VPN 관할 지역 해설: 5/9/14 아이즈, Mullvad 수색 사건, 그리고 PureVPN 로그 사건
VPN 마케팅은 관할 지역을 크게 부각한다. 가장 잘 기록된 두 건의 사법 협조 사건——2023년 Mullvad 수색과 2017년 PureVPN의 FBI 협력——은 제공업체가 무엇을 저장하느냐가 국가의 깃발보다 더 중요함을 보여준다.
5/9/14 아이즈가 실제로 의미하는 것
5 아이즈는 미국, 영국, 캐나다, 호주, 뉴질랜드 사이의 신호 정보 공유 협정으로, 제2차 세계대전 이후의 UKUSA 협정에 기원을 둔다. 9 아이즈는 덴마크, 프랑스, 네덜란드, 노르웨이를 추가한다. 14 아이즈는 독일, 벨기에, 이탈리아, 스웨덴, 스페인을 추가한다. VPN 마케팅은 이들 14개국 중 어느 곳에 등록된 VPN이든 위험하다는 생각을 대중화했다. 그 본국 정부가 데이터를 넘기도록 강제하고 그 데이터를 더 넓은 동맹과 공유할 수 있기 때문이라는 것이다. 이 주장은 부분적으로 사실이다——그 정부들은 데이터 요청을 위한 법적 틀을 갖추고 있다——그러나 그것이 이야기의 전부는 아니다.
주요 감사받은 VPN의 본거지는 어디인가
Mullvad: 스웨덴 예테보리(14 아이즈 내). NordVPN의 운영 법인 Nordvpn S.A.: 파나마(아이즈 밖). Proton VPN: 스위스 제네바 플랑레우아트(아이즈 밖. 스위스는 EU와 미국의 법적 요청 틀 밖이기도 하다). ExpressVPN의 운영 법인 Express VPN International Ltd.: 영국령 버진 아일랜드(아이즈 밖). Surfshark B.V.: 네덜란드(9 아이즈 내). 5곳 중 2곳——Mullvad와 Surfshark——은 아이즈 관할 지역에 있고, 3곳은 밖에 있다. 5곳 모두 노로그 감사를 공개했다.
2023년 Mullvad 수색: 실제로 일어난 일
2023년 4월 18일, 스웨덴 국가작전국(NOA)의 수사관 6명이 수색 영장을 들고 Mullvad의 예테보리 사무실에 나타나 고객 데이터가 담긴 컴퓨터를 압수하려 했다. 영장은 2023년 2월 17일 독일 당국과의 국제 사법 협조 차원에서 발부되었다. Mullvad는 그 사건을 같은 날 mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised에서 공개적으로 기록했다. Mullvad의 설명과 후속 보도에 따르면, 경찰은 아무것도 압수하지 못한 채 돌아갔다——영장이 요구한 데이터가 서버에 존재하지 않았기 때문이다. Mullvad의 Cure53 감사 이력(가장 최근: 제4차 인프라 감사, 2024년 6월)은 이 결과를 낳은 노로그 서버 구성을 기록한다. 그 함의는 이렇다——관할 지역은 분명히 중요했다(수색은 일어났다)——그러나 결정적 요인은 운영상의 프라이버시 태세였다.
2017년 PureVPN의 FBI 협력: 그 반대
2017년 10월, FBI는 PureVPN의 VPN 연결 로그를 사용해 대규모 사이버스토킹 사건에서 매사추세츠주의 24세 남성 Ryan Lin을 특정했다. PureVPN의 마케팅은 사건 이전에 노로그 주장을 강조했었다. FBI의 진술서(법무부 제출 문서와 bleepingcomputer.com을 비롯한 주류 매체 보도에서 인용됨)는 PureVPN이 실제로는 세션 시작 시 고객의 자택 IP 주소를 포함한 연결 로그를 보관하고 있었으며, 그 로그가 VPN 세션을 통해 Lin을 특정하기에 충분했음을 기록했다. 이 사건은 전형적인 반대 사례다——마케팅 주장이 제공업체가 실제로 저장한 것에 의해 반박되었고, 제공업체의 관할 지역(홍콩——아이즈 밖)은 데이터를 보호하지 못했다. 데이터가 존재했고 미국의 법적 요청에 응할 수 있는 것이었기 때문이다.
관할 지역이 예측하는 것과 예측하지 못하는 것
관할 지역은 정부 요청이 들어온 시점에서 실제 위험 요인이 된다. 요청국과의 사법 협조 틀을 가진 14 아이즈 관할 지역의 제공업체는 보유한 데이터를 넘기도록 강제될 수 있다. 그러나 관할 지역은 제공업체가 무엇을 보유하고 있는지를 예측하지 못한다. 14 아이즈의 노로그 제공업체(Mullvad)에는 넘길 것이 없고, 비아이즈 관할 지역에서 로그를 보관하는 제공업체(2017년 무렵의 PureVPN)에는 넘길 것이 있다. Mullvad와 PureVPN 사건은 함께 예측 변수가——감사로 검증되는——운영상의 관행이지 국가의 깃발이 아님을 입증한다.
2026년에 따져봐야 할 것
관할 지역만으로보다 실제 프라이버시 결과를 더 신뢰성 있게 예측하는 요인이 세 가지 있다. (1) 감사 범위와 최신성——가장 최근의 공개 감사가 서버 수준 구성을 다루는가, 그리고 그것이 최근 24개월 이내인가? (2) 오픈소스 클라이언트——데스크톱 및 모바일 앱이 오픈소스로 공개되어 있는가? Mullvad와 Proton VPN은 둘 다 자사 클라이언트를 GitHub에 공개한다. (3) 실제 법적 강제 사건에 대한 기록된 대응——Mullvad에는 하나(2023년 수색)가 있고, PureVPN에는 그 반대의 것(2017년 사건)이 있다. 대부분의 제공업체에는 둘 다 없다. 관할 지역은 앞의 세 가지가 충족된 뒤의 동점 결정 요소로 적용하라. 머리기사급 요인으로서가 아니라.
출처
5/9/14 아이즈: en.wikipedia.org/wiki/Five_Eyes(원래의 UKUSA 협정에 대한 인용 포함). Mullvad 2023년 수색: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad 감사 이력: mullvad.net/en/blog/tag/audits. PureVPN/Lin 사건: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN 관할 지역: nordvpn.com/blog/jurisdiction. Proton VPN 관할 지역: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. 모든 URL은 2026-04-30에 접속.