일상 속 인터넷 프라이버시를 보호하는 방법

많은 사이트는 단순히 사용자의 방문 기록이나 관심사 등을 저장하는 쿠키뿐 아니라, 그래픽 카드 사양, 운영 체제, 언어 설정, 배터리 상태, 마우스 움직임 등 다양한 정보를 조합해 사용자를 식별하는 핑거프린팅을 사용하거나, 트래커를 통해 사용자의 웹 활동(방문 사이트, 검색 기록, IP, 이메일, 개인정보 등)을 동의 없이 추적한다. 이렇게 수집된 데이터는 제3자에게 공유되거나 판매되기도 한다.

누군가는 "나는 숨길 것이 없으니 괜찮다"고 생각할지 모른다. 하지만 프라이버시는 숨길 것이 있든 없든 누구에게나 보장되어야 할 기본적인 권리다.

개인 PC 환경에서 실천할 수 있는 프라이버시 보호 방법(브라우저, 광고차단, VPN, 검색 엔진, 이메일 등)을 알아보고, 각 서비스의 장점과 논란점도 함께 분석하였다.

1. 브라우저

많은 사용자들은 기존에 설치되어 있거나 접근성이 좋은 브라우저를 그대로 사용하는 경우가 많다. 그러나 브라우저마다 프라이버시 보호 수준과 데이터 수집 정책에는 큰 차이가 있다. 특히 광고 수익 기반의 일부 브라우저는 사용자 데이터를 핵심 자산으로 삼고, 그 결과 사용자도 모르게 정교한 추적과 프로파일링이 이루어질 수 있다.
이 문단에서는 토르(Tor) 브라우저처럼 익명성에 특화된 강력한 도구도 존재하지만, 일상적인 환경에서 무리 없이 사용할 수 있는 브라우저들을 중심으로 살펴보려고 한다.

1.1. 브레이브(Brave)

브레이브는 2015년 자바스크립트(JavaScript) 창시자이자 모질라/파이어폭스 공동 창립자인 브렌던 아이크(Brendan Eich)와 브라이언 본디(Brian Bondy)에 의해 설립된 Brave Software, Inc.에서 개발되었다.

특징

• Brave Shields: 별도의 설정 없이도 광고(유튜브 광고 포함), 트래커, 서드파티 쿠키, 스크립트, 핑거프린팅 등을 기본적으로 차단해 즉각적인 프라이버시 보호 효과를 제공한다.

• Tor 기반 비공개 창: 선택적으로 Tor 네트워크를 통해 트래픽을 우회하는 Private Window with Tor 기능을 제공하며, .onion 도메인 사이트 접속도 가능하다.

• 빠른 속도와 자원 효율성: 광고 차단 기능 덕분에 불필요한 데이터 다운로드가 줄어들어 대역폭과 데이터를 절약하며, 타 브라우저에 비해 체감 속도도 빠르고, RAM 및 CPU 사용량이 적다.

• Brave Search: 브레이브가 자체 개발한 독립형 검색 엔진으로, 기본 검색 엔진으로 설정돼 있다. 이미지 검색은 부족하지만 문서 및 사이트 검색은 충분히 실용적이다.

• 크로미움(Chromium): 대부분의 웹사이트에서 최적화가 잘 되어있는 크로미움 기반으로 구축 되었으며, 크롬 웹 스토어 확장 프로그램 라이브러리에 접근할 수 있다. 크로미움의 단점인 구글 관련 코드와 추적 요소를 제거하는 등 상당한 수정을 가했다고 한다.

단점 및 논란

• 일부 한국 사이트 접속 불가: 해외 사이트는 원활하게 접속이 가능했지만, 일부 한국 사이트에서는 흰 화면만 표시되며 접속이 되지 않거나 로딩이 심하게 지연되는 경우가 있다. 이는 브레이브 브라우저의 광고 차단 기능이나 브라우저 자체가 감지되어 발생하는 문제로 보인다.
  Chrome User-Agent Spoofer 확장 프로그램을 사용해 User-Agent를 iPhone이나 Opera 브라우저로 변경하면 정상적으로 접속이 가능했는데, 이러한 점으로 미루어 볼 때 일부 한국 사이트들에서 특정 브라우저나 기능을 제한하려는 시도가 있었던 것이 아닐까 하는 의문이 든다.
  물론 정확한 의도는 알 수 없지만, 이런 방식은 사용자 프라이버시를 중시하는 브라우저를 간접적으로 배제하는 결과로 이어질 수 있고, 사용자 입장에서는 일종의 브라우저 차별로 느껴질 수 있다.

• 추천인 링크 삽입 (2020): 사용자가 주소창에 특정 암호화폐 거래소(바이낸스, 코인베이스 등)의 URL을 입력하면 브레이브가 자동으로 자사의 추천인 코드를 URL에 추가하는 행위가 적발되었다(출처).
  이는 개인 정보 보호를 중시하는 브라우저로서 비윤리적이며 신뢰를 저버리는 행위로 간주되었고, 정보 공개 부족으로 불법 소지까지 제기되었다. CEO 브렌던 아이크는 사과하며 "실수"라고 해명했지만, 코드 커밋 내역은 의도성을 시사했다. 이 기능은 제거되거나 선택적으로 변경되었으며, 이 사건은 "BraverBrowser" / "Bold Browser" 포크 시도로 이어졌다.

• VPN 서비스 강제 설치 (2023): 윈도우 환경에서 사용자 동의나 활성화 없이 유료 VPN 서비스("Brave VPN Service") 구성 요소를 설치한 사실이 드러났다(출처). 브레이브는 이를 업데이트 버그와 관련된 의도하지 않은 동작이라고 인정하고 자동 설치된 서비스를 제거하고 재발 방지를 약속했다.

• 암호화폐 기능 과다 탑재(Crypto Bloat): 브레이브에는 Web3 기능(BAT, 이더리움, 솔라나 지갑 등)이 내장돼 있는데, 이에 관심 없는 사용자에게는 불필요한 "블로트웨어"로 여겨질 수 있으며, 복잡성과 보안 위험을 늘릴 수 있다는 지적이 있다.

총평

몇 가지 논란에도 불구하고 브레이브는 크롬이나 엣지보다 우수한 기본 프라이버시 보호 기능을 갖춘 강력한 대안 브라우저다. 복잡한 설정 없이도 기본적인 보호를 원하는 사용자에게 적합하다.

1.2. 파이어폭스(Firefox)

2002년 출시되어 오랜 역사를 가진 파이어폭스는 비영리 단체인 모질라(Mozilla) 재단이 개발한 Gecko 엔진 기반의 오픈소스 웹 브라우저다.

특징

• 비영리 모질라 재단: 파이어폭스의 가장 큰 차별점은 사용자 프라이버시 보호에 대한 강한 의지다. 이는 비영리 단체인 모질라 재단의 사명에서 비롯되며, 사용자 데이터를 기반으로 광고 사업을 운영하는 구글 크롬 등 영리 기업들과는 근본적으로 다른 접근 방식을 취한다.
  특히, Manifest V3 전환으로 광고 차단 확장 프로그램인 uBlock Origin 강제로 삭제시킨 구글 크롬과 달리, 파이어폭스는 설치 직후 uBlock Origin 설치를 권장할 정도로 프라이버시 보호에 적극적이다.

• 개인정보 보호: 향상된 추적 방지, 전체 쿠키 보호, 핑거프린팅 차단 등 강력한 기본 보호 기능이 탑재되어 있다.

단점 및 논란

• 호환성 문제: 일부 웹사이트에서 이미지가 로딩되지 않거나 페이지가 깨지는 등 호환성 문제가 발생할 수 있으며, RAM 누수 문제도 종종 보고된다.

• 구글과의 검색 계약: 파이어폭스는 오랫동안 구글과의 검색 엔진 기본 설정 계약을 통해 수익의 약 85~90%를 의존해 왔다. 이 계약은 파이어폭스 운영의 핵심 재원이지만, 사용자 데이터를 기반으로 광고를 운영하는 구글로부터 재정을 지원받는 구조는 프라이버시를 앞세우는 모질라의 독립성과 모순된다는 지적을 받고 있다.
  실제로 미국 법무부의 구글 반독점 소송에서 모질라는 이 계약이 종료될 경우 파이어폭수 사업 자체가 존폐 위기에 놓일 수 있다고 밝혔다(출처).

• "사용자의 정보를 절대 판매하지 않는다"는 문구 삭제: 2025년 2월 말, 모질라는 파이어폭스 FAQ에서 "사용자의 정보를 절대 판매하지 않는다"는 문구를 삭제해 논란이 일었다(출처).
  이에 대해 모질라는 일부 지역에서 ‘판매’라는 개념의 정의가 법적으로 너무 광범위해 오해를 피하기 위해 삭제한 것이라고 설명했다.
  모질라는 여전히 사용자 데이터를 일반적인 의미에서 판매하지 않으며, 데이터를 공유할 때는 식별 정보를 제거하거나 집계된 형태로 처리하고, OHTTP 등 프라이버시 보호 기술을 사용한다고 밝혔다(출처).
  

총평

파이어폭스는 프라이버시를 중시하는 사용자에게 여전히 의미 있는 선택지다. 비영리 모질라 재단이 개발하고, 강력한 추적 방지 기능과 커스터마이징 가능한 오픈소스 구조를 갖추고 있다는 점은 분명한 장점이다. 특히 uBlock Origin과 같은 프라이버시 보호에 유용한 확장 프로그램을 적극적으로 권장하는 점은 다른 브라우저와의 차별점으로 볼 수 있다.

2. 광고차단

광고는 단순히 상품을 보여주는 것을 넘어, 방문자의 행동을 추적하는 다양한 서드파티 트래커를 포함하고 있다.
이를 통해 이용자에게 맞춤형 광고를 제공한다고 하지만, 더 넓게 보면 이는 감시와 개인 데이터 수집을 정당화하는 수단이 되기도 한다.

2.1. uBlock Origin

uBlock Origin은 가장 널리 사용되는 오픈소스 광고 및 트래커 차단 확장 프로그램으로, 거의 모든 브라우저에서 사용 가능하다. 다른 광고 차단기보다 가볍고 리소스 소모가 적으며, 프라이버시 보호 기능이 더욱 강력하다는 평가를 받고 있다.

특징

• 가볍고 빠른 성능: 광고 차단 필터 목록을 효율적으로 처리하며, 시스템 자원을 적게 사용한다.

• 강력한 필터링: 기본적으로 다양한 필터를 제공하며, 추가로 구성 요소 차단 등으로 사용자 정의 필터를 쉽게 구성 할 수 있다.

• 광고 및 트래커 차단: 웹사이트에 삽입된 광고, 스크립트, 트래킹 픽셀, 악성 URL 등을 효과적으로 차단해 사용자의 웹 활동이 광고 네트워크에 수집되지 않도록 보호한다.

• 완전한 오픈소스: GitHub에 코드가 공개되어 있어, 사용자 커뮤니티의 활발한 검토를 통해 신뢰성과 투명성을 확보하고 있다.

단점

• 모바일 환경 지원의 제약: 안드로이드용 파이어폭스외에는 모바일에서 사용할 수 없기 때문에 모바일에서는 대안으로 브레이브 브라우저나 AdGuard를 사용하자.

• Manifest V3 전환 및 크롬 지원 중단: 크롬은 2025년 3월 3일부터 Manifest V2 확장 프로그램을 비활성화하기 시작했으며, 이로 인해 uBlock Origin의 사용이 중단되고 크롬 웹 스토어에서도 삭제되었다(출처). 대안으로 Manifest V3 기반의 uBlock Origin Lite가 출시 되었지만, 역시 기존 uBO보다 차단 능력이 떨어진다.

3. VPN

아무리 일상적인 용도라 해도, 검증되지 않은 무료 VPN 사용은 권장하지 않는다.

수많은 무료 VPN들은 트래픽, DNS 요청, 타임스탬프, 대역폭, IP 주소 등의 로그를 기록하며, 우리의 개인정보를 수집해 판매하는 경우가 많다.

또한 유료 VPN을 사용하더라도 그 회사들이 개인정보를 다루는 방식과 논란 등을 잘 따져보고 믿을 수 있는 VPN을 사용하는 것이 중요하며, 기본적인 설정도 중요하다. VPN 사용 중에는 IP 유출을 막기 위해 ‘킬스위치’는 반드시 켜야 하며, 믿을 수 있는 브라우저의 사생활 보호 탭을 이용하고, 자주 이용하는 서비스는 로그인하지 않는 것이 좋다.

3.1. 서프샤크(Surfshark)

2018년에 출시된 비교적 신생 VPN인 서프샤크는 공격적인 가격 정책과 간편한 개인정보 보호 기능으로 입지를 다져왔다.
나 역시 샵백 캐시백을 받아 2년 정도 사용했었지만, 현재는 다른 VPN을 사용 중이다.

특징

• 공격적인 가격 정책: 캐시백 사이트인 샵백을 통해 자주 100% 캐시백을 제공하며, 110% 캐시백을 제공했던 적도 있다.

• 다양한 기능: 분할 터널링, 멀티홉, 무제한 동시 연결 등 편의성이 좋은 기능들이 많다.

• 빠른 고객지원: 샵백 캐시백 누락 문제로 환불을 요청했는데, 24시간 라이브 챗으로 빠르게 연결됐고, 짧은 영어로도 신속하게 환불을 받을 수 있었다.

• 노로그 정책과 RAM 서버 운영: 모든 서버가 RAM 전용으로(출처), 하드 드라이브에 영구적으로 데이터가 저장되지 않으며, 노로그 정책을 강조하고 있다(출처).

• 워런트 카나리(warrant canary): 서프샤크는 라이브 "워런트 카나리" 페이지를 운영하여 회사가 받은 모든 데이터 요청(예: DMCA 통지, 정부 요청, 소환장)에 대해 사용자에게 투명하게 알리고 있다(출처).

논란

• 네덜란드로의 본사 이전: 2021년 10월, 서프샤크는 영국령 버진아일랜드에서 ‘나인 아이즈’ 동맹국인 네덜란드로 본사를 이전했다. 이로 인해 정보 공유 협정을 통해 개인정보 보호법의 우회 가능성이 제기되었다. 서프샤크 측은 네덜란드는 데이터 보존 법률이 없는 국가이며, 'Five/Nine/Fourteen Eyes' 그룹은 실제 운영에 영향을 미치지 않는다고 설명했다(출처).

• IP 주소 기록 정책 논란: 노로그 정책을 표방하지만, VPN 연결 시 사용자 ID와 IP 주소가 일시적으로 저장되며 연결 해제 후 15분 내 자동 삭제된다는 점이 논란이 됐다(출처).
  이는 무제한 동시 연결 기능의 악용을 방지하기 위한 조치라고 하지만, 일시적인 기록이 아무리 짧거나 목적이 무엇이든 간에, 연결 관련 메타데이터를 저장하는 것은 진정한 노로그와는 거리가 있다는 지적이 있다.

총평

몇 가지 논란에도 불구하고 서프샤크는 검증 되지 않은 무료 VPN들 보다 강한 개인 정보 보호 서비스를 제공 하며 저렴한 가격과 다양한 기능, 빠른 고객 지원을 갖춘 VPN 서비스로, 입문자나 가성비를 중시하는 사용자에게 적합한 선택지다.

3.2. 노드VPN(NordVPN)

노드VPN은 2012년 리투아니아에서 설립된 VPN 서비스로, 현재는 파나마에 본사를 두고 있다. 서프샤크와 동일한 모회사(Nord Security) 소속이며, 마찬가지로 샵백을 통해 100% 캐시백 자주 진행한다.

특징

• 독자적인 프로토콜: WireGuard 기반의 독점 프로토콜인 NordLynx를 개발하여, 보안을 해치지 않으면서도 빠른 연결 속도를 제공한다.

• 노로그 정책 & 파나마 관할: 노드VPN은 'Five/Nine/Fourteen Eyes' 감시 동맹 국가에 속하지 않은 파나마에 위치해 있으며, 이 나라는 VPN 제공업체에 대한 데이터 보존 의무가 없다. 이는 사용자의 활동을 기록하지 않겠다는 노드VPN의 약속을 법적으로 지킬 수 있는 기반이 된다(출처).

• 풍부한 보안 기능: RAM 전용 서버 운영, Tor Over VPN, Threat Protection Pro™(악성코드/광고 차단), 다크웹 모니터링 등 다양한 프라이버시 보호 기능을 제공한다.

논란

• 테소넷(Tesonet)과의 관계: 2018년경 리투아니아의 IT 기업 테소넷이 노드VPN 운영에 관여하고 있다는 의혹이 제기됐다. 테소넷은 데이터 마이닝과 비즈니스 인텔리전스 분야에서 활동하는 기업으로 알려져 있어, 사용자 데이터 수집 및 판매 가능성에 대한 우려가 커졌다. 이에 대해 노드VPN은 테소넷은 단지 파트너십 관계일 뿐, 독립적으로 운영되고 있으며 사용자 데이터를 절대 수집하거나 판매하지 않는다고 설명했다(출처).

• 2018년 보안 사고: 2019년 10월, 노드VPN은 2018년 3월 핀란드의 제3자 데이터센터에서 단일 서버가 침해됐던 사실을 공개했다. 침해 원인은 해당 센터가 남겨둔 보안이 취약한 원격 관리 시스템이었으며, 노드VPN은 이를 사전에 인지하지 못했다고 밝혔다.
  다행히 엄격한 노로그 정책으로 침해된 서버는 사용자 정보를 저장하지 않았고, 이로인해 해커는 단 하나의 사용자 정보에도 접근 할 수 없었다고 한다. 그러나 사건 발생 후 1년이 지나서야 침해 사실을 통보받고, 공개까지도 수개월이 소요돼 투명성 부족이라는 비판을 받았다. 이후 노드VPN은 해당 데이터센터와 계약을 해지하고, 전 서버를 RAM 전용으로 전환했으며, 독립 보안 감사, 버그 바운티, HSM 도입 등 전반적인 보안 시스템을 대폭 강화했다(출처).

총평

노드VPN은 강력한 보안 기능과 빠른 속도를 갖춘 VPN 서비스로 평가받고 있으며, 파나마 관할이라는 법적 이점과 엄격한 노로그 정책, 다양한 프라이버시 보호 기능은 큰 장점이다.
논란에도 불구하고, 이후의 보안 강화 조치와 투명성 확보 노력은 긍정적으로 평가받고 있으며, 샵백을 통해 구매한다면 좋은 가성비 까지 갖춰 아주 좋은 선택이 될 것 같다.

3.3. 프로톤 VPN(Proton VPN)

프로톤 VPN은 2014년, 인터넷의 발상지인 CERN(유럽 입자 물리 연구소)에서 만난 과학자들이 설립한 프로톤 AG(Proton AG)에서 개발한 스위스 기반 오픈 소스 VPN 서비스다.

특징

• 무료 요금제: 프로톤 VPN의 무료 요금제는 유료 요금제와 동일하게 무제한 대역폭, 광고 없음, 그리고 엄격한 무로그 정책을 제공한다. 무료 요금제는 5개국(네덜란드, 일본, 루마니아, 폴란드, 미국)의 서버 중 랜덤으로 연결 된다.

• 프로톤 생태계: 프로톤 VPN 뿐만아니라 프로톤 메일(종단간 암호화 이메일), 비밀번호 관리 및 무작위 비밀번호 생성에 아주 유용한 프로톤 패스, 프로톤 캘린더, 프로톤 드라이브(암호화 클라우드 스토리지), 프로톤 월렛(암호화폐 지갑)을 포함한 넓은 생태계를 갖추고 있어, 사용자에게 포괄적인 프라이버시 중심의 디지털 환경을 제공한다.

• 노로그 정책 & 스위스 관할: 프로톤 VPN은 세계에서 가장 엄격한 개인정보 보호법과 중립성으로 유명한 스위스에 본사를 두고 있다. 이러한 관할권은 프로톤 VPN이 데이터 로그를 보관할 의무가 없으며, 스위스 형법 제271조에 따라 외국 당국에 사용자 데이터를 직접 넘겨줄 수 없다는 것을 의미한다. 이러한 법적 보호는 프로톤의 개인정보 보호의 초석이 된다(출처).

• 다양한 기능: 무료 요금제도 노로그 및 광고 없음은 기본이고, 유료 요금제는 Secure Core(프라이버시 친화적인 국가 스위스, 아이슬란드, 스웨덴 등에 위치한 자체 서버를 이용한 멀티홉), NetShield(광고, 추적기, 멀웨어 차단), Tor over VPN 등을 갖추고 있다.

논란

• 무료 요금제: 무료 요금제: 무료 VPN 서비스, 특히 무제한 대역폭과 광고 없음까지 제공하는 모델은 많은 사용자에게 “이게 과연 지속 가능할까?” 하는 의문을 품게 만든다. 이에 대해 프로톤 측은 “우리는 온라인 프라이버시가 기본적인 인권이라고 믿습니다.”라는 설립 초기부터의 가치를 강조한다. 특히 이는 단순한 원칙이 아니라, 검열이 심한 국가의 언론인이나 활동가처럼 프라이버시가 생존과 직결되는 사람들, 그리고 전 세계 수백만 명의 사용자들이 온라인에 자유롭게 접근할 수 있도록 하겠다는 목표로 이어진다.
  무료 플랜은 유료 사용자들의 구독 수익으로 운영되며, 유료 플랜 사용자들은 더 많은 기능과 성능을 제공받는 대신, 그 비용 일부가 무료 사용자들의 기본 서비스 유지에 쓰인다.
  이런 구조는 수익성과 사회적 책임을 동시에 추구하는 방식이며, 이는 전 세계의 프라이버시를 의식하는 사용자들에게 깊은 공감을 불러일으켜, 이러한 가치를 공유하는 충성스러운 사용자 기반을 유치하며, 마케팅 측면에서도 효과적인 전략이라 할 수 있다(출처)(출처2).

• 테소넷과의 관계: 설립 초기 데이터 마이닝과 비즈니스 인텔리전스 분야에서 활동한다고 알려진 IT기업 테소넷이 프로톤 운영에 관여하고 있다는 논란이 경쟁사인 Private Internet Access(PIA)에 의해 제기 됐지만, 프로톤 설립자이자 CEO인 앤디 옌(Andy Yen)이 각 주장에 대해 포괄적인 답변을 제공하여 현재는 논란이 수그러든 상태다(출처).

총평

프로톤 VPN은 스위스 법적 보호, 무로그 정책, 투명한 오픈 소스 개발이라는 강력한 기반 위에 구축된 프라이버시 중심적인 VPN 서비스로, 특히 무료 요금제조차 무제한 대역폭, 무광고, 무로그라는 점은 매우 이례적이며, 이는 단순한 마케팅 수단이 아닌 사명 중심의 전략이라는 점에서 많은 신뢰를 얻고 있다. 유료 요금제는 보통 블랙 프라이데이때 70% 까지 할인을 하기 때문에 존버하도록 하자.

3.4. 뮬바드 VPN(Mullvad VPN)

뮬바드 VPN은 2009년 스웨덴에 설립된 오픈 소스 VPN 서비스로, 그 이름은 스웨덴어로 '두더지'를 의미하며, 두더지가 땅속에 숨겨진 터널을 파서 지상의 장애물을 우회하는 것처럼, 뮬바드 VPN은 사용자의 온라인 트래픽을 암호화된 터널을 통해 전송하여 감시와 검열을 회피하는 서비스의 근본적인 목적과 기능을 은유적으로 표현한다.

특징

• 최고 수준의 개인 정보 보호 및 익명성: 뮬바드는 계정 생성 시 이메일이나 이름 등 개인 정보를 요구하지 않고, 무작위로 생성된 16자리 숫자 계정 번호를 사용한다. 또한 현금 및 암호화폐 결제를 지원해 익명성을 극대화하며, 사용자 활동 로그, IP 주소, 대역폭 사용량 등 어떠한 정보도 저장하지 않는 철저한 노로그 정책을 고수한다(출처).

• 투명한 수익 모델: 뮬바드는 타 VPN 서비스들과 다르게 유료 리뷰나 제휴 마케팅을 일절 하지 않으며, 구독 기간과 관계없이 한 달 5유로의 고정 요금을 유지하고 있다. 장기 할인 없이 정가로 운영되는 요금 체계는 투명성과 신뢰를 높이는 요소다(출처).

• 스웨덴 관할권의 안전성 및 RAM 서버 운영: 뮬바드는 스웨덴에 기반을 둔 VPN 제공자로서, 스웨덴 법률은 VPN 제공자에게 사용자 데이터 로깅을 강제하지 않으며, 당국이 비밀리에 데이터 수집을 강요할 수 없다는 점이 뮬바드의 개인 정보 보호 정책에 유리하게 작용한다. 또한, 모든 서버가 RAM 서버로 운영되어, 서버 재부팅 시 모든 데이터가 삭제되므로, 임시적인 연결 데이터조차도 저장되지 않는다(출처).

• 2023년 스웨덴 경찰 압수수색 사건 및 노로그 정책의 입증: 2023년 4월 18일, 스웨덴 경찰청 국가운영국 소속 경찰관들이 뮬바드 본사가 위치한 예테보리 사무실을 압수수색 영장과 함께 방문했다.
  이들은 고객 데이터가 포함된 컴퓨터를 압수하려 하였고, 뮬바드는 자신들의 정책에 따라 시스템에 그러한 데이터가 존재하지 않음을 경찰에게 입증했고, 검찰과의 협의 후 경찰관들은 어떠한 장비나 정보도 압수하지 않고 돌아갔다.
  뮬바드는 이 정보와 관련하여 이틀 후 자신들의 웹사이트 블로그 게시물을 통해 공개 성명을 발표했으며, 이때 당국에 의해 자신들의 사무실이 압수수색을 당한 것은 처음이라고 언급했다.(출처)
  압수수색 9일 후 스웨덴 경찰청이 뮬바드에 보낸 서한에서 독일의 요청으로 현재 진행 중인 수사를 위해 압수수색을 시도했다고 밝혔다. 이 수사는 메클렌부르크포어포메른 주의 여러 기관을 대상으로 한 협박 공격과 관련이 있으며, 이 공격에서 드러난 IP 주소가 뮬바드의 VPN 서비스로 추적되었다(출처).
  이 사례는 뮬바드의 엄격한 노로그 정책이 단순히 주장만이 아니라 실제 운영 환경에서 철저히 지켜지고 있음을 증명한 상징적인 사건으로 평가된다.

단점

개인정보 보호 측면에서 논란은 없었으나, 다음과 같은 기능적 단점이 지적된다.

• 포트 포워딩 지원 중단: 2023년 7월 1일부터 포트 포워딩 기능이 공식적으로 종료됐다(출처). 뮬바드는 해당 기능이 유해 콘텐츠 호스팅이나 악성 서비스 운영 등 불법 행위에 악용되는 사례가 많아, 법 집행 기관의 연락, IP 주소의 블랙리스트 등재, 호스팅 업체로부터 서비스 중단 통보를 반복적으로 받았다고 밝혔다. 이는 대다수 선의의 사용자에게 피해를 주는 상황이었기에, 결국 지원을 중단하게 됐다고 설명한다.

• 상대적으로 적은 서버 네트워크 및 국가 수: 뮬바드는 총 695~760개 서버를 49~63개국에서 운영하고 있어, 수천 개의 서버를 보유한 주요 경쟁사(노드VPN 7,000+, 서프샤크 3,200+, 프로톤 VPN 12,000+)에 비해 네트워크 규모가 상대적으로 작다.

총평

뮬바드는 수익 모델도 깔끔하고 투명하며, 마케팅보다 서비스 자체로 신뢰를 구축하고자 하는 철학은 신뢰 기반의 VPN 서비스를 찾는 이용자에게 큰 매력으로 다가온다. 익명성, 투명성, 기술적 정직성을 중요시하는 사용자에게 뮬바드는 매우 강력한 선택지다.

4. 검색엔진

검색 엔진 또한 프라이버시 보호에 있어 중요한 요소이다. 특히 구글과 같은 대형 플랫폼은 검색어, 클릭 패턴, 위치 정보까지 추적해 사용자 프로파일링에 활용한다. 이는 광고 수익 기반의 비즈니스 모델 때문인데, 최근 들어 프라이버시 보호에 대한 관심이 높아지면서, 데이터 수집을 최소화하거나 아예 하지 않는 대안 검색 엔진들의 수요가 증가하고 있다.

4.1. 덕덕고(DuckDuckGo)

덕덕고는 2008년 9월 25일, 가브리엘 웨인버그(Gabriel Weinberg)에 의해 설립된 오픈소스 기반의 무료 검색 엔진이다. “구글은 당신을 추적합니다. 우리는 추적하지 않습니다.”(“Google tracks you. We don't.")라는 유명한 문구를 내세우며 스스로를 '반 구글'로 포지셔닝하였고, 이로 인해 한국에서도 꽤 알려지게 되었다.

특징

• 추적 없음: 덕덕고의 가장 큰 강점은 사용자 데이터를 수집하거나 프로파일링하지 않는다는 확고한 정책에 있다. 덕덕고는 사용자의 검색 기록, IP 주소 등을 저장하지 않으며, 사용자 프로필을 생성하지도 않는다(출처).

• 꽤 훌륭한 한국어 및 이미지 검색결과: 단어 중심의 한국어 검색과 이미지 검색 결과가 기대 이상으로 정확하다.

단점 및 논란

• 검색 결과의 제한: 많은 검색어가 포함된 복잡한 쿼리에서는 역시 구글보다 검색 품질이 확연히 떨어진다.

• 한국어 줄임말 검색결과의 한계: 줄임말이나 신조어 검색에서는 검색결과가 없거나 부실한 경우가 많다.

• 마이크로소프트(Microsoft)와의 관계: 덕덕고는 검색 결과와 이미지 대부분을 마이크로소프트 빙(Bing)에서 가져온다. 이로 인해 빙의 편향이나 검열 문제가 그대로 반영될 수 있으며, 덕덕고 측은 프록시를 통해 사용자 익명성은 유지된다고 설명했다(출처).

• 마이크로소프트 트래커 논란: 2022년 5월, 보안 연구원 잭 에드워드(Zach Edwards)는 덕덕고의 모바일 브라우저가 구글과 페이스북의 트래커는 차단했지만, 마이크로소프트 트래커 스크립트(특히 Bing 및 LinkedIn 도메인)는 제3자 웹사이트에서 실행되도록 허용했다는 사실을 폭로하였다.
  이는 덕덕고의 강력한 개인정보 보호 주장과 반추적 마케팅을 고려할 때 중대한 발견이었다. 덕덕고의 CEO 가브리엘 웨인버그는 이 문제를 인정하며, "마이크로소프트와의 검색 제휴 계약"으로 인해 마이크로소프트 소유 속성에 대한 트래커를 차단할 수 없었다고 해명하였다(출처).
  그는 이 문제가 검색 엔진 자체가 아닌 브라우저에만 영향을 미치며, 사용자 프로파일링에는 사용되지 않는다고 설명하였지만, 개인정보 보호 커뮤니티 내에서 광범위한 사용자 분노와 신뢰 상실로 이어지게 된다.
  이에 브레이브 CEO 브렌던 아이크를 포함한 비평가들까지 합세하여 이를 수익을 매개로 한 타협(revenue quid pro quo)이라고 비난하며, 덕덕고가 구글의 추적 관행을 공개적으로 비판했던 점을 고려할 때 위선적이라는 비판을 제기하였다.
  결국 2022년 8월, 덕덕고는 브라우저 앱 및 확장 프로그램에서 마이크로소프트 트래커를 차단하기 시작할 것이라고 발표하며 이 문제에 대한 조치를 취했다. 웨인버그는 광고 효과 평가를 위해 프로파일링되지 않는 새로운 시스템으로 전환하고 있으며, 트래커 보호 목록을 공개적으로 이용 가능하게 했다고 밝혔다(출처).

총평

마이크로소프트와의 제휴로 인해 한때 이미지에 타격을 입었지만, 논란을 인정하고 실질적인 조치를 취한 점은 긍정적으로 평가할 수 있겠으며, 사용자 추적을 하지 않는다는 정책과 기본적인 검색 품질을 고려하면, 프라이버시를 중시하는 사용자에게 충분히 매력적인 대안 검색 엔진이다.

4.2. 브레이브 서치(Brave Search)

브레이브 서치는 2021년 6월, 프라이버시 중심 브라우저 ‘브레이브(Brave)’로 잘 알려진 Brave Software, Inc.에서 자체적으로 개발한 검색 엔진이다.

특징

• 개인 데이터 수집 없음: 브레이브 검색은 기본적으로 익명이며, 사용자, 사용자의 장치, 검색 기록 등을 수집 하지 않는다고 한다. 또한, 애초에 수집하는 데이터가 없으므로 공유나 판매, 유출도 불가능하다고 한다(출처).

• 자체 검색 색인: 브레이브는 빙이나 구글에 의존하지 않고 자체 구축한 검색 색인을 사용한다. 이는 검색 결과에 있어 외부 검열이나 알고리즘 편향을 최소화할 수 있는 강점이다.

• 한국어 검색 결과: 단어 기반 검색에서는 한국어 검색 결과가 꽤 만족스러우며, 구글과 유사한 결과를 제공 한다.

논란 및 단점

• 검색 결과의 제한: 덕덕고와 마찬가지로 많은 검색어가 포함된 복잡한 쿼리에서는 구글보다 검색 품질이 확연히 떨어지며, 이미지 검색도 상대적으로 빈약하다.

• 관련 논란은 브레이브 브라우저 문단에 정리: 브레이브 서치 자체에 대한 큰 논란은 없으나, 브레이브 브라우저와 관련 논란은 별도로 다뤘다.

총평

브레이브 서치는 일부 고급 검색 기능이나 이미지 검색의 품질은 아쉬울 수 있지만, 개인정보 보호와 알고리즘 독립성을 우선시하는 사용자에게 훌륭한 대안이다.

4.3. 스타트페이지(StartPage)

2006년 네덜란드에서 설립된 스타트페이지는 구글의 검색 결과를 익명화하여 제공함으로써, 뛰어난 검색 품질과 엄격한 개인정보 보호를 동시에 추구하는 검색 엔진이다.

특징

• 개인 데이터 수집 없음: 스타트페이지의 정책에 따르면, “정보를 수집하지 않으면 손상될 수도, 요구될 수도, 유출될 수도, 남용될 수도 없습니다.”를 강조하며, IP 주소나 검색어 등 어떠한 개인정보도 수집하지 않는다고 한다(출처).

• 익명 구글 검색 결과: 스타트페이지는 구글의 고품질 검색 결과를 제공하면서도, 자체적인 익명화 프로세스를 적용한다. 이 과정은 사용자의 IP 주소 등 개인 정보를 검색 초기에 즉시 제거하는 것으로 시작되며, 이후 식별 정보 없이 검색 결과를 요청하고, 기록이나 프로파일링 없이 결과를 반환하는 방식이다(출처).

• 익명 보기(Anonymous View): 이 기능을 통해 사용자는 검색 결과에 표시된 웹사이트를 클릭하더라도 실제 IP 주소가 노출되지 않으며, 웹사이트 접속 시에도 추적을 방지할 수 있다.

논란

• System1 인수: 2019년 10월, 광고 기술 회사 System1의 자회사인 Privacy One Group이 스타트페이지의 대다수 지분을 인수했다. System1은 소비자의 의도와 관심을 기반으로 대규모 데이터를 수집해 광고에 활용하는 기업으로 알려져 있었기 때문에, 이러한 인수는 스타트페이지의 개인정보 보호 중심 철학에 대한 의구심을 증폭시켰고, 실제로 PrivacyTools.io와 같은 주요 개인정보 보호 커뮤니티는 초기의 투명성 부족과 구체적인 질문에 대한 답변 부재를 이유로 스타트페이지를 추천 목록에서 일시적으로 제외하였다.
  이에 스타트페이지는 System1과의 관계가 개인정보 보호에 영향을 주지 않는다는 점을 명확히 밝히며, 다양한 대응 조치를 취했다. 창립자들이 기술적 결정에 대한 거부권을 유지하고 있으며, 사용자에게 영향을 미치는 변경 사항은 사전에 고지하도록 계약상 명시돼 있다고 설명했다. 또한 네덜란드 본사를 유지해 전 세계 사용자가 EU 개인정보 보호법(GDPR 및 AVG)의 적용을 받도록 했고, 미국 직원은 IP 정보가 처리되는 서버에 접근할 수 없도록 제한했다. 광고는 기존과 같이 검색어 기반 문맥 광고만을 유지하며, 데이터 흐름 구조도 다이어그램으로 공개했다(출처).
  이후 스타트페이지는 PrivacyTools.io와의 소통을 통해 초기 대응의 부족을 인정하고, 인수 이후에도 철학은 변하지 않았음을 설명했다. 이에 따라 PrivacyTools.io는 2020년 5월, 스타트페이지를 추천 목록에 다시 포함시켰다(출처).

5. 메일 서비스

이메일은 인터넷에서 가장 기본적인 커뮤니케이션 수단이지만, 동시에 가장 많이 감시되고 추적되는 영역 중 하나다.
대부분의 대중적인 이메일 서비스는 무료 사용의 대가로 광고 목적의 사용자 데이터를 수집한다.
메일 내용 자체는 광고 타겟팅에 사용하지 않는다고 밝히고 있지만, 악성코드 탐지나 스팸 차단 같은 보안 목적으로는 내용 분석이 이루어질 수 있다고 한다.
실제로 Gmail은 2017년까지 광고를 위한 메일 내용 분석을 수행하기도 했다(출처).

이처럼 이메일이 프라이버시의 약점이 되기 쉬운 환경 속에서, 데이터를 남기지 않고 사용자 정보를 보호하는 ‘프라이버시 중심 이메일’의 필요성은 점점 더 커지고 있다.

5.1. 프로톤 메일(Proton Mail)

프로톤 메일은 VPN 문단에서도 소개했던 프로톤 AG에서 운영하는 종단간 암호화 이메일 서비스다. 스위스의 엄격한 개인정보 보호법(스위스 연방 데이터 보호법 및 그에 따른 조례)의 보호를 받으며, 종단간 암호화(E2EE), 제로 액세스 암호화, AES-256, PGP 등 고급 암호화 프로토콜을 활용해 사용자 데이터의 기밀성을 보장한다.

특징

• 제로 액세스 암호화: 프로톤은 사용자 데이터(이메일, 첨부파일, 연락처, 캘린더 이벤트, 프로톤 드라이브의 파일)에 기술적으로 접근할 수 없도록 설계했다. 암호화 키는 사용자만이 소유하고 제어하며, 심지어 프로톤측도 접근 할 수 없다고 한다(출처).

• AES-256 기반 대칭 암호화: 사용자의 개인 키는 웹 브라우저에서 AES-256 알고리즘을 사용해 사서함 비밀번호로 암호화되며, 높은 수준의 보안을 유지한다.

• 광고 및 추적 없음: 프로톤 메일은 광고를 제공하지 않으며, 메일 내용을 감시하거나 타겟 광고를 위한 추적을 하지 않는다고 밝히고 있다(출처).

• 종단간 암호화(E2EE): 프로톤 메일 사용자 간 주고받는 메시지는 수신자의 공개 키를 사용해 자동으로 암호화된다. 해당 메시지는 수신자의 개인 키만이 해독할 수 있으며, 이 개인 키 역시 사용자 비밀번호로 암호화되어 있다.

• PGP 지원: 프로톤 메일은 웹 인터페이스와 모바일 앱 모두에서 PGP(Pretty Good Privacy) 암호화를 기본적으로 지원하며, 비 프로톤 메일 사용자에게도 암호화된 메시지를 보낼 수 있다.

논란

• "청소년 기후 행동(Youth for Climate)" 사건: 2021년 9월, 프랑스 경찰의 요청에 따라 프로톤 메일이 해당 단체 활동가의 IP 주소와 장치 정보를 당국에 제공한 사실이 알려졌다. 해당 요청은 유로폴을 통해 스위스 당국에 법적으로 전달되었으며, 프로톤은 법적 구속력이 있는 명령에 따라 정보를 제공했다고 밝혔다(출처).
  이 사건은 프라이버시 중심 마케팅을 해온 프로톤의 이미지와 충돌하면서, 전 세계 프라이버시 커뮤니티에서 광범위한 비판을 불러일으켰고, 결국 해당 활동가는 체포되었다.
  이에 프로톤 설립자이자 CEO인 앤디 옌은 어떠한 경우에도 이메일 내용, 첨부 파일, 캘린더, 파일 등 암호화된 데이터는 당국에 법적명령에도 접근이 불가능하며, 사용자들에게 익명성을 높이기 위해 토르(Tor)나 VPN 사용을 권장했다(출처).

• IP 개인정보 보호 정책 수정: 위 사건 이후로 프로톤 메일은 스위스 법률을 위반할 경우 스위스 형사 수사의 일환으로 IP 주소를 합법적으로 기록할 수 있다는 내용으로 개인정보 보호 정책을 조용히 수정했다(출처).

총평

논란이 있었지만, 이메일 내용 자체는 종단간 암호화로 보호되며, 일반 사용자 입장에서는 현존 이메일 서비스 중 가장 강력한 프라이버시 보호 성능을 갖춘 플랫폼으로 손꼽힌다.

5.2. Temp-Mail.org

흔히 일회용 이메일로 불리는 Temp Mail 서비스는 가입 없이 즉시 사용할 수 있어, 개인정보 보호 및 스팸 방지 측면에서 매우 유용한 도구다. 그러나 주 계정 등록이나 인증에는 절대로 사용해서는 안 되며, 단발성 가입이나 익명성이 요구되는 사이트 등에서 일회성으로만 사용하는 것이 바람직하다.

특징

• 개인 정보 보호 및 익명성 강화: Temp-Mail.org는 회원 가입을 요구하지 않기 때문에 사용자의 개인정보 입력이 전혀 필요 없다. 이는 완전한 익명성을 제공하는 기반이 된다. Temp-Mail.org는 사용자의 이메일 주소, IP 주소, 그 외 모든 관련 정보가 이메일 사용 기한 만료 후 혹은 사용자가 삭제할 경우 완전히 삭제된다고 명시하고 있다(출처).

• 간편한 사용 및 접근성: 이메일 주소가 자동 생성되며, 사용자가 별도로 도메인을 선택할 필요 없이 바로 사용할 수 있어 매우 간편하다. 서비스 자체에서 제공하는 제한 횟수(약 10~15회) 내에서는 삭제 후 새로운 이메일 주소를 반복해서 발급받을 수 있다.

단점 및 논란

• 이메일 발송 불가: Temp-Mail.org는 오직 이메일 수신용으로만 사용할 수 있다. 사용자가 해당 이메일 주소를 통해 회신하거나 새 메시지를 발송할 수는 없다.

• 민감 정보에 부적합: Temp-Mail.org는 프라이버시 보호를 강조하지만, 서비스 약관에 따르면 “TEMP-MAIL 시스템으로 전송된 모든 이메일은 공개 도메인이며, 해당 내용에 대한 개인정보 보호 기대는 없습니다”라고 명시되어 있다. 이는 해당 임시 이메일 주소를 알고 있는 누구든지 그 내용을 열람할 수 있음을 의미한다(출처).
  결국 서비스가 제공하는 ‘익명성’은 이메일 보안성과 상충될 수 있으며, 비밀번호 재설정 링크나 민감한 개인정보를 수신하는 용도로는 절대로 사용해서는 안 된다.

총평

Temp-Mail.org는 가입 없이 즉시 사용할 수 있는 높은 접근성과 익명성 덕분에 스팸 방지나 비회원 서비스 체험 등에 매우 효과적인 도구다. 하지만 공개 도메인 구조와 이메일 발송 제한, 보안상의 약점은 명확한 단점이다. 민감한 서비스에는 절대로 사용하지 말아야 하며, 단발성 목적에 한해 신중하게 사용하는 것이 중요하다.

6. OS

일상에서 게임도 하고, 다양한 작업을 원활히 수행하기 위해서는 현실적으로 윈도우 외에 선택지가 없다. 그러나 어느 순간부터 마이크로소프트는 윈도우에 불필요한 앱들을 대거 기본 탑재하기 시작했다.
이러한 앱들은 시스템 자원을 소모할 뿐 아니라, 사용자의 활동을 추적하는 기능도 포함되어 있는 경우가 많아, 성능 저하 및 프라이버시 침해 문제가 꾸준히 제기 된다.
CCleaner나 PowerShell과 같은 도구를 활용해 불필요한 기본 앱들을 삭제하고, 윈도우 설정에서 웹 검색 기능, 선택적 진단 데이터 전송 등의 불필요한 옵션도 모두 비활성화 해버리자.

7. AI

딥시크가 과도하게 개인정보를 수집한다는 비판이 뉴스나 커뮤니티에서 많았지만, 사실 딥시크뿐만 아니라 대부분의 AI 서비스가 모델 학습과 서비스 개선을 위해 프롬프트, 사용 기록, 기기 정보 등 광범위한 데이터를 수집하고 있다.
실제로도 삼성전자 기밀 유출(출처), 이루다의 개인정보 유용(출처), Clearview AI의 안면 정보 수집(출처), 메타 AI의 대화 내용 공개(출처) 등 다양한 개인정보 침해 및 오용 사례가 발생하고 있다.
하지만 AI는 이미 우리 삶에 유용한 도구로 자리 잡았고, 이제는 안 쓰고 살기 어려운 수준이다.
이에 따라 AI를 사용할 때 알아두면 좋은 몇 가지 행동 지침을 살펴보자.

• 민감 정보 입력 금지: 당연한 말이지만, 계좌번호, 신용카드 정보, 비밀번호, 개인적인 경험, 업무 기밀, 의료 기록 등 민감하거나 기밀성이 높은 정보는 절대 입력하지 않아야 한다. 모든 입력은 모니터링되고 저장될 수 있다고 가정하는 것이 중요하다. 그리고 제발 지브리 필터 같은 건 좀 하지 말자... 계좌번호는 바꾸면 되지만, 얼굴은 쉽게 바꿀 수 없다. 한 번 수집된 얼굴 정보는 어디로 복제되고, 어떻게 사용될지 예측 불가능하다.

• 옵트아웃(Opt-out) 기능 적극 활용: 설정에서 AI 학습을 위한 데이터 수집 거부, 국외 이전 거부 등 서비스가 제공하는 개인정보 수집 및 활용 동의 철회 또는 거부 기능은 적극적으로 활용하자.

• AI 생성 정보의 신중한 검토: 요즘 커뮤니티나 SNS에서 ‘GPT 피셜’ 같은 글이 자주 올라온다. 물론 재미 요소도 있지만, AI가 생성한 정보 특히 법률, 건강, 금융 등 민감한 분야에 관한 내용은 출처와 사실 여부를 반드시 확인해야 한다. 이걸 무시하면 편향된 정보를 계속 접하게 되고, 결국 당신 말에 그럴듯한 맞장구만 쳐주는 프로그램이 되어버린다. AI는 도움 도구일 뿐, 진실의 판별자나 전문가가 아니다.

• 대화 내역 정기 삭제 또는 점검: 설정 메뉴에 가면 '대화 삭제' 또는 '활동 기록 관리' 기능이 있는 경우가 많으니 정기적으로 점검하거나 삭제하는 습관을 들이자. 특히 업무나 민감한 주제를 다뤘다면 반드시 기록을 비워두는 게 좋다.

• 익명 사용: 예를 들어 ChatGPT나 xAI의 그록(Grok)은 굉장히 뛰어난 AI 모델이지만, 다른 AI들과 다르게 일회용 메일(Temp-mail)로 가입이 가능하다. 조금 귀찮더라도 쓰고 싶을 때는 일회용 메일로 가입하고, 다 쓴 후 계정을 삭제하자. 여기에 VPN 사용까지 더하면 익명성이 한층 강화된다.

마치며

사실 개인이 완전한 익명성과 프라이버시를 갖추기란 어렵지만, 이 글에서 소개한 다양한 도구와 설정은 일상에서는 충분히 효과적이고, 개인정보 보호를 위한 의미 있는 첫걸음이 될 수 있다.