Mullvad VPN: 프라이버시 강화 및 트래픽 분석 방어

[!CAUTION] 작전 보안(OPSEC) 및 법적 고지 이 가이드는 전적으로 합법적이고 방어적이며 교육적인 목적을 위해 작성되었습니다. 아래에 자세히 설명된 일부 전술은 현지 관할 구역에 따라 법적 위험을 수반할 수 있습니다.

• 절대로 체포에 저항하거나 법 집행 기관을 물리적으로 방해하지 마십시오.
• 절대로 불법적인 RF 재밍(전파 방해)이나 재산 피해에 관여하지 마십시오.
• 항상 현지 법률 방어 네트워크(예: National Lawyers Guild)에 관할 구역별 조언을 구하십시오.

*상태: 네트워크 보안 강화 매뉴얼

대상: 활동가 및 프라이버시를 중시하는 사용자*

VPN은 익명성을 제공하지 않습니다. 귀하의 인터넷 서비스 제공업체(ISP)에서 VPN 회사로 신뢰를 옮겨 프라이버시를 제공할 뿐입니다. Mullvad는 활동가를 위한 최적의 표준(gold-standard) 권장 사항입니다. 왜냐하면 처음부터 데이터 수집을 최소화하도록 설계되었고 익명 결제를 허용하며, 다른 상용 VPN과는 달리 고급 트래픽 분석에 대한 오픈 소스 방어책을 개척했기 때문입니다.

이 매뉴얼은 익명 계정 설정, WireGuard + 킬 스위치(kill-switch), DAITA (AI 기반 트래픽 분석 방어), 다중 홉(multi-hop) 라우팅 및 암호화된 DNS 등 전체 보안 구성을 다룹니다.

대량 감시에 대한 더 깊은 맥락을 보려면 Mullvad의 전면 감시 선언문(Total Surveillance Manifesto) (PDF)을 읽어보십시오.

---

1. 익명 계정 생성 및 자금 조달

대부분의 VPN 제공업체는 이메일 주소, 청구 이름 및 신용 카드를 요구하여 즉시 귀하의 실제 신원과 VPN 트래픽을 연결합니다.

• Mullvad 시스템: Mullvad는 개인 데이터를 전혀 요구하지 않습니다. 가입하면 시스템이 무작위 16자리 계정 번호를 생성합니다. 그 번호가 바로 귀하의 계정입니다. 해킹하거나 소환(subpoena)할 비밀번호나 이메일이 없습니다.
• 자금 조달 (OPSEC 프로토콜):
  • 표준 보안: 익명화된 선불 기프트 카드 또는 모네로(XMR)를 통해 결제하십시오. 비트코인, PayPal 또는 개인 신용카드를 사용하지 마십시오.
  • 최대 보안: 16자리 계정 번호를 종이에 적어 물리적인 현금과 함께 봉투에 넣어 스웨덴의 Mullvad 본사로 직접 우편으로 보내십시오. 이는 귀하의 금융 신원과 네트워크 트래픽 사이에 완벽한 단절을 만듭니다.

2. WireGuard 배포 및 킬 스위치

OpenVPN도 견고하지만, WireGuard가 현대적인 표준입니다. 더 빠르고 배터리를 덜 사용하며 암호화 공격 표면(attack surface)이 훨씬 작습니다.

프로토콜 구성

1. Mullvad 앱을 엽니다. Settings(설정) > VPN settings(VPN 설정)으로 이동합니다.
2. Tunnel protocol(터널 프로토콜)을 Automatic(자동)에서 WireGuard로 변경합니다.

하드코딩된 킬 스위치 (Lockdown Mode, 락다운 모드)

킬 스위치가 VPN 앱이 충돌한 후에만 활성화되어 귀하의 실제 IP가 몇 초 동안 유출되도록 허용한다면 아무 소용이 없습니다. OS 수준에서 하드(hard) 킬 스위치를 강제해야 합니다.

• 데스크톱 구성: Mullvad 설정에서 Lockdown mode(락다운 모드)를 활성화합니다. 이는 Mullvad 터널이 활성화되어 있지 않으면 컴퓨터가 인터넷에 전혀 연결될 수 없도록 시스템 방화벽 규칙을 변경합니다.
• Android 구성:
  1. Android 설정 > 네트워크 및 인터넷 > VPN으로 이동합니다.
  2. Mullvad VPN 옆의 톱니바퀴 아이콘을 탭합니다.
  3. Always-on VPN(항상 켜져 있는 VPN) 및 Block connections without VPN(VPN 없이 연결 차단)을 ON(켜짐)으로 전환합니다. 이는 터널링되지 않은 트래픽에 대한 엄격한 OS 수준의 차단을 강제합니다.

3. 다중 홉(Multi-Hop) 라우팅 및 트래픽 분석 방어

고급 적대자는 VPN 서버에 들어오고 나가는 데이터 패킷의 크기와 타이밍을 모니터링하여, 트래픽을 상호 연관시키고 사용자를 식별(트래픽 분석)하려고 시도합니다.

다중 홉 구성

다른 관할 구역에 있는 두 개의 서로 다른 VPN 서버를 통해 트래픽을 라우팅하면 트래픽 분석이 상당히 복잡해집니다.

1. Mullvad 앱에서 Settings(설정) > VPN settings(VPN 설정) > WireGuard settings(WireGuard 설정)으로 이동합니다.
2. Enable multihop(다중 홉 활성화)을 켭니다.
3. 진입 서버 (Entry Server, 예: 스위스)와 출구 서버 (Exit Server, 예: 아이슬란드)를 선택합니다. 트래픽은 두 번 암호화됩니다: 귀하의 ISP는 스위스로의 연결만 보게 되고, 대상 웹사이트는 아이슬란드에서 시작된 트래픽만 봅니다.

(참고: 다중 홉은 지연 시간(latency)을 늘리고 속도를 줄입니다. 높은 작전 보안이 필요한 경우에만 사용하십시오).

4. DAITA: AI 기반 트래픽 분석 방어 (Defense Against AI-guided Traffic Analysis)

[!IMPORTANT] DAITA는 Mullvad의 가장 중요한 보안 혁신 중 하나이며 상용 VPN 중 유일무이합니다. 위협 수준이 T2+ 이상이거나 VPN을 사용하고 있다는 사실 — 또는 그 안에서 무엇을 하고 있는지 — 를 숨기는 것이 중요한 경우에 활성화하십시오.

4.1 AI 기반 트래픽 분석이란?

VPN은 트래픽 콘텐츠를 암호화하지만 패킷 크기, 타이밍 패턴, 패킷 간 도착 시간 등 트래픽의 형태(shape)를 숨길 수는 없습니다. 정교한 적대자 (T3–T4 수준: NSA, GCHQ, 법 집행 기관과 협력하는 학술 연구자)는 수백만 개의 캡처된 세션에 대해 훈련된 기계 학습(Machine Learning) 분류기를 사용하여 귀하가 암호화된 VPN 터널 내에서 무엇을 하고 있는지 식별(fingerprint)합니다.

트래픽 분석이 밝혀낼 수 있는 것들의 예시:

• 페이지 로드의 패킷 크기 “지문(fingerprint)”을 훈련된 데이터베이스와 비교하여 — HTTPS 및 VPN을 통하더라도 — 귀하가 어느 웹사이트를 방문하고 있는지
• 해당 트래픽이 VPN을 통해 라우팅되는 경우에도 귀하가 Signal, Tor 또는 기타 민감한 애플리케이션을 사용하고 있는지 여부
• 암호화된 VPN 세션을 터널의 반대편에서 보이는 활동과 연결하는 타이밍 패턴 (상호 연관 공격, correlation attack)

이 공격 클래스는 이론적인 것이 아닙니다. 학술 연구(“Website Fingerprinting Attacks and Defenses,” WF 연구)에 따르면 순진한(naive) VPN 사용자를 상대로 90% 이상의 정확도를 입증했습니다.

4.2 DAITA의 작동 원리

DAITA는 네트워크 수준에서 핑거프린팅 공격을 무력화하기 위해 Maybenot (Mullvad가 개발한 오픈 소스)이라는 프레임워크를 사용합니다:

무작위 패킷 패딩(Random Packet Padding): 기기에서 나가는 모든 패킷은 암호화되기 전에 무작위 크기로 채워집니다(padded). 이는 기계 학습 분류기가 의존하는 패킷 크기 지문을 파괴합니다. 200바이트의 Signal 메시지는 1,400바이트의 웹 요청과 동일하게 보이는데, 둘 다 구별할 수 없는 무작위 크기로 채워지기 때문입니다.

더미 트래픽 주입(Dummy Traffic Injection): DAITA는 실제 패킷 사이에 무작위로 시간 간격을 둔 더미 트래픽을 주입합니다. 이는 상호 연관 공격이 악용하는 타이밍 패턴 (도착 간격, 버스트 구조)을 깨뜨립니다. 관찰자는 웹페이지 로드나 영상 통화의 특징적인 버스트 패턴이 아니라 끊임없이 시끄러운(noisy) 스트림을 보게 됩니다.

이것을 무력화하기 어려운 이유: 어느 패킷이 진짜이고 어느 것이 더미인지 알지 못하고 패딩 전의 크기를 모르면, 트래픽 분석 분류기는 서로 다른 유형의 활동을 구별할 수 없습니다. 신호 대 잡음비(signal-to-noise ratio)가 붕괴됩니다.

4.3 DAITA 활성화 방법

데스크톱(Windows/macOS/Linux):

1. Mullvad 앱을 엽니다.
2. Settings(설정) → VPN settings(VPN 설정) → WireGuard settings(WireGuard 설정)으로 이동합니다.
3. DAITA를 ON으로 전환합니다.

Android:

1. Mullvad 앱을 엽니다.
2. 하단 탐색 모음에서 설정 톱니바퀴를 탭합니다.
3. VPN settings(VPN 설정) → WireGuard settings(WireGuard 설정)으로 이동합니다.
4. DAITA를 ON으로 전환합니다.

iOS:

1. Mullvad 앱을 엽니다.
2. Settings(설정) → VPN settings(VPN 설정)을 탭합니다.
3. DAITA를 ON으로 전환합니다 (Mullvad 앱 버전 2024.8 이상에서 사용 가능).

4.4 DAITA + 다중 홉 (최대 보호)

DAITA는 다중 홉 라우팅과 결합될 때 가장 강력합니다:

• 다중 홉 제외: DAITA는 귀하의 기기와 Mullvad 진입 서버 사이의 구간을 보호합니다. 진입 서버의 트래픽과 출구 서버의 트래픽을 모두 관찰할 수 있는 적대자는 여전히 상호 연관 분석을 시도할 수 있습니다.
• 다중 홉 + DAITA: DAITA는 첫 번째 홉에 들어오는 트래픽을 난독화합니다. Mullvad 내부 서버 간의 트래픽은 외부 적대자에게 보이지 않습니다. 이는 경로의 전부는 아니지만 일부를 통제하는 부분적 네트워크 관찰자조차도 무력화합니다.

동시에 둘 다 활성화:

• 다중 홉: Settings(설정) → VPN settings(VPN 설정) → WireGuard settings(WireGuard 설정) → Enable multihop(다중 홉 활성화) → 진입 및 출구 서버 선택
• DAITA: 동일한 WireGuard 설정 메뉴에서 ON으로 전환

[!NOTE] DAITA는 약간의 오버헤드를 추가합니다 (패딩 및 더미 트래픽으로 인해 5~15% 더 많은 대역폭 사용; 지연 시간의 약간 증가). 대부분의 사용 사례에서는 이를 인지할 수 없습니다. 성능이 허용되지 않을 정도로 매우 느린 연결 환경에서는 일시적으로 비활성화하되, 민감한 작전 작업 시에는 다시 활성화하십시오.

4.5 위협 모델 적합성

위협 (Threat)	DAITA가 도움이 되는가?
ISP가 귀하가 방문하는 사이트를 보는 것	✅ 예 — 패딩으로 인해 핑거프린팅이 실패함
법 집행 기관의 트래픽 상호 연관 분석	✅ 훨씬 더 어려워짐
NSA급 글로벌 네트워크 관찰자 (상호 연관 공격)	✅ 다중 홉과 결합될 때 훨씬 더 어려워짐
Mullvad에 대한 소환장(subpoena) 발부	❌ 아니요 — Mullvad에는 로그가 없지만 DAITA가 법적 노출 자체를 바꾸지는 않음
암호화 전의 트래픽을 읽는 기기 수준의 악성코드	❌ 아니요 — VPN은 기기 손상으로부터 보호하지 않음

---

5. 프라이빗 DNS 확인자(Resolver) 통합

ISP는 귀하의 DNS(도메인 네임 시스템) 요청을 기록하여 귀하가 방문하는 모든 웹사이트를 모니터링합니다. DNS 쿼리를 Mullvad의 암호화된 확인자를 통해 라우팅함으로써 귀하의 ISP를 눈멀게 할 수 있습니다.

1. Settings(설정) > VPN settings(VPN 설정) > DNS filtering(DNS 필터링)으로 이동합니다.
2. Block trackers(트래커 차단), Block ads(광고 차단), Block malware(악성코드 차단)를 활성화합니다.
3. 장점: Mullvad는 암호화된 WireGuard 터널을 통해 자체 DNS 서버를 사용합니다. 이는 ISP가 인터넷 사용 기록을 수집하는 것을 방지하고 네트워크 수준에서 브라우저에 도달하기도 전에 알려진 국가 후원 차단 목록(blocklists) 및 원격 측정 트래커에 대한 연결을 차단합니다.

최종 업데이트: 2026년 5월