보안 사무실 셋팅 가이드 — 라우터부터 가상서버까지

사무실에서 뭔가 민감한 작업을 해야 하는 상황이 있다. 내부고발 자료를 정리하거나, 경쟁사 리서치를 하거나, 단순히 “내가 이 사무실에서 뭘 했는지 아무도 모르게 하고 싶다”거나.

이유는 각자 다르겠지만, 목표는 같다 — 이 사무실에서 나간 트래픽이 나한테 연결되지 않고, 이 PC에 작업 흔적이 남지 않는 것.

인터넷 선 하나 꽂고 크롬 열어서 일하면, 통신사부터 건물 관리자까지 내가 뭘 하는지 들여다볼 수 있는 구조다. 그걸 막으려면 물리 네트워크 자체를 바꿔야 한다.

4단 레이어 — 각각이 뭘 막는가

이 구조는 레이어 4개로 이루어진다. 하나씩 뭘 보호하는지 보겠다.

레이어 1: VPN 라우터 — ISP(인터넷 서비스 제공자, 즉 통신사)의 눈을 가린다.

사무실 인터넷 회선은 ISP를 거친다. ISP는 사무실에서 어디에 접속하는지 전부 볼 수 있다. VPN 라우터를 끼우면, 사무실에서 나가는 모든 트래픽이 암호화 터널을 타고 VPN 서버로 간다. ISP에게는 “이 사무실이 VPN 서버 하나에 연결 중”이라는 정보만 남는다. 그 안에서 뭘 하는지는 모른다.

레이어 2: VPN 서비스 — 접속 대상을 숨긴다.

라우터에 올리는 VPN 서비스는 내 실제 IP를 VPN 서버 IP로 바꿔준다. 내가 접속하는 웹사이트 입장에서는 한국의 어떤 사무실이 아니라 네덜란드나 스위스의 서버가 접속한 것으로 보인다. no-log 정책을 가진 VPN을 쓰면 VPN 업체조차 내 활동 기록을 보관하지 않는다.

레이어 3: VPS(가상 서버) — 로컬 PC에 작업 흔적을 남기지 않는다.

VPS(Virtual Private Server — 원격 가상 서버)에 SSH나 원격 데스크톱으로 접속해서 작업한다. 문서 편집, 웹 브라우징, 파일 다운로드 전부 VPS에서 일어난다. 내 PC에는 “VPS에 접속했다”는 연결 기록만 남고, 실제 작업 내용은 서버에만 존재한다. 작업이 끝나면 VPS를 날려버릴 수도 있다.

레이어 4: Tails OS — PC 자체에 흔적을 0으로 만든다.

Tails(The Amnesic Incognito Live System)는 USB에서 부팅하는 리눅스다. PC의 하드디스크를 아예 쓰지 않고 RAM에서만 돌아간다. 전원을 끄면 RAM이 날아가면서 모든 흔적이 사라진다. 브라우저 기록, 접속 로그, 작업 파일 — 전부 증발한다. Tails에서 VPS에 접속하면, 로컬에는 진짜 아무것도 남지 않는다.

정리하면 이렇다.

ISP → VPN 라우터(ISP 차단) → VPN 서비스(IP 은닉) → VPS(작업 분리) → Tails(로컬 흔적 제거)

레이어 1: VPN 라우터 — 왜 앱이 아니라 라우터인가

PC에 VPN 앱을 깔면 되지 않냐고 할 수 있다. 일반적인 용도라면 맞다. 하지만 사무실 전체를 보호하려면 라우터 단에서 걸어야 하는 이유가 있다.

부팅 타이밍 갭. PC를 켜고 VPN 앱이 연결되기까지 수 초가 걸린다. 그 사이에 운영체제가 보내는 DNS 쿼리, 시간 동기화, 업데이트 확인 요청은 ISP에 그대로 노출된다. 라우터에서 VPN을 걸면, PC가 어떤 상태든 나가는 트래픽은 전부 터널을 탄다.

앱을 못 까는 기기. 사무실에는 프린터, IP 전화기, NAS(네트워크 저장 장치) 같은 장비가 있다. 이것들에는 VPN 앱을 설치할 수 없다. 라우터 단에서 걸면 이 기기들도 자동으로 보호된다.

킬스위치 신뢰도. VPN 앱의 킬스위치(VPN 연결이 끊기면 인터넷도 차단하는 기능)가 100% 작동하리라는 보장이 없다. 라우터가 VPN 터널만 허용하도록 설정하면, 터널이 끊겨도 평문 트래픽이 빠져나갈 수 없다.

🟢 일반 사용자: 집에서 VPN 앱만 써도 충분하다. 라우터 VPN은 사무실이나 여러 기기를 동시에 보호해야 할 때 의미가 있다.

🟡 민감한 상황: 기자, 변호사, 회계사 등 의뢰인 정보를 다루는 직종이라면 라우터 단 VPN이 현실적인 기본 세팅이다.

🔴 OPSEC 필요: 내부고발자, 활동가, 적대적 환경에서 일하는 사람이라면 라우터 VPN은 시작점일 뿐이다. 레이어 3, 4까지 가야 한다.

레이어 2+3: VPN 서비스 + VPS — 작업을 물리적으로 분리한다

VPN 라우터로 ISP의 눈을 가렸다. 다음은 작업 자체를 내 PC에서 떼어내는 단계다.

VPN 서비스 선택 기준. 라우터에 올릴 VPN은 WireGuard 프로토콜을 지원하는 서비스를 고른다. OpenVPN보다 2~3배 빠르고 라우터 CPU 부하가 적다. Mullvad, ProtonVPN, IVPN이 no-log 정책과 라우터 호환성에서 검증된 편이다. 특정 서비스를 추천하진 않는다 — 각 서비스의 감사 보고서(audit report)와 관할권(jurisdiction)을 직접 확인해라.

VPS 선택 기준. 작업용 VPS는 익명 결제(암호화폐)를 지원하고 KYC(본인 인증)를 요구하지 않는 업체를 고른다. 스위스, 아이슬란드, 네덜란드 등 프라이버시 법제가 강한 국가에 서버를 두는 게 낫다. 월 10~30달러면 리눅스 VPS를 운영할 수 있다.

VPS에 접속하는 방식은 두 가지다.

SSH 터미널. 커맨드라인에서 텍스트 기반으로 작업한다. 가볍고 빠르다. 문서 작업이나 코딩에 적합하다.

원격 데스크톱(RDP/VNC). VPS에 GUI 환경을 올리고 화면을 전송받는다. 웹 브라우징이 필요하면 이쪽이다. 다만 대역폭을 많이 먹는다.

어느 쪽이든, 작업은 VPS에서 일어나고 내 PC에는 접속 기록만 남는다. VPS를 날리면 작업 기록도 같이 사라진다.

레이어 4: Tails — 마지막 흔적까지 없앤다

레이어 1~3으로 네트워크와 작업 환경을 분리했다. 하지만 내 PC의 운영체제(Windows, macOS)에는 여전히 흔적이 남는다. VPS에 접속한 SSH 클라이언트 로그, DNS 캐시, 최근 실행 프로그램 목록 — 포렌식 도구로 복원할 수 있는 것들이다.

Tails는 이걸 원천 차단한다.

USB에서 부팅하니까 PC의 하드디스크를 건드리지 않는다. 모든 네트워크 연결이 Tor(양파 라우팅 — 트래픽을 여러 서버에 걸쳐 암호화하는 익명 네트워크)를 통과한다. 전원을 끄면 RAM이 초기화되면서 세션 전체가 증발한다.

사용법은 단순하다. tails.net에서 이미지를 받아 USB에 굽고, PC에 꽂고 USB 부팅을 선택하면 된다.

🟢 일반 사용자: Tails까지는 필요 없다. VPN 라우터 + VPN 앱이면 충분하다.

🟡 민감한 상황: VPS에서 작업하되, 일반 OS에서 접속해도 된다. VPS를 날리면 작업 흔적은 서버와 함께 사라진다.

🔴 OPSEC 필요: Tails에서 VPN을 거쳐 VPS에 접속한다. 로컬 흔적 0, 네트워크 추적 극히 어려움. 내부고발, 기자 취재, 인권 활동 등 실질적 위협이 있는 경우에 해당한다.

현실적인 비용

이 구조는 기업 보안 솔루션처럼 비싸지 않다.

VPN 라우터: GL.iNet GL-MT3000 기준 10~15만원 (1회 구매). WireGuard와 OpenVPN 기본 지원. 기존 공유기 뒤에 연결하면 된다. ASUS RT 시리즈를 이미 갖고 있다면 추가 구매 없이 기본 펌웨어에서 VPN 클라이언트를 설정할 수 있다.

VPN 서비스: Mullvad 월 5유로, ProtonVPN Plus 월 약 10달러, IVPN 월 6달러. 연간 결제하면 더 싸다.

VPS: 프라이버시 중시 업체 기준 월 10~30달러. 일반 VPS(DigitalOcean, Vultr 등)는 월 5달러부터 가능하지만 KYC를 요구한다.

Tails OS: 무료. USB 메모리(8GB 이상) 하나만 있으면 된다.

합계: 초기 세팅비 약 1520만원, 월 유지비 약 25만원. 커피 한 잔 값 수준으로 사무실 네트워크 전체의 프라이버시 구조가 바뀐다.

기술은 도구다, 방향이 다를 뿐

이 글에서 다룬 건 “사무실에서 프라이버시를 확보하는 기술적 구조”다. 내부고발자가 자료를 안전하게 전달하거나, 기자가 취재원을 보호하거나, 변호사가 의뢰인 정보를 지키는 데 이 구조가 쓰인다면 — 그건 기본권의 영역이다.

기술은 도구다. 같은 칼로 요리를 하든 범죄를 저지르든 칼 자체가 달라지진 않는다.

선은 명확하다. 이 구조를 사기, 자금세탁, 불법 콘텐츠 유통에 쓰는 순간 — 기술적으로 추적이 어렵다는 게 면죄부가 되지 않는다. 수사기관은 네트워크 레이어만 보는 게 아니라 금융 흐름, 인적 네트워크, 운영 실수(OPSEC failure)를 추적한다. 실크로드 운영자는 Tor를 썼지만, 한 번의 실명 이메일 사용으로 잡혔다. 기술이 완벽해도 사람이 실수하면 끝이다.

프라이버시를 지키는 것과 범죄를 은닉하는 건 출발점부터 다르다.

정리 — 지금 할 수 있는 것

레이어 4개를 전부 갖출 필요는 없다. 자기 상황에 맞는 데까지만 하면 된다.

최소 세팅(🟢): VPN 라우터 하나 사서 사무실 공유기 뒤에 연결한다. 이것만으로 ISP와 건물 네트워크 관리자가 사무실 트래픽을 들여다보는 건 막을 수 있다. 30분이면 끝난다.

중간 세팅(🟡): VPN 라우터 + VPS. 작업 자체를 원격 서버에서 하면 로컬 PC에 흔적이 남지 않는다. 직업적으로 민감한 정보를 다루는 사람에게 현실적인 구성이다.

풀 세팅(🔴): VPN 라우터 + VPS + Tails. 로컬 흔적 0, 네트워크 추적 극히 어려움. 실질적인 위협이 있는 상황에서만 필요하다. 일반적인 업무에서 여기까지 갈 이유는 없다.

지금 가장 먼저 할 일은 하나다. 사무실 공유기 모델을 확인하고, VPN 클라이언트를 지원하는지 보는 것. 지원하면 VPN 설정 파일 올리고 연결하면 끝이고, 지원하지 않으면 GL.iNet 같은 소형 VPN 라우터를 하나 사면 된다.