VPN 위치 주장과 실제 트래픽 출구 국가가 일치하지 않음

 (ipinfo.io)
5P by GN⁺ 6시간전 | ★ favorite | 댓글 1개
  • 20개 주요 VPN을 분석한 결과, 17개 서비스의 실제 트래픽 출구가 주장된 국가와 달랐음, 다수는 미국이나 유럽의 동일한 데이터센터를 사용
  • 150,000개 이상의 VPN 출구 IP를 측정한 결과, 38개 국가는 ‘가상 전용’ 으로 실제 트래픽이 해당 국가에서 나오지 않았음
  • Mullvad, IVPN, Windscribe만이 모든 국가에서 주장과 실제 위치가 일치했으며, 나머지는 상당한 불일치 존재
  • ‘가상 위치’ 는 VPN이 특정 국가로 표시하지만 실제로는 다른 지역(예: 마이애미, 런던 등)에서 트래픽이 나가는 구조
  • VPN의 국가 수 주장과 실제 물리적 위치 간의 괴리는 투명성과 신뢰 문제로 이어지며, IPinfo는 이를 해결하기 위해 ProbeNet 기반 실측 데이터 접근법을 사용

대규모 VPN 위치 불일치 조사 결과

  • IPinfo는 20개 인기 VPN을 분석해 17개가 실제 트래픽 출구 국가와 다름을 확인
    • 일부 VPN은 100개 이상 국가를 지원한다고 주장하지만, 실제로는 미국·유럽의 소수 데이터센터를 공유
  • 150,000개 출구 IP를 137개 국가 기준으로 측정
    • 38개 국가는 가상 전용으로, 어떤 VPN에서도 실제 트래픽이 해당 국가에서 나오지 않음
    • 3개 VPN만이 모든 주장된 위치를 실제로 확인 가능
    • 8,000건의 IP 위치 오류가 기존 데이터셋에서 발견됨
  • ProbeNet의 측정 결과, 대부분의 VPN이 주장보다 적은 실제 국가 수를 보유

VPN별 실제 측정 결과

  • 각 VPN의 주장 국가 수와 실제 측정된 국가 수를 비교
    • Mullvad, IVPN, Windscribe는 불일치 0%로 완전 일치
    • NordVPN, ExpressVPN, CyberGhost 등은 절반 이상이 가상 또는 측정 불가
  • VPN의 국가 수가 많을수록 불일치 비율이 높았으며, ‘100+ 국가’ 주장은 신뢰하기 어려움

가상 위치(Virtual Location)의 의미

  • VPN이 “바하마”나 “소말리아”를 표시해도 실제 트래픽은 미국 마이애미나 영국 런던에서 나올 수 있음
    • IP 등록 정보도 자가 신고 기반으로 “Country X”로 표시되지만, 실제 네트워크 측정은 다른 국가로 나타남
  • IPinfo의 ProbeNet은 1,200개 이상의 글로벌 측정 지점을 통해 실제 RTT(왕복 지연시간) 기반 위치를 확인
  • 전체 데이터에서 97개 국가가 가상 또는 측정 불가, 그중 38개 국가는 완전히 가상 위치로만 존재

사례 연구: 바하마와 소말리아

  • 바하마: NordVPN, ExpressVPN, PIA, FastVPN, IPVanish 모두 미국에서 트래픽이 측정됨
    • RTT는 마이애미 기준 0.15~0.42ms로 실제 미국 내 서버임을 시사
  • 소말리아: NordVPN과 ProtonVPN이 “Mogadishu”로 표시하지만, 실제 트래픽은 프랑스 니스영국 런던에서 측정
    • RTT 0.33~0.37ms로 유럽 내 서버임이 확인

기존 IP 데이터셋의 오류

  • 기존 IP 데이터 제공자들은 자가 신고 기반 정보를 사용해 VPN의 잘못된 위치를 그대로 따름
  • ProbeNet 측정과 기존 데이터셋 간 736개 VPN 출구 IP 비교 결과:
    • 1,000km 이상 오차 83% , 5,000km 이상 오차 28% , 8,000km 이상 오차 12%
    • 중앙값 오차 약 3,100km
  • ProbeNet은 평균 RTT 0.27ms, 90%가 1ms 이하로 실제 물리적 위치 근접성 확인

신뢰 문제와 기술적 이유

  • 가상 위치 사용의 기술적 이유
    • 규제·감시 위험 회피, 인프라 품질 차이, 비용 절감 및 성능 향상
  • 그러나 신뢰 문제는 다음에서 발생
    • 명시적 공개 부족: “Virtual Bahamas (US-based)”처럼 표시하지 않음
    • 규모 문제: 수십 개 국가가 전부 가상 위치로만 존재
    • 데이터 의존성: 언론, NGO, 보안 시스템 등이 잘못된 위치 정보를 신뢰할 위험

사용자에게 주는 시사점

  • ‘100+ 국가’ 표시는 마케팅 수치로 간주해야 함
    • 17개 VPN에서 97개 국가는 실제 존재하지 않음
  • VPN의 위치 표시 방식 확인 필요: 가상 서버 여부, 실제 호스팅 위치 공개 여부
  • IP 데이터 활용 시 출처 검증 필요: 단순 정확도 수치보다 측정 기반 데이터 여부 확인
  • VPN 사용의 문제라기보다, 투명성과 증거 기반 데이터의 중요성 강조

IPinfo의 측정 기반 접근법

  • 기존 IP 데이터 제공자는 RIR 등록 정보와 자가 신고 데이터에 의존
  • IPinfo는 ProbeNet 기반 실측 방식을 채택
    1. 1,200개 이상 PoP(측정 지점) 운영
    2. RTT 기반 실시간 측정으로 IPv4·IPv6 주소 위치 파악
    3. 증거 기반 지리정보로 실제 인터넷 동작에 근거한 위치 산출
  • 이 접근법은 자가 신고 오류를 줄이고, 실측 데이터 중심의 정확도 확보를 목표로 함

조사 방법론

  • 20개 VPN 제공자의 웹사이트, 설정 파일, API 등에서 6백만 개 이상의 데이터 포인트 수집
  • 각 VPN 위치에 직접 연결해 출구 IP와 RTT 측정
  • VPN이 주장한 국가ProbeNet이 측정한 실제 국가를 비교
  • 명확히 주장된 위치만 분석 대상으로 포함, 모호하거나 측정 불가한 경우 제외
  • 결과적으로 보수적인 기준으로도 높은 불일치율 확인, 느슨한 기준을 적용하면 불일치율은 더 높을 가능성 있음
GN⁺ 6시간전  [-]
Hacker News 의견들

  • 나는 WonderProxy의 공동창업자임. 우리 서비스는 소비자 VPN이 아니라 앱 테스트용이라 리스트에 없었음
    100개국 이상에서 운영 중인데, 이건 정말 골칫거리임. 초창기엔 멕시코나 남미라고 주장하던 공급자들이 실제로는 텍사스에 있던 경우가 많았음
    한때 직접 페루로 서버를 들고 가려 했지만, 현지에서 번 돈에 대해 페루 소득세를 내야 한다는 걸 알고 포기했음
    경쟁사가 중동 지역 서버를 제공한다고 해서 고객이 불평했는데, 조사해보니 독일 서버에서 1ms도 안 되는 거리였음

  • Mullvad에서 일하는 사람들을 여러 명 아는데, 그들은 보안과 프라이버시를 정말 진지하게 다룸. 그래서 이번 결과가 놀랍지 않음

    • 중국의 GFW 뒤에서도 Mullvad, Windscribe, IVPN은 작동했는데, 더 유명한 VPN들은 안 됐음. VPN에도 진짜 VPN이 있는 셈임
    • 기사 보기 전부터 Mullvad가 테스트를 통과할 거라 확신했음
    • Mullvad는 쓸수록 더 마음에 듦. 다른 VPN들은 시간이 갈수록 나빠지는데, 이건 반대임. 암호화폐 지갑 결제로 익명성을 유지할 수 있는 점이 특히 좋음
    • Windscribe와 iVPN도 좋은 평가를 받았지만, 이번 글은 VPN의 허위 마케팅을 지적하는 내용임. VPN이 보안을 크게 강화하진 않지만, 검열 회피나 지역 제한 해제에는 유용함. Psiphon, Lantern, Tor 같은 전용 네트워크가 더 강력하다고 생각함

  • 나는 한 나라의 시민이면서 다른 나라의 거주자라 VPN을 자주 씀. 정부 사이트 접속조차 VPN 없이는 안 됨
    통계청 사이트는 외국 IP로 접속하면 404가 뜨지만 VPN을 켜면 정상 작동함. 선거 방송도 VPN이 필요했음
    세금 신고는 VPN이 차단돼서 꺼야 하지만, 외국 거주 IP는 허용됨
    거주지형 IP를 쓰는 VPN이 있다면 월 30유로도 낼 의향이 있음. 하지만 대부분은 신뢰하기 어려움

    • 친구나 가족에게 Tailscale이 설치된 AppleTV를 두고 나가면, 그걸 exit node로 써서 접속할 수 있음. 나도 그렇게 함
    • 나도 같은 상황이라 TunnelBuddy(https://tunnnelbuddy.net)를 직접 만들었음. WebRTC 기반으로 친구가 비밀번호 한 번만 공유하면 그 집에서 접속하는 것처럼 인터넷을 쓸 수 있음
    • 그 나라에 있는 친구가 있다면 라즈베리파이를 모뎀 뒤에 꽂아두는 것도 방법임
    • 거주지형 IP는 월 정액이 아니라 GB당 과금이라 비쌈. 보통 1GB에 2달러 이상임
    • 그냥 본국의 로밍 SIM 카드를 써서 정부 사이트에 접속하는 것도 방법임

  • 지연 시간(latency) 으로 실제 서버 위치를 추정할 수 있다는 게 흥미로움. 하지만 VPN이 인위적으로 100~300ms 지연을 추가하면 속일 수 있지 않을까?
    예를 들어 74.118.126.204는 소말리아 IP라고 하지만, ipinfo.io는 런던으로 식별함. curl ipinfo.io/74.118.126.204/jsoncurl ipwhois.app/json/74.118.126.204를 비교해보면 됨

    • 핑 시간은 빛의 속도보다 홉 수와 연결 품질에 더 영향을 받는다고 생각함
    • 서버 응답 시간으로 패스워드 해시를 추정할 수도 있듯, 노이즈는 단지 노이즈일 뿐임
    • IPinfo는 여러 지역에서 동시에 핑을 보내 다중측위(multilateration) 로 위치를 계산함. 600개 이상의 프로브 서버를 운영 중이라고 함 (출처)
    • 모든 패킷에 지연을 추가해도 결국 런던이 가장 낮은 지연을 보일 것임
    • 여러 나라에서 핑을 보내면 삼각측량으로 실제 위치를 알아낼 수 있음

  • 대부분의 VPN 제공업체는 실제로 “가상 위치(virtual location) ”임을 공개함. 그래서 완전히 거짓이라고 보긴 어려움
    VPN의 지리적 위치 표시 기준을 어떻게 정해야 할지가 흥미로운 문제임. 실제 서버 위치를 표시해야 할까, 아니면 사용자가 선택한 국가를 보여줘야 할까?
    나는 후자가 유용하다고 봄. 고객이 ‘어디에 있고 싶어 하는지’를 보여주기 때문임
    (참고로 나는 경쟁 서비스 운영자이며, 우리도 VPN이 보고하는 위치를 표시하되 명확히 VPN임을 표시함)

  • ProtonMail로 옮기면서 ProtonVPN을 써봤는데, VPN을 켜면 웹사이트의 절반이 작동하지 않음. 심지어 Hacker News도 VPN을 막음
    사이트들이 VPN 엔드포인트를 알아내는 게 점점 쉬워지고 있는데, 앞으로 VPN이 이를 어떻게 막을 수 있을지 궁금함

    • Apple은 Private Relay를 통해 사이트들이 접속을 허용하도록 압박할 수 있었음. VPN이 대중화되면 결국 사이트들도 받아들일 수밖에 없을 것임
    • VPN과 Tor 사용자가 많아지면 사이트들이 차단하기 어려워짐. 모두가 Tor를 쓰는 세상이 이상적임. 모두가 같아 보이면 차별이 불가능함
    • Reddit은 VPN을 켜면 그림자 차단(shadow ban) 을 시켜버림. 알림도 없어서, 댓글에 아무도 반응하지 않으면 프라이빗 세션으로 프로필을 확인해봐야 함
    • Tor도 마찬가지임. 익명성은 있지만 동시에 눈에 띄는 존재가 됨
    • VPN 사용이 늘면 사이트들이 오히려 손해를 보게 됨. 특히 모바일 사용자는 VPN을 항상 켜두는 경우가 많음
      사이트가 VPN을 차단하면 사용자들은 불편함을 느끼고 떠남.
      모바일 유저 에이전트 위장이 도움이 될 수 있음. SSL과 HTTP 지문도 모바일처럼 맞춰야 함
      무료 티어가 있는 VPN은 피하는 게 좋음. 유료 VPN일수록 IP 평판이 좋음

  • 이번 테스트가 정확히 뭘 한 건지 잘 모르겠음. 주요 VPN 몇 개가 빠진 것도 이상함
    나는 AirVPN을 쓰는데, 내 사용 목적과 가격이 맞아서임
    VPN을 쓰는 이유는 다양함 — 프라이버시, 익명성(비추천), 지역 제한 해제, 토렌트, 검열 회피(GFC)
    마지막이 가장 어려움
    참고 링크: VPN Services Overview

    • 테스트는 VPN의 실제 종료 노드 위치를 확인한 것임. 많은 업체가 IP의 WHOIS 정보만 바꾸고 실제 서버는 다른 나라에 둠

  • 국가 단위 방화벽을 피하려면 exit 노드 위치가 중요하지만, GeoIP 산업 자체가 문제임
    ISP가 RFC8805를 통해 사용자들이 지역 차단을 피하도록 돕는다면 좋겠음

    • CGNAT이 확산되면서 포트 단위 위치 정보가 필요할 수도 있음. 예: 10000~20000번 포트는 뉴욕, 20000~30000번은 보스턴 등
    • OFAC 제재를 겪어본 적 없는 사람의 말처럼 들림. 내 사업은 제재 위반 시 바로 끝남.
      지리적 IP 정보는 이런 위험을 피하기 위한 핵심 도구임
    • DNS의 PTR 레코드처럼 이 정보를 처리할 수 있으면 좋겠음

  • RTT(왕복 지연 시간)만으로 백본 네트워크 지식을 추정하는 건 무리라고 생각함.
    트래픽은 항상 효율적으로 라우팅되지 않으며, 전송 경로는 트래픽 양에 따라 달라짐. 다른 의견이 궁금함

    • 효율적 라우팅을 가정할 필요 없음. 런던에서 1ms 미만의 RTT가 나오면, 물리적으로 영국 밖일 수 없음
      빛의 속도 한계로 0.4ms RTT면 최대 120km 거리임. 이걸로 서버가 주장하는 국가에 없는 걸 확실히 알 수 있음
    • 빛의 속도로 계산하면 0.5ms 미만의 RTT는 측정된 국가가 정확함을 의미함. 광섬유 내 속도는 굴절로 더 느려지므로 오차는 더 줄어듦
    • “세부사항을 놓쳤을지도 모른다”는 말에 대해 — 네, 물리학을 놓친 것 같음. 런던에서 서브밀리초 핑이 나오면 그건 모리셔스가 아님
답변달기