VPN이란 무엇이며 터널링은 어떻게 동작하는가

 

 

출처: ConceptDraw

 

카페에서 노트북을 켜고 공용 와이파이에 접속할 때, 어딘가 찜찜함을 느낀 경험이 있을 것이다. 은행 앱을 여는 순간은 더 불안하다. 누군가 같은 네트워크 위에서 내 트래픽을 들여다보고 있을지 모른다는 의심, 한 번쯤은 누구나 해봤을 법한 감각이다. 이런 불안을 해소해주겠다고 광고하는 기술이 바로 VPN이다. 다만 막상 "VPN이란 무엇인가"라는 질문을 받으면 제대로 답하는 사람은 의외로 드물다.

 

특히 VPN 터널링이라는 용어는 더 혼란스럽다. 광고에는 등장하지만 정작 무엇이 터널이라는 것인지, 패킷이 어떻게 흘러가는 것인지 그림이 잘 그려지지 않는다. 이 글에서는 VPN의 개념부터 터널링의 실체, 캡슐화와 암호화의 차이, 그리고 2025년 기준으로 선택해야 할 프로토콜까지를 정리한다. 광고성 수식은 걷어내고 개념만 깔끔하게 다룬다.

 

VPN을 한 문장으로 정의하면 무엇인가

 

VPN은 Virtual Private Network의 약자로, 한국어로는 가상사설망이다. 한 문장으로 표현하면 "공용 인터넷 위에 가상의 사설망을 덮어씌우는 기술" 이다. 다만 이 정의만으로는 감이 잡히지 않으므로 풀어서 살펴본다.

 

원래 네트워크는 크게 두 종류로 나뉜다. 하나는 사설망(LAN)이다. 집이나 회사 내부에서만 순환하는 네트워크로, 공유기 뒤의 기기들이 192.168.x.x 같은 사설 IP로 통신하는 형태다. 외부에서는 접근할 수 없다. 다른 하나는 공용망, 즉 인터넷이다. 전 세계에 뚫려 있으며 누구나 접근 가능하다.

 

문제는 사설망의 안전함을 유지하면서도, 물리적으로 떨어진 두 지점(집-회사, 혹은 카페-회사)을 하나로 묶고 싶을 때 발생한다. 회사 사내망 자료를 카페에서 열람하고 싶다고 해서 카페에 LAN 선을 직접 포설할 수는 없기 때문이다. 여기서 등장한 발상이 "이미 깔려 있는 인터넷을 빌려 쓰되, 그 위에 가상의 사설망을 한 겹 더 얹자"는 아이디어다. 이것이 VPN의 본질이다.

 

VPN의 정의: 공용 인터넷 위에 마치 사설망처럼 동작하는 가상의 통로를 만드는 기술이다. 이 통로 내부에서 오가는 데이터는 외부에서 보이지 않으며, 두 기기는 같은 LAN에 속한 것처럼 통신한다.

 

집에서 회사 PC에 원격 접속할 때, 해외 출장 중에 한국 사내 시스템에 진입할 때, 카페에서 안전하게 업무를 처리할 때 — 모두 동일한 원리가 적용된다. 그리고 이 "가상의 통로"를 만들기 위해 사용되는 핵심 기술이 바로 터널링이다.

 

터널링이란 정확히 무엇인가

 

터널링(Tunneling)은 VPN의 심장과도 같은 기술이다. VPN 터널링이라는 용어가 따로 통용되는 이유는, 이것이 곧 VPN이 동작하는 방식 그 자체이기 때문이다. 다만 "터널처럼 통과시킨다"는 비유는 지나치게 추상적이어서 실감이 나지 않는다. 그러므로 조금 더 구체적인 비유를 사용한다.

 

"택배 박스 안에 박스를 하나 더 넣는다"는 비유

 

어떤 사람이 친구에게 편지를 보낸다고 가정한다. 편지 내용을 우체국 직원이 보지 않기를 바란다. 그래서 편지를 봉투에 넣고, 그 봉투를 다시 더 큰 택배 박스에 담는다. 바깥 박스에는 "내 주소 → 중간 보관소 주소"만 기재한다. 중간 보관소에 도착하면 그곳에서 박스를 열고 안쪽 봉투를 꺼내 진짜 친구에게 전달한다.

 

이것이 정확히 터널링이다. 조금 더 기술적으로 옮기면 다음과 같다.

 

• 원래 보내려던 데이터(안쪽 편지) = 원본 패킷(IP 헤더 + 페이로드)
• 그 패킷 전체를 또 다른 패킷(바깥 박스) 안에 집어넣는 행위 = 캡슐화(Encapsulation)
• 바깥 패킷의 헤더에는 "내 IP → VPN 서버 IP"만 기재된다
• 중간에 누군가 패킷을 가로채도 바깥 헤더만 보일 뿐, 안쪽의 실제 목적지는 드러나지 않는다
• VPN 서버가 이를 수신하면 바깥 껍데기를 벗기고(역캡슐화) 안쪽 패킷을 꺼내 실제 목적지로 전달한다

 

그래서 "터널"이라는 이름이 붙는다. 인터넷 위의 수많은 라우터와 중간 노드들이 패킷을 들여다보지만, 안쪽 패킷은 누구도 볼 수 없다. 마치 터널을 뚫고 그 내부로만 데이터가 지나가는 것처럼 느껴진다. 실제로는 동일한 인터넷 회선을 공유하지만 논리적으로만 분리된 통로가 형성되는 것이다. VPN 터널링의 공식 표준은 IETF RFC 문서에 정리되어 있으며, 그 핵심이 바로 이 캡슐화다.

 

캡슐화와 암호화는 전혀 다른 개념이다

 

이 지점이 특히 중요하다. 국내 자료 상당수가 이를 뭉뚱그려 "VPN은 암호화한다"로만 서술하는데, 정확한 표현이 아니다. 캡슐화와 암호화는 별개의 개념이다.

 

• 캡슐화: 포장 행위다. 패킷을 다른 패킷 안에 넣는 작업이며, 내용물을 은닉하지는 않는다.
• 암호화: 내용물을 판독 불가능한 형태로 치환하는 작업이다. 키가 없으면 해독할 수 없다.

 

터널링 자체는 캡슐화다. 즉 포장에 해당한다. 만약 캡슐화만 수행하고 암호화를 생략하면 어떻게 될까? 누군가 안쪽 박스를 열어보면 실제 편지 내용이 그대로 노출된다. 보안 측면에서 의미가 사라진다.

 

PPTP라는 구세대 VPN 프로토콜이 몰락한 이유도 여기에 있다. 캡슐화는 정상적으로 구현했으나 암호화 부분이 허술해 키가 손쉽게 깨져버렸다(MS-CHAPv2 크랙 사례 참고). 결국 터널은 만들어졌지만 그 안에서 오가는 내용은 전부 노출되었다. 그래서 현대의 VPN 터널링은 거의 언제나 "캡슐화 + 강력한 암호화"를 함께 수행한다. 둘 중 하나라도 빠지면 반쪽짜리에 불과하다.

 

이 차이를 이해하면 어떤 VPN이 안전하고 어떤 VPN이 위험한지 판별할 수 있다.

 

VPN이 실제로 동작하는 과정 단계별 분석

 

원리를 살펴보았으니 이제 실제로 클릭 한 번에 내부에서 무슨 일이 일어나는지 확인한다. 카페에서 노트북을 켜고 NordVPN 같은 클라이언트를 실행하는 순간부터 순차적으로 전개되는 흐름이다.

 

 

출처: template.net

 

1. 클라이언트 → VPN 서버 연결 요청: 노트북(클라이언트)이 VPN 서버에 "접속을 개시한다"는 신호를 전송한다. 이 시점까지는 여전히 일반 인터넷을 경유한다.
2. 핸드셰이크 / 인증: VPN 서버가 "정당한 사용자가 맞는가"를 확인하는 절차다. TLS, IKE 같은 프로토콜이 이 단계에서 동작한다. ID/비밀번호 또는 인증서를 검증한다. 동시에 "어떤 암호화 방식을 사용할지"를 상호 협상한다.
3. 세션 키 교환: 양측의 인증이 완료되면 이번 통신에만 사용할 일회용 암호 키를 생성해 공유한다. 이때 디피-헬만(Diffie-Hellman) 같은 키 교환 알고리즘이 사용된다. 이 키는 세션이 종료되면 폐기된다. 그 결과, 누군가 트래픽을 저장해두었다가 나중에 복호화를 시도해도 불가능하다(이를 PFS, Perfect Forward Secrecy라 한다).
4. 터널 형성: 이 시점부터 송신되는 모든 패킷은 캡슐화와 암호화를 거쳐 VPN 서버로 향한다. 카페 와이파이 운영자가 트래픽을 관찰해도 "VPN 서버와 통신 중"이라는 사실까지만 파악 가능하다. 어떤 사이트에 접속하는지, 어떤 내용을 송신하는지는 확인할 수 없다.
5. VPN 서버가 껍데기를 제거하고 실제 목적지로 포워딩한다: VPN 서버는 사용자를 대신해 인터넷으로 나가 네이버에 접속하고, 유튜브를 재생하며, 회사 서버에 진입한다. 외부에서 보면 해당 트래픽의 출발지는 사용자가 아니라 VPN 서버다. 그래서 IP 주소가 바뀐 것처럼 보이는 것이다.
6. 응답은 역순으로 전달된다: 네이버가 응답하면 VPN 서버가 이를 받아 다시 캡슐화 및 암호화를 수행해 사용자에게 전송한다. 노트북은 이를 수신하여 껍데기를 벗기고 안쪽 데이터를 추출한다.

 

이 과정이 한 번 발생한 뒤에는 매 패킷마다 1~6단계가 반복되는 것이 아니라, 생성된 터널을 지속적으로 재사용한다. 키가 일정 주기로 갱신되기는 하지만 매번 수행되는 것은 아니다. 따라서 최초 연결 시에만 다소 지연이 발생하고, 그 이후로는 빠르게 동작한다.

 

VPN 프로토콜 총정리 (핵심 파트)

 

지금까지 "VPN이 어떻게 동작하는가"를 살펴보았다. 다만 VPN을 구현하는 방식, 즉 VPN 터널링 프로토콜은 여러 종류가 존재한다. 시대별로 등장과 퇴장을 반복해왔으며, 2025년 기준으로 정리하면 다음과 같다.

 

프로토콜	등장 시기	보안 수준	속도	2025년 기준 권장 여부
PPTP	1996년	매우 낮음(완전 붕괴)	빠름	절대 사용 금지
L2TP/IPsec	2000년대 초	중간	중간	호환성 목적일 때만
IPsec / IKEv2	2000년대	높음	빠름	기업 환경 권장
OpenVPN	2001년~	높음	중간	검증된 안전 옵션
WireGuard	2019년~	높음	매우 빠름	신규 구축 시 최우선
SSL/TLS VPN	2000년대~	높음	중간	웹 기반 원격 접속용

 

PPTP는 왜 퇴출되었는가

 

마이크로소프트가 1990년대에 개발했다. 한때 윈도우에 기본 탑재되어 광범위하게 사용되었다. 다만 인증 방식인 MS-CHAPv2가 2012년에 완전히 깨지면서 상황이 달라졌다. 클라우드 GPU 한 대를 임대하면 24시간 이내에 키를 추출할 수 있다. 그 이후 보안 업계는 사실상 사망 선고를 내렸다. 아직도 일부 가이드에서 PPTP를 "이런 방식도 있다"고 소개하는 경우가 있으나, 운영 환경에서는 결코 사용해서는 안 된다.

 

WireGuard가 각광받는 이유는 무엇인가

 

WireGuard는 2019년 리눅스 커널에 정식 병합된 신생 프로토콜이다. 왜일까? 그 답은 코드량에서 찾을 수 있다.

 

• OpenVPN: 약 40만 줄 규모
• WireGuard: 약 4천 줄 규모

 

코드량이 100배 적다는 사실은 보안 감사가 100배 수월하다는 의미다. 버그가 잠복할 여지도 적다. 여기에 더해 최신 암호 알고리즘(ChaCha20, Poly1305, Curve25519)을 처음부터 내장해 협상할 대상이 없다. 빠르고, 작고, 단순하다. 공식 명세는 WireGuard 홈페이지에 전부 공개되어 있다. 단점을 꼽자면 동적 IP 환경에서 다소 까다롭다는 정도다. 그럼에도 NordVPN, Mullvad, ProtonVPN 같은 상용 서비스들이 WireGuard 기반의 자체 프로토콜로 속속 전환하는 추세다.

 

IPsec / IKEv2가 기업 환경에서 선호되는 이유

 

IPsec은 1990년대부터 IETF에서 정식으로 표준화된 프로토콜 집합이다. 라우터, 방화벽, 운영체제 거의 모두가 이를 지원한다. 특히 IKEv2와 함께 사용하면 모바일 환경에서도 안정적이다. 스마트폰이 와이파이에서 LTE로 전환되어도 연결이 끊기지 않는다. 그래서 시스코, 주니퍼 같은 기업용 장비는 대부분 IPsec 기반이다. 기존에 운영되던 회사 사내 VPN을 실행해보면 IPsec일 가능성이 높다.

 

회사 VPN과 광고에서 보는 유료 VPN은 같은 것인가

 

이 부분을 혼동하는 사람이 매우 많다. NordVPN, ExpressVPN 광고를 접하면서 "회사에서 사용하는 그 VPN과 동일한 것인가"라는 의문이 생긴다. 결론부터 말하면 기술은 거의 동일하지만 목적이 완전히 다르다. 크게 세 종류로 구분된다.

 

1. 사이트 투 사이트 VPN (Site-to-Site VPN)

 

기업의 본사와 지사를 연결하는 용도다. 서울 본사 라우터와 부산 지사 라우터가 상시 VPN 터널을 유지한다. 직원들은 자신의 PC에 별도의 소프트웨어를 설치할 필요가 없다. 지사에서 본사 서버에 접속하면 라우터가 자동으로 터널을 통해 패킷을 전송한다. 일반적으로 IPsec 기반이다. 한 번 구축해두면 24시간 365일 연결된 상태를 유지한다.

 

2. 리모트 액세스 VPN (Remote Access VPN)

 

재택근무자나 출장 중인 직원이 회사 사내망에 접속할 때 사용한다. 코로나 시기에 누구나 한 번쯤 설치해본 그 회사 VPN 클라이언트가 여기에 해당한다. 클라이언트 프로그램을 PC에 설치하고 사번/비밀번호 또는 인증서로 로그인하면 회사 LAN에 진입한 것과 동일한 상태가 된다. 그래서 사내 그룹웨어와 파일 서버에 접근할 수 있다.

 

3. 소비자 VPN 상품 (Consumer VPN)

 

NordVPN, Surfshark, ExpressVPN, Mullvad 등이 여기에 속한다. 본질은 "사용자를 대신해 인터넷으로 나가주는 서버를 임대하는 것" 이다. 위의 두 유형과 결정적으로 다른 점이 있다. 회사 VPN은 "사내망 안으로 진입하는" 것이 목적이고, 소비자 VPN은 "다른 나라 IP로 인터넷에 접속하는" 것이 목적이다. 방향이 정반대다.

 

기술적으로는 동일하게 터널링과 암호화를 사용하지만, 용도가 다르기 때문에 사용자들이 동일한 대상으로 인식하지 못하는 것이다. 광고에서 "당신의 데이터를 보호한다"고 말하는 것은 카페 와이파이 같은 환경에서의 도청 방지 효과를 가리킨다. 사내망 접속과는 별개의 영역이다.

 

VPN을 사용하면 정말 안전해지는가 — 오해 정리

 

여기는 광고에 휩쓸려 오해하기 쉬운 영역이다. 솔직하게 정리한다.

 

 

출처: UseMyNotes

 

"VPN을 쓰면 해킹당하지 않는다" — 절반만 맞다

 

VPN이 보호하는 구간은 사용자 → VPN 서버 구간이다. 카페 운영자, 통신사, 중간 라우터, 공격자 모두 이 구간에서는 내용을 들여다볼 수 없다. 다만 VPN 서버로부터 실제 목적지(네이버, 구글 등)까지의 구간은 일반 인터넷과 다를 바 없다. HTTPS가 아니라면 그곳에서는 내용이 전부 노출된다.

 

게다가 VPN 서버 그 자체를 신뢰해야 한다. 그 기업이 사용자의 트래픽을 관찰하지 않겠다고 약속하면, 그 약속을 믿는 수밖에 없다. 관찰하려 마음먹으면 전부 볼 수 있다. 그래서 "노 로그(no-log)" 정책을 내세우는 업체들이 많은 것이다. 그것이 실제 사실인지 여부는 외부 감사 결과를 통해 확인해야 한다(Mullvad의 공개 감사 리포트처럼 실제 보고서를 공개하는 업체가 그나마 신뢰할 만하다).

 

무료 VPN의 함정 — 사용자가 상품이 된다

 

"무료 VPN" 광고가 많다. 왜일까? 인프라 운영에는 비용이 드는데 사용자로부터 돈을 받지 않는다면 어디에서 수익을 확보하겠는가? 답은 사용자의 데이터를 판매하거나, 사용자의 회선을 다른 이용자의 출구로 활용하는 것이다. 실제로 그런 일이 벌어진다. Hola VPN이 한때 사용자 회선을 봇넷처럼 대여해 논란을 일으킨 전례가 있다. 광고 삽입과 DNS 조작은 기본이다. 무료는 진정한 의미의 무료가 아니다.

 

진지하게 VPN을 사용할 계획이라면 비용을 지불하고 평판이 검증된 업체를 선택해야 한다. 특정 업체를 추천하지는 않는다(이 글은 광고가 아니다). 직접 외부 감사를 받은 곳인지, 본사 소재지는 어디인지, 로그 정책은 어떠한지를 모두 따져본 뒤 선별해야 한다.

 

넷플릭스 지역 우회는 불법은 아니지만 약관 위반이다

 

VPN으로 IP를 우회해 한국에서 제공되지 않는 콘텐츠를 시청하는 행위는 한국 법 기준으로는 불법이 아니다. 다만 넷플릭스 약관에는 지역 우회 금지 조항이 존재한다. 적발되면 계정이 정지될 수 있다. 그래서 넷플릭스가 VPN IP 대역 차단을 지속적으로 강화하고 있는 것이다. 적발될 경우 책임은 본인에게 귀속된다.

 

VPN을 쓰면 속도가 느려지는 이유

 

이는 어쩔 수 없는 물리적 문제다. 두 가지 요인이 겹친다.

 

• 암호화 오버헤드: 모든 패킷을 암호화/복호화해야 하므로 CPU 부담이 발생한다. 약간의 지연이 수반된다.
• 경로의 증가: 원래 "사용자 → 네이버"로 직행하던 경로가 "사용자 → VPN 서버 → 네이버"로 우회한다. VPN 서버가 미국에 위치한다면 한국 → 미국 → 한국을 왕복해야 한다. 핑이 폭증한다.

 

그래서 빠른 VPN을 사용하려면 한국과 가까운 VPN 서버를 선택해야 한다. 그리고 OpenVPN보다는 WireGuard를 쓰는 편이 빠르다.

 

"VPN을 쓰면 완전히 익명이 된다" — 결코 그렇지 않다

 

DNS 누수, WebRTC 누수, 브라우저 핑거프린팅, VPN 업체 자체 로그, 결제 정보, 트래픽 패턴 분석 등을 통해 충분히 추적이 가능하다. VPN은 "도청 방지" 도구이지 "익명성 보장" 도구가 아니다. 익명성이 반드시 필요하다면 Tor 같은 별도의 도구를 사용해야 한다.

 

결론적으로 VPN을 써야 하는가, 말아야 하는가

 

상황별로 정리한다. 본인의 상황에 맞춰 판단하면 된다.

 

사용해야 하는 경우:

 

• 공공 와이파이에서 업무를 처리할 때: 카페, 공항, 호텔 와이파이는 도청 위험이 높다. 회사 자료를 다룬다면 VPN은 필수다.
• 해외에서 한국 서비스에 접속할 때: 일부 한국 사이트는 해외 IP를 차단한다. 한국 VPN 서버를 경유하면 해결된다. 반대로 한국에서 해외 서비스 우회도 가능하다.
• 회사 사내망 접속: 재택근무 중에 회사 그룹웨어나 사내 깃랩에 접속할 때 필요하다. 선택이 아니라 필수다.
• 검열이 심한 국가에서 인터넷을 사용할 때: 일부 국가는 구글, 페이스북을 차단한다. VPN 없이는 대안이 없다.

 

굳이 쓰지 않아도 되는 경우:

 

• 집에서 광랜으로 유튜브, 넷플릭스만 시청할 때: HTTPS가 적용되어 있고 통신사 회선이다. VPN이 필수적이지 않다. 오히려 속도만 저하된다.
• 모바일 LTE/5G로 일반적인 사용을 할 때: 통신사 망은 공공 와이파이보다 훨씬 안전하다. 일상적인 사용에서는 VPN의 효용이 작다.
• 단지 "다들 쓰니까"라는 이유일 때: 명확한 목적 없이 VPN을 설치하면 속도만 느려지고 비용만 지출된다.

 

VPN은 만능 해법이 아니다. 본인의 상황에 진정으로 필요한지 먼저 점검한 뒤 결정하면 된다.

 

정리하면 이것이 핵심이다

 

긴 글이었으니 마지막으로 핵심만 다시 요약한다.

 

• VPN = 공용 인터넷 위에 가상의 사설망을 얹는 기술이다. 두 지점을 동일한 LAN처럼 연결한다.
• VPN 터널링 = 패킷을 또 다른 패킷으로 감싸서 전송하는 캡슐화 기술이다. VPN의 핵심 동작 원리다.
• 캡슐화 ≠ 암호화: 캡슐화는 포장, 암호화는 내용 은폐다. 둘이 함께 작동해야 진정한 VPN 터널링이 보안 효과를 발휘한다. 이것이 PPTP가 몰락한 원인이다.
• 2025년 기준 권장 프로토콜: 신규 구축은 WireGuard, 기업/모바일은 IKEv2/IPsec. PPTP는 결코 사용하지 말 것.
• 회사 VPN ≠ 소비자 VPN: 기술은 유사하지만 회사 VPN은 "안으로 진입하기", 소비자 VPN은 "다른 나라로 나가기"가 목적이다. 방향이 정반대다.
• 무료 VPN을 함부로 설치하지 말 것: 사용자 자신이 상품이 된다. 진지하게 사용할 계획이라면 외부 감사를 거친 유료 업체를 선별해야 한다.
• VPN ≠ 익명성: 도청은 차단해주지만 추적은 막지 못한다. 과도한 기대는 금물이다.

 

VPN 광고를 접하며 "그래서 이게 도대체 무엇인가"라고 의문을 품었던 지점이 이제는 어느 정도 정리되었을 것이다. 다음에 누군가 옆에서 "VPN이 좋다더라"라고 말할 때, 한 번쯤 "그런데 터널링이 무엇인지는 알고 쓰는 것인가"라고 되물어볼 수 있다. 이 글이 안전한 인터넷 사용 환경을 조성하는 데 도움이 되었으면 한다.