태로 유지되면서 디지털 지문이 지속적으로 변합니다. 이는 웹사이트 전체에서 장기 추적을 상당히 어렵게 만듭니다.
자주 묻는 질문
Surfshark가 로그를 유지하는가?
Surfshark는 열람 활동, IP 주소, 연결 타임스탬프 또는 대역폭 사용의 로그를 유지하지 않습니다. Deloitte는 2022년과 2023년 독립적인 감사를 통해 이 주장을 검증했습니다. 회사는 계정 자격 증명 및 익명화된 집계 연결 데이터만 저장합니다.
Surfshark가 해킹당했는가?
Surfshark는 해킹되거나 침해당하지 않았습니다. 2018년의 Cure53 감사는 브라우저 확장의 취약점을 발견했지만 이는 공개 전에 패치되었습니다. 사용자 데이터가 Surfshark의 인프라를 통해 손상된 적이 없습니다. 버그 바운티 프로그램은 잠재적 약점을 사전에 식별하는 데 도움이 됩니다.
Surfshark는 신뢰할 수 있는가?
Surfshark는 Deloitte와 Cure53의 2개 독립적인 감사, RAM 전용 서버 및 정기적인 투명성 보고서를 통해 신뢰를 얻습니다. 85/100의 신뢰 점수는 감사 빈도 개선의 여지가 있는 강력한 기술적 보안을 반영합니다. 30일 환불 보증을 통해 위험 없이 서비스를 테스트할 수 있습니다.
Surfshark가 내 데이터를 볼 수 있는가?
Surfshark는 열람 데이터 또는 연결 세부 사항을 볼 수 없습니다. RAM 전용 서버는 지속적인 데이터 저장을 방지합니다. AES-256 암호화는 전송 중 데이터를 보호합니다. Surfshark 직원도 인프라가 기록하거나 저장하지 않도록 설계되었기 때문에 사용자 트래픽에 접근할 수 없습니다.