가상 사설망은 개인정보를 보호하고 온라인에서 익명을 유지하는 데 정말 유용한 도구입니다. VPN은 암호화된 터널을 사용하여 다른 컴퓨터('엔드포인트'라고 함)를 통해 인터넷 연결을 전달하는 방식으로 작동합니다. 즉, 사용자의 컴퓨터와 엔드포인트 사이에 있는 모든 사람이 사용자가 수행하는 작업을 볼 수 없습니다. 또한 사용자가 컴퓨터가 연결되는 모든 컴퓨터의 엔드포인트로 위장합니다. 간단히 말해서 IP 주소를 숨깁니다.
그러나 최근 Perfect Privacy에서 발견한 많은 VPN 제공업체의 취약점으로 인해 이 마지막 점이 의심스럽습니다. 이 보안 결함으로 인해 VPN을 사용하는 동안 사람들이 익명성을 잃을 수 있습니다. 방법은 다음과 같습니다.
취약점
그렇다면 공격("포트 페일"이라고 함)은 어떻게 작동합니까? 음, 먼저 몇 가지 조건이 충족되어야 합니다.
첫째, VPN 제공자와 공격자는 포트 포워딩을 활성화해야 합니다. 패킷이 네트워크를 통과하는 동안 IP 주소와 포트 번호가 변경되는 곳입니다. 이에 대한 배경 지식은 NAT(Network Address Translation)에 대한 내용을 확인하십시오. 피해자가 포트 포워딩을 활성화하지 않은 경우에도 공격은 계속 작동합니다.
공격자는 또한 자신이 대상으로 하는 VPN 계정이 있어야 하며 사용자가 사용 중인 VPN 끝점의 IP 주소를 알고 있어야 합니다. 이것은 BitTorrent 떼(단일 토렌트에 연결된 모든 피어)를 보거나 IRC를 모니터링하여 찾을 수 있습니다.
그런 다음 공격자는 피해자와 동일한 VPN 엔드포인트에 연결하고 공격자가 제어하는 악성 웹 페이지를 방문하기를 기다립니다. 이것은 종종 웹 서버에서 호스팅되는 이미지 또는 iFrame으로 합법적인 사이트에 웹 페이지를 삽입하여 수행할 수 있습니다. 이를 통해 표적이 된 사람의 실제 IP 주소를 유추할 수 있게 됩니다.
영향을 받은 사람
VPN의 유명 기업 중 일부가 이 취약점의 영향을 받았습니다. 여기에는 Ovpn.to, nVPN 및 PIA(Private Internet Access)가 포함됩니다. 이들 모두는 공개되기 전에 취약점에 대한 정보를 받았고 대중에게 알려지기 전에 수정 사항을 발표할 수 있었습니다. TorrentFreak과의 인터뷰에서 Private Internet Access는 다음과 같이 말했습니다.
<블록 인용>"우리는 VPN 서버 수준에서 방화벽 규칙을 구현하여 클라이언트의 실제 IP 주소에서 전달된 포트에 대한 액세스를 차단했습니다. 수정 사항은 초기 보고 후 12시간 이내에 모든 서버에 배포되었습니다."
PIA는 또한 그들의 노력과 책임감 있는 방식으로 취약점을 공개한 사실을 인정하여 Perfect Privacy에 5,000달러의 버그 현상금을 수여했습니다. 과거에 우리는 취약성 공개의 윤리에 대해 광범위하게 작성했으며 취약성을 야생에 공개하기 전에 공급업체에 알리는 것이 거의 항상 더 나은 방법에 대해 썼습니다.
물론 수천 개의 VPN 제공업체가 있습니다. 일부는 수정 사항을 발표했지만, 그렇지 않은 경우가 더 많을 것입니다.
이것이 중요한 이유
사람들은 다양한 이유로 VPN을 사용합니다. 많은 사람들이 인터넷 TV 사이트에서 지리적 제한을 없애기 위해 이를 사용합니다. 일부는 공용 Wi-Fi 핫스팟을 사용하는 동안 통신을 보호하기 위해 사용합니다. 정부의 검열과 감시를 타파하거나 소송을 당하지 않고 불법적으로 영화와 음악을 다운로드하는 데 사용하는 경우도 있습니다.
후자 범주에 속하는 사람들의 경우 이 취약점의 발견이 큰 관심사가 될 것입니다. 언제나 그렇듯이 유일한 선택은 지갑으로 투표하고 이 취약점을 패치한 것으로 확인된 VPN 제공업체에 가입하는 것입니다.
개인적으로 저는 Private Internet Access의 열렬한 팬이며 주중 아무 때나 추천할 것입니다. 시장에 대한 자세한 내용은 최고의 VPN 서비스 목록을 확인하십시오. 무료 VPN 서비스도 있습니다.
보안 유지
VPN을 사용할 때 개인 정보를 개선하기 위해 할 수 있는 일이 몇 가지 있습니다. 첫째, 익명성을 완전히 훼손할 수 있는 DNS 누출로부터 보호하도록 컴퓨터를 구성할 수 있습니다. 또한 Canvas Fingerprinting 공격을 방어하기 위해 JavaScript(JavaScript란?)를 끄는 것을 고려하십시오. 이것은 브라우징 경험에 부정적인 영향을 미칠 수 있으며 많은 사람들(James Bruce, 최고 웹 책임자 포함)이 이에 대해 조언합니다.
VPN을 사용할 때 개인 정보를 개선하기 위한 다른 전략이 있습니까? 아래 의견에서 그들에 대해 알려주십시오.