VPN의 입구와 출구를 분리한다? Mullvad가 새로 도입한 보안 구조

무슨 일이 있었나

VPN을 써본 분이라면 한 번쯤 "내 트래픽이 정말 안전한가?" 하는 의문을 가져봤을 거예요. Mullvad가 최근 "출구 IP를 분리하는 VPN 서버" 구조를 단계적으로 적용하고 있다는 발표를 했는데요, 이게 뭐냐면 우리가 VPN에 접속해서 인터넷으로 나가는 그 "출구" 부분을 따로 떼어내서 운영하겠다는 뜻이에요.

기존에는 VPN 서버 하나가 사용자 트래픽을 받고, 그대로 인터넷으로 내보내는 일을 한꺼번에 처리했어요. 그런데 이렇게 하면 누군가 그 서버를 압수하거나 모니터링했을 때, "들어오는 사용자"와 "나가는 트래픽"이 같은 곳에 묶여 있어서 매칭이 쉬워지는 문제가 있거든요. Mullvad는 이걸 분리해서, 사용자가 접속하는 진입(entry) 서버와 인터넷으로 나가는 출구(exit) 서버를 별도로 운영하기 시작한 거예요.

어떻게 동작하는가

이 구조를 좀 더 자세히 들여다보면 흥미로운 점이 보여요. Tor 네트워크가 오래전부터 사용해온 멀티홉(multi-hop) 개념과 비슷한 발상인데, Mullvad는 이를 자사 서비스 안에서 시스템적으로 강제하는 거죠. 사용자는 평소처럼 가까운 진입 서버에 접속하지만, 실제 인터넷으로 나가는 IP는 별도의 출구 서버 IP가 됩니다. 두 서버 사이는 Mullvad의 내부 백본 네트워크로 암호화된 채로 연결돼요.

이 방식의 가장 큰 장점은 두 가지예요. 첫째, 출구 IP만 차단하거나 모니터링하는 서비스(예를 들면 Netflix, 은행 사이트 등)가 사용자의 진입 지점까지는 알 수 없어요. 둘째, 만약 출구 서버가 법적 압류를 당해도, 그 서버에는 사용자 식별 정보가 거의 남지 않아요. Mullvad는 원래도 로그를 안 남기는 걸로 유명한 회사인데, 이런 구조로 더 강화된 거죠.

다만 단점도 있어요. 두 서버를 거치는 만큼 지연시간(latency)이 조금 늘어나고, 특정 IP 대역이 데이터센터로 알려져서 일부 서비스가 차단할 가능성도 있어요. 그래서 Mullvad는 점진적 롤아웃을 하면서 부작용을 모니터링하고 있다고 해요.

업계 흐름에서 본다면

경쟁 VPN 서비스들을 보면, NordVPN이나 ProtonVPN도 멀티홉 옵션을 제공하긴 해요. 다만 이건 사용자가 직접 켜야 하는 "옵션"이지, 기본 구조가 아니에요. Mullvad가 이걸 기본 인프라로 가져간다는 게 차별점이에요. IVPN처럼 작은 규모의 프라이버시 중심 VPN들도 비슷한 실험을 해왔는데, Mullvad의 규모에서 시스템 차원으로 적용된다는 점에서 의미가 커요.

요즘 VPN 업계 흐름을 보면, 단순히 "IP를 가린다"는 마케팅에서 벗어나서 "서버가 압류당해도 사용자가 안전하다"는 신뢰 모델로 옮겨가고 있어요. RAM 디스크만 사용하는 디스크리스(diskless) 서버, 영지식(zero-knowledge) 인증, 양자내성 암호 도입 같은 흐름의 일부고요. 이번 출구 분리도 같은 맥락이에요.

한국 개발자에게는

한국에서는 VPN을 우회용으로 많이 쓰지만, 보안 관점에서도 점점 중요해지고 있어요. 특히 원격 근무하는 개발자나 보안 컨설팅 업무를 하는 분들에게는 "어떤 VPN을 어떻게 신뢰할 것인가"가 실무적인 고민이거든요.

또 이 아키텍처는 자체 서비스를 설계할 때도 참고할 만해요. 예를 들면 사용자 인증과 트래픽 처리를 분리하는 제로 트러스트 네트워크 설계, mTLS 기반 백본 구성, 로그 최소화 같은 패턴이 비슷하게 적용돼요. 개인정보보호법(PIPA) 대응이 점점 까다로워지는 한국 환경에서는 "최소 수집, 최단 보관"이라는 원칙을 인프라 레벨에서 강제하는 사례로 공부해둘 가치가 있어요.