카페에서 노트북을 펴고 와이파이에 연결할 때 VPN을 켜야 할까요? 솔직히 말하면 항상 켜야 하는 건 아닙니다. 하지만 켜야 할 순간은 분명히 있고 그걸 구분하지 못하면 실제로 위험합니다. 무엇을 기준으로 판단해야 하는지 짚어보겠습니다.
공공 와이파이, 실제로 얼마나 위험한가요?
공공 와이파이의 위험은 크게 세 가지입니다.
첫째는 Evil Twin 공격입니다. 해커가 “Starbucks_WiFi”처럼 주변 네트워크와 똑같은 이름의 가짜 AP를 만들어 두면 스마트폰이 자동으로 연결됩니다. 이후 해당 기기에서 주고받는 모든 데이터가 해커 손을 거칩니다.
둘째는 패킷 스니핑입니다. 같은 네트워크에 연결된 사람이 무료 도구만 있으면 다른 사용자의 비암호화 트래픽을 실시간으로 볼 수 있습니다. 카페 와이파이에서 HTTP 사이트에 로그인하면 아이디와 비밀번호가 그대로 노출됩니다.
셋째는 멀웨어 주입입니다. 악성 공유기를 통해 다운로드 파일에 악성코드를 심거나 브라우저를 피싱 페이지로 유도하는 방식입니다.
물론 이런 공격이 카페마다 항상 진행되고 있는 건 아닙니다. 실제 피해 확률은 낮습니다. 하지만 금융 정보나 업무 자료를 다루는 순간 이야기가 달라집니다.
HTTPS가 있는데 공공 와이파이 VPN이 왜 필요한가요?
“요즘은 다 HTTPS잖아요. 그럼 도청이 불가능한 거 아닌가요?” — 자주 듣는 질문입니다.
HTTPS는 브라우저와 웹 서버 사이의 내용을 암호화합니다. 맞습니다. 하지만 HTTPS가 커버하지 못하는 구멍이 세 곳 있습니다.
첫째, SSL Stripping. 해커가 사용자와 서버 사이에 끼어들어 브라우저에는 HTTP처럼 보이게 하고 서버와는 HTTPS로 통신하는 기법입니다. 사용자는 주소창에 경고가 떠도 무시하고 진행하는 경우가 많고 그 사이에 로그인 정보가 평문으로 노출됩니다.
둘째, DNS 쿼리 노출. HTTPS는 본문 내용을 암호화하지만 어떤 도메인에 접속했는지(DNS 조회)는 기본적으로 암호화되지 않습니다. DNS over HTTPS(DoH)를 별도로 설정하지 않으면 같은 네트워크 관리자나 해커는 여러분이 어떤 사이트를 방문했는지 볼 수 있습니다.
셋째, 메타데이터 노출. “어떤 사이트에 언제 얼마나 자주 접속했는가”는 HTTPS가 숨겨주지 않습니다. 이것만으로도 행동 패턴과 습관이 노출됩니다.
VPN은 이 세 가지 문제를 모두 막습니다. 트래픽 전체를 암호화 터널로 감싸기 때문에 SSL Stripping도, DNS 노출도, 메타데이터도 외부에서 볼 수 없습니다.
어떤 상황에서 VPN이 필요하고, 없어도 될까요?
일률적으로 “공공 와이파이에서는 무조건 VPN”이라고 말하기보다 상황에 따라 판단하는 게 현실적입니다.
| 상황 | 위험도 | 권장 |
|---|---|---|
| 인터넷 뱅킹, 금융 거래 | 매우 높음 | 모바일 데이터 사용 권장 |
| 회사 VPN / 업무 자료 접근 | 높음 | VPN 필수 |
| SNS 로그인, 이메일 확인 | 중간 | VPN 켜는 것이 안전 |
| 유튜브, 뉴스 등 로그인 없는 HTTPS 사이트 | 낮음 | VPN 없어도 무방 |
| 게임, 스트리밍 (HTTPS 기반) | 낮음 | VPN 없어도 무방 (단 속도 고려) |
개인적으로는 SNS 로그인부터는 VPN을 켜는 게 맞다고 생각합니다. 계정 탈취 한 건이 입히는 피해가 VPN 월 구독료보다 크니까요. 인터넷 뱅킹이나 기업 시스템 접근은 VPN도 완전한 보호를 보장하지 않으므로 모바일 데이터를 권장합니다.
VPN 없이 공공 와이파이를 더 안전하게 쓰는 팁
VPN을 사용하더라도, 아니면 쓰지 않더라도 함께 챙기면 좋은 설정들이 있습니다.
자동 연결 끄기: 스마트폰의 “알려진 네트워크 자동 연결” 옵션을 꺼두면 Evil Twin 공격 위험이 크게 줄어듭니다. 설정 → Wi-Fi → 네트워크 자동 연결 해제.
HTTPS 강제 설정: 브라우저에서 “항상 HTTPS 사용” 옵션을 활성화하면 HTTP 사이트 접속 시 경고가 뜹니다. Chrome은 설정 → 개인 정보 보호 → 항상 보안 연결 사용에서 켤 수 있습니다.
공유기 이름 확인: 접속 전 카페 직원이나 안내판에 표시된 공식 네트워크 이름을 확인하세요. 비슷한 이름의 가짜 AP가 있을 수 있습니다.
파일 공유 끄기: 같은 네트워크에 접속한 기기끼리 파일을 공유하는 기능이 켜져 있으면 내부 파일에 접근 시도를 받을 수 있습니다.
공공 와이파이 보안에 맞는 VPN 고르는 기준
공공 와이파이 보안 목적이라면 VPN 선택 기준이 다소 달라집니다.
킬스위치(Kill Switch) 지원 여부가 가장 중요합니다. VPN 연결이 끊어지는 순간 자동으로 인터넷을 차단하는 기능입니다. 없으면 VPN 끊김 틈에 데이터가 노출될 수 있습니다.
자동 보호(Auto-Connect) 기능: 공공 와이파이 연결을 감지하면 자동으로 VPN을 켜줍니다. 매번 수동으로 켜야 한다면 깜빡할 때 위험합니다.
노로깅 정책: 사용자 트래픽을 서버에 기록하지 않는 정책이 외부 감사로 검증된 서비스를 고르세요.
NordVPN과 ExpressVPN은 킬스위치와 자동 보호 모두 지원하며 독립 보안 감사를 통과했습니다. ProtonVPN은 무료 플랜에서도 킬스위치를 제공합니다. 처음 시작하는 분이라면 ProtonVPN 무료 플랜으로 기능을 먼저 확인해 보는 것도 방법입니다.
5월부터 바뀐 한국 인터넷 차단 방식과 VPN의 관계가 궁금하시다면 이 글을 함께 읽어보시기를 권장합니다.
비교표: 공공 와이파이 보안 관점 VPN 기능 비교
| VPN | 킬스위치 | 자동 보호 | 무료 플랜 | 노로깅 감사 |
|---|---|---|---|---|
| NordVPN | ✔ | ✔ | 없음 | 완료 |
| ExpressVPN | ✔ | ✔ | 없음 | 완료 |
| ProtonVPN | ✔ | 유료만 | 있음 | 완료 |
| Surfshark | ✔ | ✔ | 없음 | 완료 |
자주 묻는 질문
Q. 카페 와이파이에서 인터넷 뱅킹을 해도 괜찮나요?
A. 권장하지 않습니다. VPN을 켜도 모바일 앱 뱅킹이나 모바일 데이터 사용이 더 안전합니다. 공공 와이파이에서는 VPN이 있어도 완전한 보호를 보장하기 어렵습니다.
Q. 공공 와이파이에서 HTTPS 사이트만 쓰면 VPN 없어도 안전한가요?
A. 일반 브라우징이라면 위험도가 낮습니다. 하지만 로그인이 필요한 서비스라면 SSL Stripping 공격 가능성이 있으므로 VPN을 켜는 것이 안전합니다.
Q. 무료 VPN도 공공 와이파이 보안에 효과가 있나요?
A. 출처가 불분명한 무료 VPN은 오히려 사용자 데이터를 수집해 판매하는 경우가 있습니다. ProtonVPN 무료 플랜처럼 감사를 받은 서비스를 선택하세요.
Q. 스마트폰은 공공 와이파이에서 더 안전한가요?
A. 기본 보안 수준은 비슷합니다. 자동 연결 기능이 켜진 스마트폰은 오히려 사용자 모르게 가짜 AP에 붙을 수 있어 주의가 필요합니다.
Q. 공공 와이파이에서 VPN을 쓰면 속도가 많이 느려지나요?
A. WireGuard 프로토콜을 지원하는 VPN이라면 일상 브라우징에서 체감하기 어려운 수준입니다. 가까운 국가 서버(일본, 싱가포르)를 선택하면 속도 저하를 최소화할 수 있습니다.
Q. 회사 VPN이 있으면 별도 VPN을 더 써야 하나요?
A. 회사 VPN은 회사 시스템 접근용이지 개인 보안용이 아닙니다. 회사 VPN 연결 중 개인 브라우징은 회사에 노출될 수 있으니 용도를 구분하세요.
마무리
공공 와이파이 VPN 사용은 상황에 따라 다릅니다. 로그인이 필요 없는 콘텐츠 소비라면 HTTPS만으로도 충분합니다. 하지만 SNS 로그인, 이메일, 업무 자료라면 VPN을 켜는 것이 현명한 선택입니다. 인터넷 뱅킹은 VPN보다 모바일 데이터가 더 안전합니다.
VPN을 처음 시작한다면 ProtonVPN 무료 플랜으로 기능을 익히거나, NordVPN과 ExpressVPN의 30일 환불 보장을 활용해 직접 테스트해 보시기를 권장합니다.