디지털 프라이버시 등급 — 당신은 몇 단계인가

프라이버시에 관심을 가지기 시작하면 대부분 이런 순서를 밟는다. 유니콘 깔아봄 → VPN 뭔지 찾아봄 → Tor가 뭔지 검색해봄 → Tails OS까지 듣고 “여기까지 갈 필요 있나?” 싶어짐.

이 글은 그 여정을 5단계로 잘라서, 각 등급에 어떤 사람이 해당하고 현실적으로 어디까지 해야 하는지를 정리한 거다.

등급 1: 아무것도 안 한다

한국 인터넷 사용자 대부분이 여기에 해당한다.

크롬에 네이버 아이디 저장해두고, 모든 사이트에 같은 비밀번호 쓰고, 공공 와이파이에서 카카오톡 하고, 뭘 검색하든 시크릿 모드조차 안 쓴다. “나는 숨길 게 없으니까”가 기본 마인드다.

이 등급의 문제는 숨길 게 있냐 없냐가 아니다. 통신사는 어떤 사이트에 접속했는지 기록하고, 구글은 검색 기록과 위치를 수집하고, 카카오는 대화 메타데이터를 저장한다. 본인이 의식 못 할 뿐, 디지털 발자국은 쌓이고 있다.

이 등급의 프로필: 대부분의 직장인, 학생, 부모님 세대. “해킹당할 일 없다”고 생각하는 사람.

등급 2: VPN + 시크릿 모드

프라이버시에 “관심은 생겼다” 단계다.

시크릿 모드를 쓰기 시작하고, 유니콘 같은 앱을 깔거나 무료 VPN을 써본다. 여기서 중요한 팩트 하나 — 유니콘 HTTPS는 VPN이 아니다. DNS 변경 소프트웨어다. HTTPS/SNI 차단을 우회해서 차단된 사이트에 접속하게 해주지만, IP 주소는 그대로 노출된다. 통신사에는 어디에 접속했는지 다 보인다.

시크릿 모드도 마찬가지다. 브라우저에 방문 기록과 쿠키를 안 남길 뿐, 통신사·회사 네트워크·접속한 웹사이트에는 IP 주소가 그대로 찍힌다. “아무도 모르겠지”가 아니라 “내 컴퓨터만 모르는” 상태다.

무료 VPN은 더 문제다. IP를 숨겨주는 대신 접속 데이터를 수집해서 광고주한테 넘기는 경우가 많다. 프라이버시를 지키겠다고 쓴 도구가 프라이버시를 더 갉아먹는 아이러니가 여기서 벌어진다.

이 등급의 프로필: 차단 사이트 우회가 주 목적인 사람. 성인 사이트 접속하려고 유니콘 깐 사람. “VPN이라는 게 있다더라” 정도로 알고 있는 사람.

현실 판단: 차단 우회만 필요하면 유니콘으로 충분하다. 하지만 이걸 “프라이버시 보호”라고 착각하면 안 된다. IP가 그대로 노출되는 이상, 통신사나 수사기관 입장에서는 아무 차이가 없다.

등급 3: 유료 VPN + 비밀번호 관리자 + 2FA

여기서부터 진짜 프라이버시가 시작된다.

유료 VPN은 IP 주소를 VPN 서버 주소로 대체한다. 통신사는 “VPN 서버에 접속했다”까지만 알고, 그 뒤에 어디를 갔는지는 모른다. NordVPN, ProtonVPN, Mullvad 같은 유료 서비스는 no-log 정책(접속 기록 미보관)을 내세우고, 일부는 독립 감사를 통해 이를 검증받았다.

비밀번호 관리자(Bitwarden, 1Password 등)는 사이트마다 고유한 비밀번호를 생성·저장한다. 하나의 비밀번호가 유출돼도 다른 계정은 안전하다. “모든 사이트에 같은 비밀번호”를 쓰는 등급 1과 근본적으로 다른 구조다.

**2FA(이중 인증)**는 비밀번호가 털려도 두 번째 인증(문자, OTP 앱, 보안 키)을 통과해야 로그인되게 만든다. 계정 탈취의 99% 이상이 비밀번호 유출에서 시작되는데, 2FA가 그 경로를 끊는다.

이 등급의 프로필: IT에 관심 많은 직장인, 이직 준비 중이라 회사 네트워크에서 흔적 남기기 싫은 사람, 온라인 금융거래를 자주 하는 사람, 데이팅 앱 사용 흔적을 숨기고 싶은 사람.

🟢 일반 사용자 대부분은 여기까지면 충분하다. 통신사 추적, 계정 해킹, 공공 와이파이 도청 — 일반인이 현실적으로 마주치는 위협의 대부분이 이 단계에서 막힌다. 여기서 더 올라갈 필요가 있는지는 본인의 상황에 달려 있다.

등급 4: 라우터 VPN + 가상머신 + 암호화 메신저

“앱 하나 깔고 끝”이 아니라, 네트워크 구조 자체를 손보는 단계다.

라우터 VPN은 공유기 자체에 VPN을 설정한다. 이렇게 하면 그 공유기에 연결된 모든 기기 — 노트북, 스마트폰, 스마트 TV, IoT 기기 — 가 자동으로 VPN을 거친다. 앱을 개별 설치할 필요가 없고, VPN을 지원하지 않는 기기(게임 콘솔, 스마트 냉장고 등)까지 커버된다.

**가상머신(VM)**은 운영체제 안에 별도의 운영체제를 돌리는 거다. VirtualBox나 VMware 같은 프로그램으로 리눅스를 띄우고, 민감한 작업은 거기서만 한다. VM 안에서 벌어진 일은 호스트 OS(본인의 윈도우나 맥)에 흔적을 남기지 않는다. VM을 삭제하면 그 안의 모든 데이터가 통째로 사라진다.

암호화 메신저는 Signal이 대표적이다. 종단간 암호화(E2EE)가 기본 적용되어, 서버 운영자조차 메시지 내용을 볼 수 없다. 카카오톡은 “비밀 채팅”에서만 E2EE를 지원하고, 일반 채팅은 서버에 평문으로 저장된다.

이 등급의 프로필: 프리랜서/사업가로 경쟁사에 비즈니스 정보 노출이 신경 쓰이는 사람, 이혼 소송 준비 중이라 디지털 증거가 민감한 사람, 정신건강 상담을 온라인으로 받으면서 기록이 남는 게 걱정되는 사람.

🟡 “해야 하나?”보다 “내 상황이 그 정도인가?”를 먼저 판단해라. 일반적인 인터넷 사용이라면 등급 3이면 과잉이 아니라 충분한 거다. 등급 4는 “내 통신 내용이 유출되면 실질적 피해가 생기는” 사람에게 맞는 수준이다.

등급 5: Tails + Tor + 물리 분리 + 코인 결제

프라이버시의 끝이다. 여기까지 오면 “편의성”이라는 단어가 사전에서 사라진다.

Tails OS는 USB에서 부팅되는 운영체제다. 모든 인터넷 연결이 Tor 네트워크를 통해 자동으로 라우팅되고, Tor를 거치지 않는 연결은 방화벽이 차단한다. 핵심은 “amnesic(기억하지 않는)” 설계 — Tails는 컴퓨터의 RAM에서만 돌아가기 때문에, USB를 뽑는 순간 모든 데이터가 물리적으로 사라진다. 하드디스크에 흔적이 남지 않는다. 에드워드 스노든이 NSA 기밀 문서를 폭로할 때 쓴 운영체제다.

**Tor(The Onion Router)**는 인터넷 트래픽을 전 세계 자원봉사 서버 3개 이상을 거쳐 라우팅한다. 각 구간은 암호화되어, 어느 하나의 서버도 출발지와 목적지를 동시에 알 수 없다. 대신 속도가 느리다. 유튜브 영상 하나 보는 데도 인내심이 필요하다.

**물리 분리(Air Gap)**는 민감한 작업용 기기를 인터넷에 아예 연결하지 않는 거다. 극단적이지만, 네트워크에 연결되지 않은 기기는 원격 해킹이 물리적으로 불가능하다.

코인 결제는 Monero(XMR) 같은 프라이버시 코인을 말한다. Monero는 모든 거래에서 송신자, 수신자, 금액이 기본적으로 숨겨진다. 링 서명(ring signature), 스텔스 주소, RingCT 같은 기술이 적용돼서 블록체인을 분석해도 거래를 추적하기가 극히 어렵다. 비트코인은 거래가 공개 장부에 기록되기 때문에 프라이버시 목적으로는 적합하지 않다.

이 등급의 프로필: 이런 글에서 구체적 프로필을 나열하는 건 적절하지 않다. 다만 이 등급이 현실적으로 필요한 사람은 본인이 해당되는지 이미 알고 있다.

🔴 이 등급은 “해보고 싶다”로 접근하는 게 아니다. 일상적 편의성을 거의 전부 포기해야 하고, 하나라도 잘못 설정하면 오히려 보안 구멍이 생긴다. 내부고발자, 분쟁 지역 기자, 적대적 정부 환경의 인권 활동가 — 이 사람들한테 프라이버시는 취미가 아니라 생존이다.

나는 어디에 해당하나

등급을 올리는 건 쉽다. 문제는 “올릴 필요가 있냐”다.

등급 1에서 3으로 가는 건 비용 대비 효과가 압도적이다. 유료 VPN 월 1만 원 내외, 비밀번호 관리자는 무료(Bitwarden)부터 있고, 2FA는 앱 하나 깔면 끝이다. 이 세 가지로 일반인이 마주치는 현실적 위협의 대부분을 막는다.

등급 3에서 4로 가는 건 기술 지식이 필요하다. 라우터 펌웨어를 건드려야 하고, 가상머신 개념을 이해해야 하고, Signal은 주변에 쓰는 사람이 없으면 의미가 없다.

등급 4에서 5로 가는 건 일상을 포기하는 거다. Tails로 넷플릭스를 볼 수 없고, Tor로 카카오톡을 할 수 없고, Monero로 배달 음식을 시킬 수 없다.

판단 기준은 이거다. “내 인터넷 활동이 유출됐을 때, 그게 부끄러운 수준인가 위험한 수준인가?” 부끄러운 수준이면 등급 3이면 된다. 위험한 수준이면 등급 4 이상을 고려해라.

다만, 선은 분명히 있다

이 글은 프라이버시 도구의 기술적 구조를 설명한 거지, 특정 행위를 부추기거나 막으려는 글이 아니다.

뭘 보고, 뭘 검색하고, 누구랑 대화하든 — 그건 개인의 영역이다. 이 글은 그걸 심판하지 않는다.

하지만 이 도구들을 써서 타인에게 피해를 주는 순간 — 리벤지 포르노를 유포하거나, 아청물을 배포하거나, 사기에 활용하거나 — 그건 프라이버시가 아니라 범죄다. “추적이 어렵다”는 기술적 사실이 “해도 된다”는 의미는 아니다.

프라이버시는 자기 자신을 지키는 도구다. 남을 해치는 무기가 아니다.

오늘 당장 할 수 있는 것

등급 1에서 3으로 올라가는 데 30분이면 된다.

1. 유료 VPN 하나 설치한다. NordVPN, ProtonVPN, Mullvad 중 아무거나. 무료 VPN은 피해라.
2. Bitwarden 깔고 비밀번호를 정리한다. 기존 사이트 비밀번호를 하나씩 고유한 값으로 바꿔라.
3. 주요 계정에 2FA를 건다. 구글, 네이버, 카카오, 은행 — Google Authenticator나 Authy 앱이면 된다.

이 세 가지면 한국 인터넷 사용자 상위 5%의 프라이버시 수준이다. 거기서 더 필요하다고 느낄 때 등급 4를 고민해도 늦지 않다.