요약: 2015년식 "카페 WiFi에서 누군가가 내 비밀번호를 엿볼 수 있다"는 고전적인 위협은 거의 사라졌습니다. HTTPS가 어디서나 쓰이고, HSTS 프리로드가 주요 사이트를 보호하며, SSL 스트립 공격의 공격 범위는 예전보다 훨씬 좁아졌습니다. 그러나 2026년에도 여전히 작동하는 공격 유형이 세 가지 있으며, 공격자들은 적응하고 있습니다. 이블 트윈 악성 AP(신뢰하는 네트워크를 복제해 기기가 자동으로 연결되도록 유도), 캡티브 포털 악용(이메일을 요구하거나 악성코드를 배포하는 시작 페이지), 메타데이터 계층의 트래픽 분석(암호화되어 있지만 관찰 가능한 정보: 대화 상대, 시간, 빈도, 데이터량)이 그것입니다. 실질적인 도움이 되는 대응책은 다음과 같습니다. 진짜 VPN 터널(DNS만이 아닌), MAC 무작위화 유지, 요청하지 않은 캡티브 포털 자격증명 입력 요청 무시, 그리고 Apple과 Google이 기본값으로 제공하는 보안 설정 유지.
전형적인 적대적 네트워크에서 실제로 일어나는 일
"적대적 네트워크"가 반드시 카페가 악의를 품고 있다는 뜻은 아닙니다. 대개는 다음 중 하나 이상을 의미합니다.
- 합법적인 네트워크 운영자가 데이터를 수집하고 있습니다 — 마케팅이나 분석 목적으로 연결된 기기 정보를 수집하는 것은 소매업체에서 매우 일반적이고, 호텔에서도 어느 정도 이뤄집니다.
- 같은 서브넷에 있는 다른 이용자가 관찰 도구를 실행하고 있습니다 — 예전보다는 드물어졌지만, 200달러짜리 장비로 누구나 쉽게 할 수 있습니다.
- 공격자가 근처에서 악성 액세스 포인트를 운영하고 있습니다 — 신뢰하는 네트워크와 동일한 SSID를 사용해 기기가 자동으로 연결되기를 기다립니다.
- 캡티브 포털이 악성 콘텐츠를 제공합니다 — 광고 삽입(불편함), 자격증명 피싱(해로움), 악성코드 배포(드물지만 파급력이 큼) 등의 형태입니다.
대부분의 사람들에게 대부분의 날에는, 이 중 어느 것도 실질적인 문제가 되지 않습니다. HTTPS 암호화가 활성 세션을 보호하고, 현대 운영체제의 기본 설정이 명백한 경우들을 처리합니다. 여전히 문제가 되는 경우는, 인내심 있는 공격자가 충분히 기다릴 만큼 오래 같은 네트워크에 머물거나, 캡티브 포털의 요청을 무심코 수락하거나, 기기가 실제로는 다른 네트워크인데 자신의 홈 네트워크라고 착각해 자동 연결할 때입니다.
공격 1 — 이블 트윈 (악성 액세스 포인트)
개요: 공격자가 휴대용 액세스 포인트(WiFi Pineapple, 또는 적절한 소프트웨어가 설치된 노트북)를 타깃 근처로 가져옵니다. 그리고 타깃 기기가 이전에 연결한 적 있는 네트워크 이름 — "attwifi", "xfinitywifi", "Starbucks WiFi", 집 네트워크 이름 등 — 과 동일한 SSID를 더 강한 신호로 송출합니다(또는 정상 AP가 아예 범위 밖에 있는 경우도 있습니다).
주머니 속에 있는 기기가 "알려진" SSID를 감지하고 자동으로 연결합니다. 이제 공격자가 네트워크가 됩니다. DNS 쿼리(그리고 암호화되지 않은 트래픽, 비록 요즘은 거의 없지만)를 볼 수 있고, 캡티브 포털 프롬프트를 실행할 수 있으며, 다른 후속 공격을 시도할 수 있습니다.
2026년 현실: 여전히 작동하지만, 적응된 형태로 이루어집니다. iOS 14 이상과 Android 10 이상 모두 사설 MAC 주소를 구현해, 기기가 각 SSID마다 다른 MAC을 제시하므로 네트워크 간 추적이 어려워졌습니다. 하지만 이것이 자동 연결 동작을 막지는 않습니다. 공격자는 실제 MAC이 필요하지 않고, 기기가 연결만 하면 됩니다. 더 도움이 된 것은 iOS 16 이상이 보안 수준이 낮은 네트워크(개방형, WEP, WPA 전용)에 대해 명시적으로 경고하고 자동 연결을 점점 더 적극적으로 막는다는 점이며, Android 13 이상도 유사한 기능을 제공합니다.
차단 방법: 공공 네트워크의 "자동 연결"을 끄세요 (iOS: 설정 → Wi-Fi → 네트워크 탭 → 자동 연결 끄기; Android도 UI가 약간 다를 뿐 동일한 경로). 연결한 네트워크에서는 VPN 터널을 사용하면, 공격자-네트워크는 암호화된 바이트만 볼 수 있어 트래픽을 읽거나, 콘텐츠를 삽입하거나, 캡티브 포털 자격증명 피싱을 성공적으로 실행할 수 없습니다(시도하면 브라우저가 인증서 불일치를 경고하므로).
공격 2 — 캡티브 포털 악용
개요: 호텔, 공항, 카페에서 WiFi에 연결할 때 나타나는 시작 페이지("계속하려면 이용약관에 동의하세요")입니다. 포털 페이지는 네트워크 인증 시스템에 의해 제공되며, 설계상 기기가 해당 네트워크에서 처음 보는 것입니다. VPN이 연결되기 전, HTTPS 경고에 맥락이 생기기 전, 누가 제공하는지 확실히 알기 전 단계입니다.
악용 방식은 세 가지입니다.
- 자격증명 수집: 시작 페이지가 "인증"을 위해 이메일과 비밀번호를 요청합니다. 많은 사람들이 다른 계정에서도 사용하는 비밀번호를 입력합니다. 공격자는 이제 이메일 + 비밀번호를 손에 넣게 됩니다.
- 드라이브바이 악성코드 배포: 시작 페이지가 "무료 커피 쿠폰"으로 연결하는 링크를 제공하는데, 이것이 악성 앱 다운로드입니다. 대부분의 현대 브라우저는 경고를 표시하지만, 모바일 사용자는 데스크톱 사용자보다 경고를 무시하고 진행하는 경향이 있습니다.
- 개인정보 수집: 시작 페이지가 "연결을 위해" 전화번호를 요청하면 입력하게 됩니다. 이 정보는 마케팅 데이터베이스에 저장되어 종종 재판매됩니다.
2026년 현실: 캡티브 포털 피싱은 줄어든 것이 아니라 더 늘었습니다. 사용자가 자발적으로 데이터를 입력하기 때문에 OS 수준의 보호(사설 MAC, VPN)는 여기서 도움이 되지 않습니다. iOS 17 이상과 Android 14 이상이 캡티브 포털을 샌드박스 미니 브라우저 안에서 열어 유출 경로를 제한하는 것이 도움이 되었지만, 사용자가 직접 입력한 데이터는 여전히 전송됩니다.
차단 방법: 캡티브 포털에 다른 곳에서 사용하는 비밀번호를 절대 입력하지 마세요. 중요한 용도로 사용하는 전화번호도 입력하지 마세요. 캡티브 포털을 기본적으로 적대적인 것으로 취급하세요. 네트워크가 실질적인 정보를 요구하는 "등록"을 요청한다면, 그 자리를 떠나 다음 한 시간은 셀룰러 데이터를 사용하세요. Casper's AI 위협 탐지는 캡티브 포털 도메인을 SMS 피싱과 동일한 방식으로 평가합니다. 알려진 악성 포털은 아무것도 입력하기 전에 차단됩니다.
공격 3 — 메타데이터 계층의 트래픽 분석
개요: 트래픽이 암호화되어 있더라도(HTTPS, TLS, 모든 현대 프로토콜), 같은 네트워크의 관찰자는 누구와 통신하는지, 언제, 얼마나 자주, 얼마나 많은 데이터가 오가는지 볼 수 있습니다. 내용은 읽을 수 없지만, 행동 프로파일을 구축할 수 있습니다.
적대적인 WiFi 네트워크에서 이것이 의미하는 바는 다음과 같습니다.
- 로컬 운영자는 내용을 볼 수 없더라도 은행, 의료 기관, 데이트 앱 등을 방문한다는 사실을 알 수 있습니다.
- 트래픽 데이터량의 패턴이 무엇을 하는지 드러냅니다(동영상 스트리밍은 특유의 형태가 있고, 메시지 앱도 다르며, 뱅킹도 다릅니다).
- DoH/DoT/DNS-over-VPN을 사용하지 않는 경우, DNS 쿼리가 호스트 이름 수준의 목적지를 노출합니다.
- TLS 서버 이름 표시(SNI)는 역사적으로 DNS가 암호화되어 있어도 목적지를 노출했습니다 — 암호화된 클라이언트 헬로(ECH)가 2025~2026년부터 이 격차를 좁히고 있습니다.
2026년 현실: ECH 도입이 의미 있는 수준으로 이루어졌습니다(Cloudflare가 2024년 말 기본값으로 활성화했고, 주요 브라우저도 안정 버전에서 지원). 하지만 적용 범위는 아직 부분적입니다. ECH를 활성화하지 않은 사이트에서는 SNI가 여전히 노출됩니다. ECH가 있더라도 IP 수준의 연결 목적지는 여전히 관찰 가능하며, IP-서비스 매핑은 공개되어 있습니다. Meta 소유의 IP 클러스터에 연결하는 것은, 모든 것이 암호화되어 있어도 관찰자에게 WhatsApp이나 Instagram을 사용한다는 사실을 알려줍니다.
차단 방법: 완전한 VPN 터널입니다. 로컬 네트워크를 떠나는 트래픽이 하나의 IP(VPN 엔드포인트)로 향하게 됩니다. 로컬 네트워크는 VPN을 사용한다는 사실만 알 수 있고, 그 이상은 아무것도 볼 수 없습니다. 이것이 적대적 네트워크에서의 트래픽 분석에 대한 가장 효과적인 단일 보호 수단입니다. DNS 전용 보호(NextDNS, Cloudflare 1.1.1.1)는 DNS 쿼리 채널에는 도움이 되지만, SNI나 IP 수준의 관찰에는 대응하지 못합니다. 그것을 위해서는 터널이 필요합니다. DNS 수준 필터링의 한계에 대한 심층 분석에서 이 격차를 정확히 다루고 있습니다.
더 이상 작동하지 않는 공격들
2015년대 가이드에서 집착하던 세 가지 고전적인 공공 WiFi 위협이지만, 2026년에는 대부분 해결되었습니다.
SSL 스트립 / SSL 스플릿
sslstrip(Moxie Marlinspike의 2009년 도구)은 네트워크에서 HTTPS를 HTTP로 다운그레이드하고 양식을 재작성했습니다. 수년간 카페의 단골 공격이었습니다. 오늘날: HSTS 프리로드는 자격증명을 처리하는 거의 모든 사이트(은행, 이메일 서비스, 소셜 등)를 보호합니다. 브라우저는 프리로드된 도메인의 다운그레이드를 거부합니다. HSTS가 없는 사이트는 존재하지만, 공격자가 읽고 싶어 할 만한 것을 거의 다루지 않습니다.
일반 MITM을 위한 ARP 스푸핑
공유 서브넷에서의 ARP 스푸핑은 공격자가 기기와 게이트웨이 사이에 끼어드는 것을 허용합니다. LAN 세그먼트에서는 여전히 작동하지만, 얻는 것은 암호화된 트래픽입니다. 위의 트래픽 분석 공격과 같은 문제입니다. 프리로드된 사이트에서 TLS도 무력화할 수 없는 한(일반적으로 불가능), "비밀번호 확인" 이점은 사라졌습니다.
로컬 네트워크에서의 DNS 스푸핑
적대적 네트워크 운영자는 쿼리하는 호스트 이름에 대해 잘못된 DNS 응답을 반환해 피싱 복제 사이트로 리디렉션할 수 있습니다. DNS가 암호화되지 않고 TLS 인증서를 위조하기 쉬웠을 때는 효과적이었습니다. 오늘날: 인증서 투명성 로그와 HSTS 프리로드는 피싱 복제 사이트가 대상 도메인에 대한 유효한 인증서를 획득해야 함을 의미합니다(인기 사이트에서는 극히 어려움). 그리고 DNS-over-HTTPS / DNS-over-TLS / VPN 라우팅 DNS는 각각 DNS 계층에서 스푸핑을 방어합니다. 소규모 마이너 사이트에서 보안 의식이 낮은 사용자에게는 여전히 작동하지만, 일반 소비자에게는 거의 문제가 되지 않습니다.
플랫폼별 기본값: 각 OS가 해주는 것
iOS / iPadOS
- iOS 14부터 새 SSID에 대해 사설 MAC 주소가 기본값으로 활성화
- iOS 16부터 WPA2 이하 네트워크에 대한 경고(WPA3로 유도)
- SSID별 자동 연결 동작 제어 가능
- iCloud 프라이빗 릴레이(iCloud+ 구독자)가 Safari 트래픽을 암호화 — 커버 범위와 한계는 프라이빗 릴레이 심층 분석 참조
- 신뢰하지 않는 SSID에 연결할 때 Casper를 자동으로 트리거하는 VPN-온-디맨드 지원
Android
- Android 10부터 사설 MAC 주소("무작위 MAC 사용"이라고 표시됨)가 기본값으로 활성화
- Android 9부터 프라이빗 DNS(DoT) 기본 지원
- 앱별 VPN 라우팅(iOS보다 유연)
- Android 13부터 "저장된 네트워크 확인" 알림 — 알려진 SSID가 이전과 다른 보안 프로파일을 가질 때 표시(잠재적 이블 트윈)
- Play Protect의 네트워크 수준 위협 탐지
macOS
- macOS Sequoia부터 사설 Wi-Fi 주소(iOS와 동등)
- iCloud 프라이빗 릴레이(iCloud+)
- 내장 방화벽 + 은폐 모드(기본값 꺼짐 — macOS 개인정보 보호 가이드 참조)
- FileVault 암호화(새 Mac의 기본값)
실용적인 워크플로: 카페 WiFi에 연결할 때 실제로 해야 할 일
- 매장에서 SSID를 확인하세요. "WiFi 이름이 뭔가요?" — 3초면 되는 확인으로 대부분의 이블 트윈 공격을 차단할 수 있습니다. 가짜 AP는 보통 합법적인 것과 비슷하지만 정확히 같지 않은 이름을 사용합니다.
- 실질적인 데이터를 입력하지 않고 캡티브 포털을 수락하세요. "이용약관에 동의" — 괜찮습니다. "이메일 + 비밀번호 입력" — 탭을 닫고 셀룰러를 사용하세요. "전화번호 입력" — 그 데이터가 판매되지 않을 것이라고 신뢰할 경우에만 입력하세요.
- 민감한 작업을 하기 전에 VPN을 켜세요. 일부 설정(Casper's iOS 앱, NetworkExtension 자동 트리거)은 새 SSID에 연결할 때 자동으로 이 작업을 수행합니다. 네트워크 연결과 VPN 연결 사이의 간격이 트래픽 분석 공격에 가장 취약한 시간이므로 최소화하세요.
- 나중에 다시 방문할 때 자동 연결되지 않도록 하세요 — 운영자를 신뢰하지 않는 한. 매번 수동으로 연결하는 5초의 비용은 나중에 그 장소에서 이블 트윈 공격을 당할 0.01%의 가능성보다 가치 있습니다.
- 정말 적대적인 네트워크에서는 필요하지 않다면 Bluetooth / AirDrop을 끄세요. 이것들은 WiFi와 별개의 위협 표면이지만 종종 함께 공격당합니다.
- 떠날 때 네트워크를 잊어버리세요. 설정 → Wi-Fi → 네트워크 탭 → 이 네트워크 지우기. 향후 자동 연결 노출을 줄입니다.
VPN이 실제로 필요한 경우 vs 있으면 좋은 경우
솔직히 말하면: 전형적인 5분짜리 카페 방문에서 HTTPS를 사용하는 서비스로 이메일과 Slack을 확인하는 경우, 실질적인 위협은 낮습니다. TLS 보호가 제 역할을 하고 있습니다. VPN은 심층 방어를 제공하지만, 대부분의 경우 VPN 없이도 눈에 띄는 공격을 받지는 않습니다.
VPN이 실질적으로 중요한 경우:
- 적대적인 해외 네트워크 (활발한 국가 수준 감시가 이루어지는 국가의 호텔 WiFi, 또는 알려진 적대적 컨퍼런스 네트워크).
- 같은 네트워크에서 장시간 세션 (수 시간 동안 카페에서 작업하거나, 며칠간 호텔 WiFi 사용) — 공격자에게 시간과 고정 타깃을 제공합니다.
- 출처를 알 수 없는 네트워크 (누군가의 소규모 사무실 WiFi, 소규모 Airbnb 네트워크, 누가 운영하는지 모르는 컨퍼런스 WiFi).
- 민감한 활동을 할 때 — 의료 정보 접근, 실제 뱅킹, 관찰자가 프로파일링하면 곤란한 모든 것.
- 네트워크 운영자의 트래픽 분석 프로파일링을 차단하기 위해 — 거의 모든 운영자가 최소한 메타데이터를 로깅합니다.
이러한 경우에는 진짜 VPN 터널(DNS 수준 필터링만이 아닌)이 적절한 대응책입니다. Casper's 위협 보호 레이어는 WireGuard 터널을 AI 기반 제로데이 피싱 탐지, 차단 목록 필터링, 앱별 라우팅 제어와 함께 번들로 제공합니다. 터널이 켜져 있고, 암호화가 종단 간 이루어지며, 로컬 네트워크는 암호화된 바이트만 볼 뿐 그 이상은 아무것도 볼 수 없습니다.
핸드폰 핫스팟 vs 공공 WiFi는 어떤가요?
핸드폰 핫스팟(셀룰러 테더링)이 임의의 공공 WiFi보다 훨씬 안전한 이유:
- 혼자만 사용하는 기기입니다(관찰 도구를 실행하는 다른 이용자가 없음)
- 통신사가 유일한 업스트림 운영자입니다(알려진 주체, 규제를 받으며, 메타데이터 수준에서는 일반적으로 신뢰할 수 있음)
- 암호화는 직접 제어하는 핸드폰의 WPA3 설정입니다
- 일시적입니다 — 이동하면 지속적인 노출이 없음
비용은 데이터 사용량입니다. 개인정보 보호가 중요한 세션(뱅킹, 의료, 민감한 업무)에서는 VPN이 설정되어 있지 않은 경우 특히, 테더링이 호텔/카페 WiFi보다 일반적으로 더 나은 기본값입니다. 대부분의 통신사 플랜에 일부 핫스팟 데이터가 포함되어 있습니다. 장시간 세션에 의존하기 전에 확인하세요.
결론
2026년의 공공 WiFi는 2015년의 재앙 수준이 아니며, "공공 WiFi를 절대 사용하지 마라"는 표준 조언은 실제 위협 모델과 점점 더 동떨어지고 있습니다. 2026년의 실용적인 관점: HTTPS가 트래픽 내용을 보호합니다. 여전히 노출된 것은 메타데이터, 캡티브 포털, 자동 연결 공격 표면입니다. VPN이 메타데이터와 트래픽 분석 격차를 좁힙니다. 캡티브 포털 규율(비밀번호나 이메일을 입력하지 않음)이 피싱 격차를 좁힙니다. 연결 전 SSID 확인이 이블 트윈 사례를 처리합니다.
이 모든 것을 자동화하고 싶다면 — VPN 켜기, 위협 탐지 켜기, DNS 필터링 켜기, 원하는 곳에 앱별 라우팅 — 그것이 Casper가 연결하는 모든 네트워크에서 해주는 일입니다. 무료 체험, iPhone·Mac·Android용 앱.