VPN 순위 — 포렌식 수사관 관점에서 본 진짜 안전한 VPN

VPN 순위 글이 넘쳐나지만, 대부분 “속도가 빠르다”, “서버가 많다”, “OTT 우회가 잘 된다”를 기준으로 매긴다.

그건 프라이버시 관점에서는 틀린 기준이다.

수사기관이 VPN 사용자를 추적할 때 보는 건 속도가 아니라 — 로그가 있는지, 관할권이 어디인지, 결제 정보로 역추적이 가능한지다. 포렌식 분석 경험을 가진 사람이 “이 VPN은 수사를 어디서 끊는가”를 기준으로 VPN을 평가하면, 순위가 완전히 달라진다.

5가지 평가 기준

VPN을 포렌식/수사 관점에서 평가할 때 보는 기준은 다섯 가지다.

1. 노로그 정책 감사 여부 — “노로그”라고 광고하는 건 쉽다. Deloitte, KPMG 같은 제3자 감사 기관이 실제 서버를 들여다보고 “로그 없음”을 확인했는지가 핵심이다.

2. 관할권 — VPN 업체의 본사가 어느 나라에 있는가. 파이브 아이즈(Five Eyes — 미국·영국·캐나다·호주·뉴질랜드 정보 동맹), 나인 아이즈, 포틴 아이즈 동맹국 안에 있으면 정보 공유 압박이 존재한다.

3. 수사기관 요청 대응 이력 — 실제로 수사기관이 데이터를 요청했거나, 서버를 물리적으로 압수했을 때 어떤 결과가 나왔는가.

4. 킬스위치 구현 수준 — VPN 연결이 끊어졌을 때 실제 IP가 노출되지 않도록 인터넷 자체를 차단하는 기능. 구현 방식에 따라 보호 수준이 다르다.

5. 결제 익명성 — 신용카드로 결제하면 VPN 계정과 실명이 연결된다. 수사기관이 VPN 업체에 “이 계정 누구 거냐”고 물으면 결제 정보로 답이 나온다.

1위: Mullvad — 추적할 단서 자체가 없다

Mullvad는 가입할 때 이메일이 필요 없다. 아이디도, 비밀번호도 없다. 16자리 숫자 코드 하나만 발급된다. 결제는 현금(봉투에 넣어 스웨덴 사무실로 우편 발송), 모네로(Monero — 추적 저항성이 강한 암호화폐), 비트코인을 받는다.

수사관 입장에서 이게 왜 문제인지 보겠다. VPN 업체에 “이 계정 누구 거냐”고 물어도, 이메일이 없으니 이메일로 역추적이 안 된다. 결제 정보를 요청해도, 현금이나 모네로로 결제했으면 누가 냈는지 알 길이 없다. 계정 자체가 익명이다.

노로그 감사: 2025년 8월, 스웨덴 보안 컨설팅 기업 Assured가 침투 테스트 및 노로그 검증 완료. 2024년에도 별도 감사에서 “높은 보안 수준”을 확인받았다. 법집행 검증: 2023년 4월, 스웨덴 경찰(NOA) 6명이 뫼테보리(Gothenburg) 사무실을 영장을 가지고 압수수색했다. 결과 — IP 주소, 트래픽 로그, 연결 타임스탬프 아무것도 없었다. 넘길 데이터가 존재하지 않았다. 관할권: 스웨덴. 포틴 아이즈(14 Eyes) 동맹국이라는 점은 약점이다. 하지만 데이터 자체를 보관하지 않으니, 동맹이고 뭐고 넘길 게 없다. 경찰 압수수색에서 이미 증명된 부분이다.

킬스위치: 일반 킬스위치 외에 “항상 VPN 필요(Always Require VPN)” 기능이 있다. 이건 VPN이 꺼지면 인터넷 자체를 차단하는 게 아니라, 운영체제 수준에서 VPN 터널 외의 모든 트래픽을 원천 차단한다. 업계에서 가장 공격적인 구현이다.

약점: 한국 서버가 없다. 넷플릭스 같은 OTT 스트리밍 우회를 공식 지원하지 않는다. 동시 접속 기기가 5대로 제한된다. 사용자 풀이 작아서 “VPN 트래픽”이라는 게 눈에 띌 수 있다.

2위: ProtonVPN — 관할권이 강력하다

ProtonVPN의 가장 큰 장점은 스위스 관할권이다. 스위스는 파이브 아이즈, 나인 아이즈, 포틴 아이즈 어디에도 속하지 않는다. EU 회원국도 아니다. 스위스 연방 데이터 보호법(FADP)은 개인정보 보호 수준이 높고, 외국 수사기관의 직접 요청을 받아들일 법적 의무가 없다.

노로그 감사: 2025년 8월, 유럽 보안 감사 기업 Securitum이 4번째 연속 노로그 감사를 완료했다. “사용자 활동 로깅, 연결 메타데이터 저장, 네트워크 트래픽 감시에 해당하는 사례가 전혀 없음”을 확인했다. 수사기관 대응: ProtonVPN의 투명성 보고서에 따르면 2025년 상반기까지 29건의 법적 요청을 받았고, 29건 전부 거부했다. 법적으로 ProtonVPN은 보유하지 않는 데이터를 수집하도록 강제할 수 없다. 관할권: 스위스 제네바. 정보 동맹 밖이라는 점에서 관할권 면에서는 이 목록에서 가장 강력하다.

킬스위치: 운영체제 수준 킬스위치 지원. VPN 연결이 끊기면 모든 인터넷 트래픽을 즉시 차단한다.

결제: 가입 시 이메일이 필요하다(프로톤 메일 사용 가능). 현금 우편 결제를 받는다. 비트코인도 가능하다. Mullvad만큼은 아니지만, 익명 결제 옵션이 존재한다.

약점: 가입에 이메일이 필요하다는 점에서 Mullvad보다 익명성이 떨어진다. 한국 서버가 있지만 실제 물리 서버는 싱가포르에 있는 가상 서버다. 멀티홉(Secure Core) 사용 시 속도가 떨어진다.

3위: ExpressVPN — 법집행 실전 검증이 가장 오래됐다

ExpressVPN의 강점은 법집행 검증의 역사가 가장 길다는 점이다.

노로그 감사: KPMG가 2025년 2월 ISAE 3000 기준으로 3번째 노로그 감사를 완료했다. 누적 19건의 제3자 감사 보고서를 공개했으며, 이는 VPN 업계에서 가장 많은 숫자다. 법집행 검증: 2017년 터키 정부가 ExpressVPN 서버를 물리적으로 압수했다. 서버가 RAM에서만 구동되는 TrustedServer 기술을 사용하고 있었기 때문에, 전원이 꺼지면 모든 데이터가 사라진다. 터키 당국은 고객 활동 로그나 연결 로그를 찾지 못했다. 관할권: 영국령 버진아일랜드(BVI). 영국 해외 영토이지만 자체 입법권을 가진 자치 관할권이다. VPN 사업자에 대한 의무적 데이터 보관법이 없다.

킬스위치: Network Lock이라는 이름으로 구현. VPN 연결이 끊기면 모든 트래픽을 차단한다.

결제: 비트코인 결제를 지원한다. 하지만 가입 시 이메일이 필요하다.

약점: 2021년 모회사 Kape Technologies(구 Crossrider — 과거 애드웨어 사업 이력)에 인수됐다. 기술적으로 노로그가 감사에서 확인되고 있지만, 모회사 이력에 대한 신뢰 문제가 존재한다. 가격이 비싸다.

4위: NordVPN — 감사 횟수와 인지도

NordVPN은 제3자 감사 횟수에서 강점을 보인다.

노로그 감사: Deloitte가 2025년 11~12월에 6번째 노로그 감사를 완료했다. ISAE 3000 기준으로 표준 VPN 서버, 더블 VPN, Onion over VPN, 난독화 서버까지 전부 검사했다. 관할권: 파나마. 파이브 아이즈, 나인 아이즈, 포틴 아이즈 밖이다. 의무적 데이터 보관법도 없다. 관할권 면에서는 좋은 위치다.

킬스위치: 앱 수준과 시스템 수준 두 가지 킬스위치를 제공한다. 특정 앱만 차단하거나, 전체 인터넷을 차단하는 걸 선택할 수 있다.

결제: 암호화폐 결제를 지원한다. 가입 시 이메일이 필요하다.

약점: 2019년 핀란드 데이터센터에서 서버 1대가 무단 접근된 사건이 있었다. NordVPN 측은 “사용자 데이터 유출은 없었다”고 밝혔고, 이후 전 서버를 RAM 전용으로 전환하고 보안 감사를 강화했다. 사건 자체보다는 사건 공개가 7개월 늦었다는 점이 신뢰에 영향을 줬다. 또한 인지도가 높아서 서버 IP가 많이 차단당한다.

5위: Surfshark — 가성비는 좋지만 이력이 짧다

Surfshark는 가격 대비 기능이 좋고, 기기 무제한 동시 접속을 지원한다.

노로그 감사: Deloitte가 2025년 6월에 2번째 노로그 감사를 완료했다. ISAE 3000 기준. 관할권: 네덜란드. 나인 아이즈(9 Eyes) 동맹국이다. 관할권 면에서 이 목록의 다른 VPN보다 불리하다.

킬스위치: 앱 수준 킬스위치를 지원한다.

결제: 암호화폐 결제를 지원한다. 가입 시 이메일이 필요하다.

약점: 2022년 NordVPN의 모회사 Nord Security와 합병했다. 독립 운영을 유지한다고 밝혔지만, 같은 모회사 아래 있다. 노로그 감사 이력이 2회로 가장 짧다. 법집행 실전 검증 사례가 공개되지 않았다. 관할권이 나인 아이즈 동맹국이다.

기준별 비교 요약

기준	Mullvad	ProtonVPN	ExpressVPN	NordVPN	Surfshark
노로그 감사	Assured (2025)	Securitum 4회	KPMG 3회, 누적 19건	Deloitte 6회	Deloitte 2회
법집행 검증	2023 경찰 압수수색 통과	법적 요청 29건 전부 거부	2017 터키 서버 압수 통과	없음	없음
관할권	스웨덴 (14 Eyes)	스위스 (동맹 밖)	BVI (동맹 밖)	파나마 (동맹 밖)	네덜란드 (9 Eyes)
킬스위치	OS 수준, 항시 차단	OS 수준	Network Lock	앱/시스템 이중	앱 수준
결제 익명성	현금, 모네로, 이메일 불필요	현금, BTC, 이메일 필요	BTC, 이메일 필요	암호화폐, 이메일 필요	암호화폐, 이메일 필요

내 상황에 맞게 고르기

🟢 일반 사용자 — 통신사 기록이 신경 쓰여서, 카페 와이파이가 불안해서 VPN을 쓰는 거라면 — 이 5개 중 아무거나 써도 된다. 전부 노로그 감사를 통과했고, 기본적인 프라이버시 보호는 충분하다. ProtonVPN의 무료 플랜으로 시작해봐도 괜찮다.

🟡 결제 흔적도 남기기 싫다면 — Mullvad가 유일하게 이메일 없이 가입할 수 있고, 현금이나 모네로로 결제할 수 있다. “VPN을 쓴다”는 사실 자체도 연결되지 않길 원하면 Mullvad다. ProtonVPN도 현금 우편 결제를 받지만, 이메일 계정은 필요하다.

🔴 내부고발, 취재원 보호 수준 — VPN만으로는 부족하다. VPN은 시작점이지 끝이 아니다. 이 수준이면 Tor 브라우저, Tails OS, 물리적 기기 격리까지 갈 영역이다. 그래도 VPN 하나를 골라야 한다면 Mullvad + 모네로 결제 조합이 가장 추적 저항성이 높다.

다만, 선은 분명히 있다

이 글은 “어떤 VPN이 수사를 가장 잘 막아주는가”를 기술적으로 분석한 거지, “수사를 피하는 법”을 알려주는 글이 아니다.

뭘 보든 그건 개인의 영역이다. 이 글은 그걸 심판하려고 쓴 게 아니다.

선은 유통에서 갈린다. 리벤지 포르노를 유포하는 건 이미 피해를 입은 사람에게 상처를 다시 찢는 행위다. 아동·청소년 성착취물을 배포하는 건 아이의 고통을 상품으로 만드는 행위다. 그쪽은 수사 우선순위가 다르고, 디지털 포렌식이 동원되고, VPN을 쓰든 안 쓰든 피해자 신고가 들어오면 대상이 특정된다.

“추적이 어렵다”는 이야기는 프라이버시를 지키려는 사람에게 해당되는 거다.

정리

VPN을 고를 때 속도, 가격, OTT 우회 같은 편의 기능을 보는 건 자연스럽다. 하지만 VPN을 “프라이버시 도구”로 쓰는 거라면, 진짜 봐야 하는 건 — 노로그 감사를 통과했는지, 수사기관 앞에서 실제로 데이터가 없음을 증명했는지, 결제 정보로 역추적이 가능한지다.

이 기준으로 보면 Mullvad가 가장 강력하고, ProtonVPN이 관할권에서 가장 유리하다. ExpressVPN은 법집행 검증 이력이 가장 길고, NordVPN은 감사 횟수가 가장 많다. Surfshark는 이력이 짧지만 기본은 갖췄다.

지금 VPN을 쓰고 있다면 — 내가 쓰는 VPN이 위 다섯 가지 기준에서 어디에 해당하는지 확인해보는 것부터 시작하면 된다.