노로그 VPN이란? 감사받은 제공업체, 독립 보고서, 그리고 진짜 주장과 마케팅을 구별하는 법
노로그 VPN이란 사용자를 식별할 수 있는 트래픽·DNS·연결 메타데이터를 기록하지 않는 VPN을 말한다. 이 주장은 독립 감사인이 실제 인프라를 점검했을 때에만 의미를 갖는다. 그 구별법을 정리한다.
'노로그'가 실제로 의미하는 것
노로그 VPN이란 개별 사용자에게 다시 연결될 수 있는 트래픽·DNS 쿼리·IP 주소·연결 타임스탬프를 기록하지 않겠다고 약속하는 제공업체다. '노로그'라는 단어 자체에는 법적 정의가 없다. 모든 VPN 홈페이지가 이 단어를 사용한다. 이 주장은 독립 감사인이 실제 서버 군과 구성을 점검하고 그 보고서가 공개되었을 때에만 비로소 의미를 갖는다. 2026년 현재, 우리가 다루는 주요 유료 VPN 5곳(Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark)은 모두 독립 감사를 공개했다.
공개된 감사가 실제로 다루는 범위
Mullvad의 가장 최근 감사는 Cure53가 수행한 것으로, 2024년 6월 3일부터 14일까지 진행되었다(통산 4번째 감사이자 Cure53와는 2번째). 이는 Mullvad의 운영 서버 군에서 OpenVPN 서버 1대와 WireGuard 서버 1대를 다룬 인프라 감사다. Proton VPN은 Securitum의 노로그 감사를 4년 연속 통과했다(2022년, 2023년, 2024년, 2025년). NordVPN은 ISAE 3000에 따른 독립 노로그 보증 평가를 6회 통과했다: PwC 2018년, PwC 2020년, Deloitte 2022년, 2023년, 2024년, 2025년. ExpressVPN의 Trust Center에는 23건의 공개 감사가 나열되어 있으며, 가장 최근의 것은 3번째 KPMG 노로그 감사(2025년)와 Lightway 프로토콜의 Rust 재작성에 대한 Cure53/Praetorian 감사(2024년 9월~10월)다. Surfshark는 ISAE 3000에 따른 Deloitte 노로그 감사를 2023년과 2025년에 받았다.
진짜 노로그 주장은 어떤 모습인가
진짜 노로그 주장을 마케팅과 구별하는 신호는 세 가지다. 첫째, 공개된 제3자 보고서가 있을 것——보도자료식 블로그 게시물이 아니라 감사인의 이름과 날짜가 적힌 다운로드 가능한 PDF나 트러스트 센터 페이지다. 둘째, 감사 범위가 클라이언트 앱뿐 아니라 인프라(서버 수준 구성)를 포함할 것. 셋째, 이상적으로는 실제 법원 명령에 의한 검증이 있을 것. Mullvad의 사무실은 2023년 4월 18일 독일의 사법 협조 요청에 따라 발부된 영장으로 스웨덴 경찰의 수색을 받았으나, Mullvad는 그 사건을 공개적으로 기록했고 경찰은 고객 데이터를 압수하지 못한 채 돌아갔다——영장이 요구한 데이터가 서버에 존재하지 않았기 때문이다(수색 영장에 관한 Mullvad의 블로그 게시물에 따름). 반면 PureVPN은 이전의 '노로그' 마케팅에도 불구하고 2017년 Ryan Lin 사이버스토킹 사건에서 FBI에 연결 로그를 제공했다——이 사건은 마케팅 주장이 실제 법적 강제에 의해 반박된 전형적인 반례다.
관할 지역보다 제공업체가 무엇을 저장하느냐가 더 중요하다
VPN 마케팅은 관할 지역을 크게 부각한다. 5/9/14 아이즈 정보 공유 협정(미국, 영국, 캐나다, 호주, 뉴질랜드 + 덴마크, 프랑스, 네덜란드, 노르웨이 + 독일, 벨기에, 이탈리아, 스웨덴, 스페인)은 실재하며, 스웨덴이나 네덜란드에 등록된 VPN은 그 대상에 포함된다. 그러나 연결 로그를 보관하는 비아이즈 관할 지역의 제공업체는, 어디에 있든 노로그 제공업체보다 못하다. Mullvad(스웨덴, 14 아이즈 내)와 Proton VPN(스위스, 아이즈 밖)은 둘 다 감사를 받았다. Mullvad 수색 사례는 지도 위의 깃발보다 노로그 구성이 더 중요함을 보여준다.
감사 보고서를 읽는 법
보고서를 열고 세 가지를 확인하라. (1) 범위——보고서가 감사인이 무엇을 보았는지, 어떤 서버를, 어떤 프로토콜을, 어떤 기간을 다뤘는지 기술하고 있는가? 구체성 없는 '정책을 감사했다'는 일반적 표현은 'VPN 구성 파일과 서버 구성을 점검했다'보다 약하다. (2) 방법——Securitum의 Proton 보고서는 현장 구성 검토와 직원 인터뷰를 기술하고, Deloitte의 NordVPN 보고서는 ISAE 3000(국제 보증 업무 기준)을 인용하며, Cure53의 Mullvad 보고서는 운영 서버에서의 화이트박스 보안 테스트를 기술한다. (3) 발견 사항——모든 감사는 무언가를 발견한다. Cure53의 2024년 6월 Mullvad 감사는 두 가지 문제(저위험 1건, 중위험 1건)를 발견했고, Praetorian의 2024년 Lightway 감사는 저위험 문제 두 건을 발견했다. 발견 사항이 있다는 것 자체는 나쁜 일이 아니다——아무런 발견 사항도 없는 편이 오히려 수상하다. 중요한 것은 심각도와 시정 조치다.
무시해야 할 것
방법론을 공개하지 않는 '가장 프라이버시가 뛰어난 VPN' 같은 일반적 순위는 무시하라. '감사'가 서버를 한 번도 들여다보지 않은 소규모 컨설팅 업체의 서신에 불과한 제공업체는 무시하라. 실제 보고서를 링크하지 않는 VPN 비교 사이트는 무시하라——보고서에는 날짜와 발행 주체가 있다. 사이트가 그것을 링크하지 않는다면 그 주장은 검증할 수 없다. 일차적 신호로서의 관할 지역도 무시하라. 유일하게 믿을 만한 신호는 공개된 감사 범위와, 존재한다면 법적 강제 사례의 이력이다.
출처
Mullvad 감사: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad 2023년 수색: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton 감사: protonvpn.com/blog/no-logs-audit. NordVPN 감사: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark 감사: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin 사건: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. 모든 URL은 2026-04-30에 접속.