VPN 쓰면 경찰 수사에서 진짜 안 잡히나?

“VPN 쓰면 추적 안 된다”는 말과 “경찰이 다 잡는다”는 말이 인터넷에 동시에 돌아다닙니다.

둘 다 반만 맞습니다.

VPN이 수사를 어렵게 만드는 건 사실이지만, “쓰기만 하면 무적”은 아닙니다. 반대로 경찰이 VPN 사용자를 추적하는 게 기술적으로 얼마나 어려운지를 구체적으로 아는 사람도 많지 않습니다.

공포 마케팅도, 근거 없는 안심도 치우고 — 수사 절차를 단계별로 뜯어본다.

경찰이 IP를 추적하는 실제 절차

한국 경찰이 온라인에서 누군가를 특정할 때, 절차는 크게 두 단계다.

1단계: IP 주소 확보

범죄가 발생한 플랫폼(커뮤니티, SNS, 메신저 등)에 “이 게시글/메시지를 올린 사람의 IP를 알려달라”고 요청한다. 국내 서비스(네이버, 카카오 등)는 비교적 빠르게 응한다. 해외 서비스(트위터, 텔레그램 등)는 국제 사법 공조가 필요하고, 수개월이 걸린다.

2단계: IP → 실제 사람 특정

확보한 IP가 누구 건지 알려면 통신사에 조회해야 한다. 여기에 두 가지 법적 경로가 있다.

• 통신자료 제공(전기통신사업법 제83조 제3항): 가입자 이름, 주민번호, 주소, 전화번호 등. 수사기관이 서면으로 요청하면 통신사가 제공할 수 있다. 법원 허가가 필요 없다.
• 통신사실확인자료(통신비밀보호법 제13조): IP 주소, 접속 일시, 기지국 위치 등. 이건 법원의 허가를 받아야 한다.

🟢 일반 사용자: 이 절차 자체가 복잡해 보이지만, VPN 없이 일반 인터넷을 쓰면 IP → 통신사 조회 → 본인 특정까지 수사기관 입장에서는 일직선이다.

VPN을 쓰면 이 절차가 어디서 끊기나

VPN을 켜면 위 절차의 1단계에서부터 상황이 달라집니다.

플랫폼이 경찰에 넘기는 IP는 내 실제 IP가 아니라 VPN 서버의 IP다. 경찰이 그 IP를 추적하면 VPN 업체에 도달하게 된다.

여기서 갈림길이 생긴다.

국내 VPN 업체라면 — 전기통신사업법에 따라 수사기관의 자료 제공 요청에 응할 수 있다. 이용자 정보와 접속 기록을 넘기면 추적이 이어진다. 프라이버시가 목적이라면 국내 VPN은 의미가 없다.

해외 노로그 VPN 업체라면 — 상황이 완전히 다르다. 한국 수사기관이 해외 VPN 업체에 직접 요청할 권한이 없다. 국제 사법 공조를 통해야 하는데, 이 절차만 수개월이 걸린다. 그리고 VPN 업체가 “노로그(No-Log) 정책”을 운영한다면 — 접속 기록 자체를 저장하지 않기 때문에 넘겨줄 데이터가 없다.

수사가 여기서 막힙니다. IP는 VPN 서버까지만 추적되고, VPN 서버 뒤의 실제 사용자를 특정할 기록이 존재하지 않습니다.

노로그 정책은 진짜 믿을 수 있나

“노로그라고 광고하지만 실제로는 기록할 수 있는 거 아니야?” — 합리적인 의심이다.

이걸 검증하는 방법은 두 가지다. 제3자 감사와 법집행 실전 테스트.

감사로 검증된 사례:

• NordVPN — Deloitte가 2018년부터 6회 감사. 가장 최근은 2025년 12월, ISAE 3000 국제 보증 기준에 따라 노로그 확인.
• ExpressVPN — KPMG가 2025년 2월 ISAE 3000 Type 1 기준으로 TrustedServer 기술과 노로그 정책 검증.
• Mullvad — 2025년 8월, 스웨덴 보안 컨설팅 기업 Assured가 침투 테스트 및 노로그 검증 완료.

법집행으로 검증된 사례:

• 2017년 터키 정부가 ExpressVPN 서버를 물리적으로 압수했지만, 고객 활동 로그나 연결 로그를 찾지 못했습니다. 서버가 RAM에서만 구동되기 때문에 전원이 꺼지면 데이터가 사라집니다.
• 2023년 스웨덴 경찰이 Mullvad 사무실을 압수수색했지만, 넘길 데이터가 없었다. IP 주소, 트래픽 로그, 연결 타임스탬프 — 아무것도 보관하지 않았기 때문이다.

🟢 일반 사용자: 제3자 감사 + 법집행 실전 검증을 모두 통과한 VPN(NordVPN, ExpressVPN, Mullvad 등)은 노로그 정책의 신뢰도가 높다. “광고만 노로그”인 업체와는 다르다.

🟡 민감한 상황: RAM 전용 서버(디스크에 기록하지 않는 구조)를 운영하는 VPN을 선택하면, 서버가 물리적으로 압수되더라도 데이터가 남지 않는다. ExpressVPN의 TrustedServer, NordVPN의 RAM 기반 서버가 이 구조다.

통신사 로그는 얼마나 보관되나

VPN 없이 인터넷을 쓴 경우, 통신사 기록이 수사의 마지막 퍼즐이다.

통신비밀보호법 시행령 제41조에 따른 법정 보관기간은 이렇습니다.

• 인터넷 로그기록자료·접속지 추적자료 (법 제2조 제11호 마목·사목): 3개월
• 전기통신일시·상대방번호·기지국 위치 등 (법 제2조 제11호 가~라목·바목): 12개월 (시내·시외전화는 6개월)

즉 통신사가 보관하는 인터넷 접속 IP 기록의 법정 최소 보관기간은 3개월이다. 12개월은 통화 관련 자료(누구에게 전화했는지, 기지국 위치 등)에 해당한다. 이 구분을 혼동하는 글이 많으니 주의해라.

해외 서비스에 대한 사법 공조가 수개월 걸리더라도, 3개월 안에 IP → 통신사 조회가 이루어지면 사용자 특정이 가능하다. VPN 없이 접속한 기록은 이 기간 동안 살아 있다.

🟢 일반 사용자: VPN을 쓰면 통신사 로그에 목적지 사이트가 아닌 VPN 서버 IP만 남는다. “VPN 서버에 연결했다”는 기록은 남지만, 거기서 뭘 했는지는 확인할 수 없다.

VPN 써도 잡히는 경우

VPN 자체가 뚫려서 잡히는 경우는 거의 없다. 잡히는 건 VPN 밖에서 실수해서다.

실제로 적발되는 패턴:

• 실명 결제: VPN 서비스를 본인 신용카드로 결제. 수사기관이 VPN 계정 → 결제 정보로 역추적.
• 계정 연결: VPN을 켜놓고 네이버나 구글에 본인 계정으로 로그인. 해당 서비스가 계정 활동을 기록.
• VPN 연결 전 접속: VPN 켜기 전에 사이트에 먼저 접속하면 실제 IP가 한 번 찍힘.
• 동일 패턴 반복: 같은 시간대, 같은 행동 패턴, 같은 문체 — IP가 아닌 행동 분석으로 대상이 좁혀짐.
• 무료/국내 VPN 사용: 무료 VPN은 로그를 팔아서 수익을 내는 구조가 대부분이고, 국내 VPN은 법적으로 자료 제공 의무가 있음.

다크웹 범죄자들이 적발된 사례를 보면, Tor나 VPN이 뚫려서가 아니라 자금 흐름(암호화폐 거래소 KYC, 은행 계좌)이나 사용자 실수(실명 이메일, 동일 닉네임 재사용)로 특정된 경우가 대부분이다.

🔴 OPSEC 필요: 내부고발, 기자 취재원 보호 수준이면 VPN만으로는 부족하다. Tor + VPN 체이닝, 암호화폐 결제, 전용 기기, Tails OS 같은 조합이 필요한 영역이고, 이건 별도 주제다.

”추적이 어렵다”는 말이 적용되는 범위

이 글은 “수사 절차가 기술적으로 어떻게 작동하는가”를 다루는 글이지, “수사를 피하는 법”을 알려주는 글이 아닙니다.

뭘 보든, 뭘 검색하든 그건 개인의 영역이고 이 글이 판단할 일이 아닙니다.

선은 유통에서 갈립니다.

리벤지 포르노를 퍼뜨리는 건 이미 한 번 피해를 입은 사람에게 상처를 다시 찢는 행위다. 아동·청소년 성착취물을 유포하는 건 아이의 고통을 상품으로 만드는 행위다. 거기에 돈까지 붙으면 — 그 돈을 벌기 위해 자기 안의 뭔가를 죽여야 하고, 한번 넘은 선은 돌아오지 않는다.

그리고 유통 쪽은 수사 구조 자체가 다르다. 피해자 신고가 들어오고, 디지털 포렌식이 동원되고, 국제 공조가 적극적으로 이루어진다. “추적이 어렵다”는 이야기는 소비 측에 해당되는 거지, 유통 측의 이야기가 아니다.

정리

수사 절차를 기술적으로 요약하면 이렇다.

경찰은 플랫폼에서 IP를 받고, 그 IP를 통신사에 조회해서 사람을 특정한다. VPN은 이 첫 단계에서 실제 IP 대신 VPN 서버 IP를 남기고, 해외 노로그 VPN이면 거기서 수사가 사실상 끊긴다. 노로그 정책은 제3자 감사와 법집행 실전에서 검증된 업체들이 있다.

하지만 VPN은 만능이 아니다. 잡히는 건 VPN이 뚫려서가 아니라, VPN 밖에서 실수하기 때문이다.

🟢 일반 사용자 — 이것만 챙기면 된다:

1. 해외 노로그 VPN 사용 (제3자 감사 통과한 업체)
2. VPN 접속 전에는 민감한 사이트 접속하지 않기
3. VPN 연결 상태에서 본인 계정 로그인 피하기

🟡 조금 더 신경 쓰고 싶다면:

• VPN 결제 시 암호화폐 또는 기프트카드 사용
• 킬스위치(VPN 연결 끊기면 인터넷 자동 차단) 활성화
• ipleak.net에서 IP·DNS 유출 여부 확인

지금 VPN 없이 인터넷을 쓰고 있다면, 통신사에는 접속한 모든 사이트의 기록이 최소 3개월간 남아 있다. 그게 신경 쓰인다면 VPN을 시작할 이유는 충분하다.