VPN 위치 주장과 실제 트래픽 출구 불일치

• 20개 주요 VPN을 분석한 결과, 17개 서비스의 실제 트래픽 출구가 주장된 국가와 달랐음, 다수는 미국이나 유럽의 동일한 데이터센터를 사용
• 150,000개 이상의 VPN 출구 IP를 측정한 결과, 38개 국가는 ‘가상 전용’ 으로 실제 트래픽이 해당 국가에서 나오지 않았음
• Mullvad, IVPN, Windscribe만이 모든 국가에서 주장과 실제 위치가 일치했으며, 나머지는 상당한 불일치 존재
• ‘가상 위치’ 는 VPN이 특정 국가로 표시하지만 실제로는 다른 지역(예: 마이애미, 런던 등)에서 트래픽이 나가는 구조
• VPN의 국가 수 주장과 실제 물리적 위치 간의 괴리는 투명성과 신뢰 문제로 이어지며, IPinfo는 이를 해결하기 위해 ProbeNet 기반 실측 데이터 접근법을 사용

대규모 VPN 위치 불일치 조사 결과

• IPinfo는 20개 인기 VPN을 분석해 17개가 실제 트래픽 출구 국가와 다름을 확인
  • 일부 VPN은 100개 이상 국가를 지원한다고 주장하지만, 실제로는 미국·유럽의 소수 데이터센터를 공유
• 총 150,000개 출구 IP를 137개 국가 기준으로 측정
  • 38개 국가는 가상 전용으로, 어떤 VPN에서도 실제 트래픽이 해당 국가에서 나오지 않음
  • 3개 VPN만이 모든 주장된 위치를 실제로 확인 가능
  • 약 8,000건의 IP 위치 오류가 기존 데이터셋에서 발견됨
• ProbeNet의 측정 결과, 대부분의 VPN이 주장보다 적은 실제 국가 수를 보유

VPN별 실제 측정 결과

• 각 VPN의 주장 국가 수와 실제 측정된 국가 수를 비교
  • Mullvad, IVPN, Windscribe는 불일치 0%로 완전 일치
  • NordVPN, ExpressVPN, CyberGhost 등은 절반 이상이 가상 또는 측정 불가
• VPN의 국가 수가 많을수록 불일치 비율이 높았으며, ‘100+ 국가’ 주장은 신뢰하기 어려움

가상 위치(Virtual Location)의 의미

• VPN이 “바하마”나 “소말리아”를 표시해도 실제 트래픽은 미국 마이애미나 영국 런던에서 나올 수 있음
  • IP 등록 정보도 자가 신고 기반으로 “Country X”로 표시되지만, 실제 네트워크 측정은 다른 국가로 나타남
• IPinfo의 ProbeNet은 1,200개 이상의 글로벌 측정 지점을 통해 실제 RTT(왕복 지연시간) 기반 위치를 확인
• 전체 데이터에서 97개 국가가 가상 또는 측정 불가, 그중 38개 국가는 완전히 가상 위치로만 존재

사례 연구: 바하마와 소말리아

• 바하마: NordVPN, ExpressVPN, PIA, FastVPN, IPVanish 모두 미국에서 트래픽이 측정됨
  • RTT는 마이애미 기준 0.15~0.42ms로 실제 미국 내 서버임을 시사
• 소말리아: NordVPN과 ProtonVPN이 “Mogadishu”로 표시하지만, 실제 트래픽은 프랑스 니스와 영국 런던에서 측정
  • RTT 0.33~0.37ms로 유럽 내 서버임이 확인

기존 IP 데이터셋의 오류

• 기존 IP 데이터 제공자들은 자가 신고 기반 정보를 사용해 VPN의 잘못된 위치를 그대로 따름
• ProbeNet 측정과 기존 데이터셋 간 736개 VPN 출구 IP 비교 결과:
  • 1,000km 이상 오차 83% , 5,000km 이상 오차 28% , 8,000km 이상 오차 12%
  • 중앙값 오차 약 3,100km
• ProbeNet은 평균 RTT 0.27ms, 90%가 1ms 이하로 실제 물리적 위치 근접성 확인

신뢰 문제와 기술적 이유

• 가상 위치 사용의 기술적 이유
  • 규제·감시 위험 회피, 인프라 품질 차이, 비용 절감 및 성능 향상
• 그러나 신뢰 문제는 다음에서 발생
  • 명시적 공개 부족: “Virtual Bahamas (US-based)”처럼 표시하지 않음
  • 규모 문제: 수십 개 국가가 전부 가상 위치로만 존재
  • 데이터 의존성: 언론, NGO, 보안 시스템 등이 잘못된 위치 정보를 신뢰할 위험

사용자에게 주는 시사점

• ‘100+ 국가’ 표시는 마케팅 수치로 간주해야 함
  • 17개 VPN에서 97개 국가는 실제 존재하지 않음
• VPN의 위치 표시 방식 확인 필요: 가상 서버 여부, 실제 호스팅 위치 공개 여부
• IP 데이터 활용 시 출처 검증 필요: 단순 정확도 수치보다 측정 기반 데이터 여부 확인
• VPN 사용의 문제라기보다, 투명성과 증거 기반 데이터의 중요성 강조

IPinfo의 측정 기반 접근법

• 기존 IP 데이터 제공자는 RIR 등록 정보와 자가 신고 데이터에 의존
• IPinfo는 ProbeNet 기반 실측 방식을 채택
  1. 1,200개 이상 PoP(측정 지점) 운영
  2. RTT 기반 실시간 측정으로 IPv4·IPv6 주소 위치 파악
  3. 증거 기반 지리정보로 실제 인터넷 동작에 근거한 위치 산출
• 이 접근법은 자가 신고 오류를 줄이고, 실측 데이터 중심의 정확도 확보를 목표로 함

조사 방법론

• 20개 VPN 제공자의 웹사이트, 설정 파일, API 등에서 6백만 개 이상의 데이터 포인트 수집
• 각 VPN 위치에 직접 연결해 출구 IP와 RTT 측정
• VPN이 주장한 국가와 ProbeNet이 측정한 실제 국가를 비교
• 명확히 주장된 위치만 분석 대상으로 포함, 모호하거나 측정 불가한 경우 제외
• 결과적으로 보수적인 기준으로도 높은 불일치율 확인, 느슨한 기준을 적용하면 불일치율은 더 높을 가능성 있음