iPhone에서 VPN이 손상되었습니까?

iPhone 및 iPad에서 VPN을 사용하는 사람들은 생각만큼 안전하지 않습니다. 보안 전문가 Michael Horowitz와 여러 VPN 제공업체는 수년 동안 iOS의 무결성에 영향을 미치는 문제를 공개했습니다. iOS 13 이후로, 그리고 어쩌면 그 이전에도 iOS에서 VPN이 손상되었을 수 있습니다.

VPN 작동 방식

이러한 주장에 대해 자세히 알아보기 전에 VPN이 작동하는 방식을 매우 빠르게 살펴보겠습니다. 이미 알고 있다면 이 부분을 건너뛰어 중요한 부분으로 이동할 수 있지만 VPN을 처음 사용하는 경우 시간을 할애할 수 있습니다.

인터넷에 연결하면 컴퓨터에서 ISP(인터넷 서비스 제공업체)가 운영하는 서버로 정보를 전송하게 됩니다. 거기에서 원하는 사이트(이 경우에는 당사 웹사이트의 서버)에 연결합니다. 이 시나리오에서 ISP는 사용자가 연결한 사이트를 알고 있으며 사이트는 사용자의 IP 주소와 연결 위치를 알고 있습니다.

간단히 말해서 VPN은 연결을 다시 라우팅합니다. ISP의 서버에서 VPN이 실행하는 서버로 이동하고 거기에서 원하는 사이트로 이동합니다. 이렇게 하면 연결된 사이트가 더 이상 사용자를 추적할 수 없게 되며, 사용자가 연결된 위치를 찾으려고 할 때 VPN 서버의 IP 주소만 반환됩니다.

또한 VPN은 VPN 터널이라는 곳에서 컴퓨터와 VPN 서버 간의 연결을 암호화합니다. 이것은 당신의 ISP가 당신이 무엇을 하고 있는지 더 이상 알지 못한다는 것을 의미할 뿐만 아니라 누군가가 당신의 연결을 가로챌 경우 당신이 무엇을 하고 있는지 알아내기를 훨씬 더 어렵게 만듭니다.

VPN 및 iOS

그러나 How-To Geek에게 보내는 이메일에서 "은퇴한 컴퓨터 괴짜"가 더 정확할 것이라고 말한 사이버 보안 연구원 Michael Horowitz에 따르면 iOS 사용자는 이 보호 기능을 충분히 사용할 수 없습니다. 그의 블로그 게시물에서 자세히 설명하는 것처럼 iPhone 또는 iPad 사용자가 연결이 활성화된 상태에서 VPN을 사용하면 연결을 통해 전송되는 모든 데이터가 터널에 남아 있지 않습니다.

Horowitz는 iPhone을 실행하는 iOS의 약간 다른 버전인 iPadOS에서 실행되는 iPad에서 대부분의 테스트를 수행했습니다. 그러나 이러한 테스트를 위해 동일한 것으로 간주될 수 있습니다.

이 경우 VPN 연결을 터널이 아니라 호스처럼 생각할 수 있습니다. VPN이 작동하면 쏟아지는 모든 물이 반대쪽으로 나옵니다. 그러나 이 iOS 문제로 인해 일부 물이 운송 중 호스에서 나오므로 "누수"라는 단어가 사용됩니다. 이러한 누출은 iOS의 문제로 인해 발생하며 VPN 자체의 문제로 인한 것이 아닙니다.

또한 유출되고 있는 것은 암호화된 데이터이며 예상대로 IP 주소 또는 기타 DNS 문제가 아니라는 점에 유의해야 합니다. 결과적으로 이 문제가 발생한 iOS 사용자는 여전히 추적할 수 없으며 VPN은 여전히 ​​그런 의미에서 제 역할을 하고 있습니다. 암호화되어 있기 때문에 유출된 데이터도 다행히 특별한 위험은 없습니다. 그러나 이것이 심각한 결함이 아니라는 것을 의미하지는 않습니다.

공을 떨어뜨리다

기술적인 이유 때문에 문제가 되는 것은 아닙니다. Horowitz 자신이 언급했듯이 ProtonVPN 개발자인 Proton은 2년 전인 2020년 3월에 처음으로 이를 지적했습니다. Proton이 당시 이 문제에 대해 Apple에 연락했을 때 회사는 "예상"이라고 들었습니다.

Horowitz가 추가 테스트를 통해 알아냈듯이 Apple은 그 이후로 iOS 반복에서 이 문제를 수정하지 않았습니다. Horowitz가 Apple에 직접 연락했을 때 그는 ProtonVPN과 거의 동일한 응답을 받았고 모든 것이 "설계된 대로 작동하고 있다"는 말을 들었습니다. 특히 누출이 의심의 여지 없이 입증되었기 때문에 이것은 이상해 보입니다.

Apple이 아무 것도 하지 않은 것은 아닙니다. 분명히 iOS 14 이후로 iOS 개발자가 이 문제를 해결하기 위해 코드에서 켜야 하는 스위치가 있습니다. 그러나 Horowitz가 이야기한 개발자에 따르면 일부 VPN 프로토콜(VPN이 다른 컴퓨터와 통신하는 방식을 결정하는 일련의 규칙)에서만 작동하는 문제가 있다고 합니다. OpenVPN 및 WireGuard를 포함하여 더 인기 있는 프로토콜 중 일부는 분명히 이 플래그와 함께 작동하지 않습니다.

iOS VPN 누출에 대한 가능한 수정 사항

그러나 단기적으로는 몇 년 전 VPN 제공업체 Mullvad가 발견한 또 다른 수정 사항이 있는 것으로 보입니다. VPN에 정상적으로 연결한 다음 비행기 모드를 활성화하고 Wi-Fi를 끈 다음 비행기 모드를 다시 비활성화하는 작업이 포함됩니다. 그러나 Horowitz는 항상 작동하는 것은 아니므로 위험을 감수하고 싶지 않을 수 있다고 주장합니다.

또 다른 옵션은 iOS에서 가능한 경우 시작 시 열려 있는 모든 연결을 종료하는 VPN을 사용하는 것입니다. Windscribe에는 데스크톱에서 이 기능이 있습니다. 설정에서 "연결 후 TCP 소켓 종료"를 확인해야 하지만 서비스의 iOS 앱에서는 그렇지 않습니다. Apple이 iOS에서 이를 허용하는지 여부는 확실하지 않습니다.

그러나 현재로서는 Horowitz가 권장하는 대로 VPN 라우터를 통해 Apple 모바일 장치를 연결하는 것뿐입니다. 이렇게 하면 전체 네트워크가 동시에 VPN을 사용하므로 별도의 iPhone과 iPad가 더 이상 유출되지 않습니다. 그러나 이 작업을 수행하는 경우 어떤 이유로든 라우터가 실패할 경우 이를 대체할 수 없도록 모바일 데이터를 비활성화할 수 있습니다.

다른 문제

이 모든 것이 꽤 나쁘지만 이것이 끝이 아닐 수도 있습니다. Horowitz는 추가 테스트에서 더 많은 iOS 문제가 발생할 것으로 예상하고 있습니다. 그 중 하나는 2018년 보안 연구원 Matt Volante가, 2022년 추적 보호 앱 Disconnect를 통해 다시 신고한 문제가 있습니다. 이 경우 개발자는 iOS 앱이 VPN 터널을 우회하도록 선택할 수 있습니다.

이 경우 모든 iPhone 사용자, 특히 인터넷이 검열되는 국가의 사용자에게는 큰 문제입니다. Disconnect가 지적했듯이 대부분의 러시아 앱은 러시아 정부의 승인을 받아야 합니다. 즉, 이러한 앱이 이 허점을 이용할 가능성이 높습니다.

Apple이 VPN을 끊었습니까?

지금 분명한 것은 우리가 토끼굴의 처음 몇 피트만 발견했다는 것뿐입니다. Apple은 VPN 보안을 약간 엉망으로 만든 것 같습니다. 우리는 이것이 일어날 수 있다고 생각하지만 이러한 문제를 해결하는 데 특별히 높은 우선 순위를 할당하지 않은 것 같습니다. 글을 쓰는 시점에서 이 문제가 최근 출시된 iOS 16에도 여전히 존재하는지 알 수 없으나, 현재까지 Apple의 반응이 미흡한 점을 감안할 때 수정되었다고 숨죽이지는 않고 있습니다.

사용자 데이터가 위험하지 않기 때문에 실제 문제가 없다고 주장할 수 있지만, 특히 Apple과 같은 회사에서 발생하는 보안 및 개인 정보 보호 의식을 알리는 것을 좋아하는 회사의 데이터는 약간 엉성하게 느껴집니다. 이것이 회사와의 관계에 어떤 영향을 미칠지 결정하는 것은 개별 소비자의 몫이지만, 애플이 공을 떨어뜨리고 여기에서 고르지 않은 것처럼 느껴집니다.