Facebook Ads의 수십 개 광고 계정을 관리하고, Instagram에서 고객 프로필을 운영하거나, 마켓플레이스에서 경쟁자의 가격을 파싱할 때 — 개인정보 보호 문제는 매우 중요해집니다. 프록시 제공자는 귀하의 모든 트래픽을 볼 수 있습니다: 어떤 사이트를 방문하는지, 어떤 데이터를 입력하는지, 어떤 계정으로 작업하는지. 제공자가 이 정보를 기록(저장)한다면 — 귀하의 데이터는 제3자, 경쟁자 또는 법 집행 기관에 유출될 수 있습니다.
이 가이드에서는 문서 분석부터 기술 테스트까지 프록시 제공자가 데이터 기록 여부를 확인하는 7가지 실용적인 방법을 살펴보겠습니다. 이 방법들은 중재자, SMM 전문가, 마켓플레이스 판매자 및 프라이버시를 중시하는 모든 사람에게 적합합니다.
왜 기록이 귀하의 비즈니스에 위험한가
방법을 살펴보기 전에, 프록시 제공자가 데이터를 기록하는 것이 어떤 위험을 초래하는지 이해하는 것이 중요합니다. 이는 추상적인 위협이 아니라, 귀하의 비즈니스를 무너뜨릴 수 있는 실제 시나리오입니다.
제공자가 기록할 수 있는 것
귀하의 모든 트래픽이 프록시 서버를 통해 흐를 때, 제공자는 기술적으로 다음에 접근할 수 있습니다:
- 방문한 사이트 및 URL — 어떤 플랫폼을 사용하는지 (Facebook Ads, Instagram, Wildberries)
- 타임스탬프 — 각 계정으로 작업한 시간과 기간
- 전송된 데이터의 양 — 각 IP 주소가 소비한 트래픽 양
- 암호화되지 않은 데이터 — HTTPS 대신 HTTP를 사용하는 경우, 제공자는 요청의 모든 내용을 볼 수 있습니다
- 계정 메타데이터 — 서로 다른 IP와 귀하의 계정 간의 연결
- 인증 데이터 — HTTP 프록시를 사용할 때 로그인, 비밀번호, 토큰
다양한 사용자 카테고리에 대한 실제 위험
중재자를 위한:
- 광고 계정 간의 연결이 드러남 → Facebook Ads에서 체인 밴
- 경쟁자에게 크리에이티브 및 조합 유출
- 광고 플랫폼에 데이터 전송 요청
- 플랫폼이 제공자로부터 로그를 받으면 모든 계정 차단
SMM 전문가를 위한:
- 멀티 계정 공개로 인해 Instagram/TikTok 고객 계정 손실
- 콘텐츠 전략 및 게시 일정 유출
- 고객과의 대화에 대한 제3자의 접근
- 고객 데이터 유출로 인한 평판 위험
마켓플레이스 판매자를 위한:
- 가격 전략 및 경쟁자 모니터링 유출
- 마켓플레이스(예: Wildberries, Ozon)에 대한 파싱 데이터 전송
- 공급자 및 제품 정보 유출
- 플랫폼에 로그를 전달할 경우 판매자 계정 차단
가장 위험한 시나리오는 제공자가 플랫폼(Facebook, Google, Instagram)과 협력하여 요청 시 로그를 전달하는 경우입니다. 이 경우 플랫폼은 귀하의 멀티 계정 활동을 완전히 파악하고 연결된 모든 계정을 동시에 차단할 수 있습니다.
제공자의 개인정보 보호 정책 분석
확인하는 첫 번째이자 가장 간단한 방법은 제공자의 웹사이트에서 개인정보 보호 정책(Privacy Policy)을 주의 깊게 살펴보는 것입니다. 신뢰할 수 있는 회사는 무엇을 기록하고 무엇을 기록하지 않는지 명확히 명시합니다.
개인정보 보호 정책에서 찾아야 할 것
제공자의 개인정보 보호 정책을 열고 기록에 대한 섹션을 찾아보세요. 다음과 같은 문구에 주의하세요:
| 문구 | 의미 | 평가 |
|---|---|---|
| "No-logs policy" 또는 "Zero-logs" | 제공자는 사용자 활동 로그를 저장하지 않는다고 명시합니다 | ✓ 좋음 |
| "We collect connection logs for 24-48 hours" | 기술적 목적을 위해 연결 로그(IP, 시간)를 임시로 저장합니다 | ~ 수용 가능 |
| "We log traffic for quality control" | "품질 관리"를 위해 모든 트래픽을 기록합니다 — 위험합니다 | ✗ 나쁨 |
| "We may share data with law enforcement" | 당국의 요청에 따라 데이터를 전달합니다 — 즉 로그를 저장합니다 | ✗ 나쁨 |
| "We don't monitor your browsing activity" | 어떤 사이트를 방문하는지 추적하지 않습니다 | ✓ 좋음 |
| 개인정보 보호 정책이 전혀 없음 | 중대한 레드 플래그 — 이러한 제공자는 피하세요 | ✗✗ 위험 |
개인정보 보호 정책에 대한 주요 질문
문서를 분석할 때 다음 질문을 스스로에게 해보세요:
- no-logs에 대한 명확한 진술이 있나요? 제공자가 로그를 저장하지 않는다면 — 이를 명확히 기재할 것입니다. 이는 경쟁 우위입니다.
- 기술적 목적을 위해 무엇을 기록하나요? 연결 시간 기록과 전체 트래픽 기록의 차이는 큽니다.
- 로그는 얼마나 오래 저장되나요? 24시간 — 수용 가능, 30일 — 위험, "무기한" — 피하세요.
- 데이터를 누구와 공유하나요? "제3자 파트너"라는 문구가 있지만 구체적으로 누구인지 명시하지 않는다면 — 레드 플래그입니다.
- warrant canary에 대한 언급이 있나요? 이는 제공자가 프라이버시를 중요하게 여긴다는 지표입니다 (아래에서 설명하겠습니다).
💡 실용적인 조언: 페이지 내 검색(Ctrl+F)을 사용하여 "log", "store", "retain", "collect", "share", "third party"라는 단어를 검색하세요. 이는 문서 내에서 로그 기록에 대한 모든 언급을 빠르게 보여줍니다.
좋은 정책과 나쁜 정책의 예
✓ 좋은 문구의 예:
"우리는 엄격한 no-logs 정책을 운영합니다. 귀하가 방문하는 웹사이트, 검색 쿼리 또는 데이터 콘텐츠에 대한 정보를 저장하지 않습니다. 우리는 기술적 문제 해결을 위해 최소한의 연결 메타데이터(타임스탬프 및 사용된 대역폭)를 24시간 동안만 보유합니다. 이는 귀하의 온라인 활동을 식별할 수 없습니다."
✗ 나쁜 문구의 예:
"우리는 귀하의 서비스 사용에 대한 정보를 수집하고 저장할 수 있습니다. 여기에는 브라우징 기록, 연결 시간 및 접근한 리소스가 포함됩니다. 이 데이터는 비즈니스 목적으로 제3자와 공유되거나 요청 시 법 집행 기관에 제공될 수 있습니다."
개인정보 보호 정책이 모호하게 작성되었거나 "may", "might", "in certain cases"와 같은 여러 조건이 포함되어 있다면 — 이는 제공자가 무엇이든 기록할 수 있는 여지를 남긴다는 신호입니다. 신뢰할 수 있는 제공자는 명확하고 구체적으로 작성합니다.
관할권 및 법률 확인
제공자가 no-logs 정책을 주장하더라도, 등록 국가의 법률이 그에게 데이터를 저장하도록 요구할 수 있습니다. 이는 두 번째로 중요한 확인 요소입니다.
프라이버시에 위험한 관할권
사용자 데이터를 저장하고 요청 시 전달하도록 요구하는 국제 정보 기관의 동맹이 존재합니다:
| 동맹 | 국가 | 위험 |
|---|---|---|
| 5 Eyes | 미국, 영국, 캐나다, 호주, 뉴질랜드 | 정보 기관 간의 최대 데이터 교환 |
| 9 Eyes | 5 Eyes + 덴마크, 프랑스, 네덜란드, 노르웨이 | 높은 수준의 감시 |
| 14 Eyes | 9 Eyes + 독일, 벨기에, 이탈리아, 스페인, 스웨덴 | 중간 위험 |
| 러시아 | 데이터 저장 법률 (야로바야) | 로그를 6-12개월 동안 의무적으로 저장 |
| 중국 | 사이버 보안 법률 | 데이터에 대한 국가의 완전한 통제 |
제공자의 관할권 확인 방법
다음 단계를 수행하세요:
- "About Us" 또는 "Contact" 섹션을 찾으세요 — 제공자의 법적 주소가 일반적으로 기재되어 있습니다.
- 도메인 WHOIS 확인 — whois.com과 같은 서비스를 사용하여 도메인 및 회사의 등록 위치를 확인하세요.
- 서비스 약관 분석 — 분쟁 해결을 위한 관할권이 반드시 명시되어 있습니다.
- 결제 세부정보 확인 — 은행 계좌 또는 결제 프로세서의 국가가 실제 위치를 나타냅니다.
⚠️ 중요: 일부 제공자는 "안전한" 관할권(예: 파나마, 세이셸)에 회사를 등록하지만, 실제로 서버는 미국이나 EU에 위치할 수 있습니다. 이 경우 데이터는 여전히 현지 법률의 적용을 받습니다. 지원팀에 서버의 실제 위치를 문의하세요.
프록시를 위한 안전한 관할권
프라이버시 보호가 강력하고 의무 로그 저장이 없는 국가:
- 스위스 — 데이터 보호에 대한 엄격한 법률, 감시 동맹에 포함되지 않음
- 파나마 — 의무 데이터 저장 법률 없음
- 영국령 버진 아일랜드 (BVI) — VPN 및 프록시를 위한 인기 있는 관할권
- 세이셸 — 다른 국가와의 데이터 전송 협정 없음
- 루마니아 — EU에 속하지만 의무 로그 저장 법률 없음
제공자가 레지던셜 프록시로 이들 국가 중 하나에 등록되어 있다면 — 이는 좋은 신호이지만 보장은 아닙니다. 여전히 이 가이드의 다른 항목들을 확인하세요.
데이터 유출에 대한 기술 테스트
문서 분석 외에도, 프록시가 귀하의 프라이버시를 얼마나 잘 보호하는지를 보여주는 실용적인 테스트를 수행할 수 있습니다. 이 방법들은 기술 지식이 필요하지 않으며 — 브라우저와 15-20분의 시간만 필요합니다.
테스트 1: DNS 유출 확인
DNS 요청은 귀하가 방문하는 사이트를 드러냅니다. 프록시가 DNS를 보호하지 않으면 — 제공자(또는 귀하의 인터넷 제공자)는 프록시를 통해서도 모든 요청을 볼 수 있습니다.
확인 방법:
- 안티 디텍트 브라우저(Dolphin Anty, AdsPower 또는 GoLogin)를 통해 프록시에 연결하세요.
dnsleaktest.com웹사이트를 엽니다.- "Extended test" (확장 테스트)를 클릭하세요.
- 결과를 기다립니다.
결과에 무엇이 있어야 하나요:
- ✓ 모든 DNS 서버가 프록시 제공자 또는 익명 서비스에 속합니다.
- ✓ DNS 서버의 국가가 프록시의 국가와 일치합니다.
- ✗ 귀하의 인터넷 제공자의 DNS가 보인다면 — 유출이 있으며, 프록시가 DNS를 보호하지 않습니다.
테스트 2: WebRTC 유출 확인
WebRTC는 브라우저에서 비디오 통화를 위한 기술입니다. 프록시를 사용할 때도 귀하의 실제 IP 주소를 드러낼 수 있습니다.
확인 방법:
- 프록시에 연결하세요.
browserleaks.com/webrtc를 엽니다.- "Public IP Address" 섹션을 확인하세요.
무엇이 있어야 하나요:
- ✓ 프록시의 IP만 표시됩니다.
- ✗ "Local IP" 또는 "Public IP" 섹션에 귀하의 실제 IP가 보인다면 — 유출이 있습니다.
💡 해결책: WebRTC 유출이 발견되면 — 안티 디텍트 브라우저의 설정에서 WebRTC를 비활성화하세요. Dolphin Anty 및 AdsPower에서는 프로필 설정 → 고급 → WebRTC → 비활성화 또는 변경으로 설정할 수 있습니다.
테스트 3: HTTP 헤더 확인
일부 프록시는 HTTP 요청에 프록시 사용을 드러내는 헤더를 추가하거나 실제 IP를 전달합니다.
확인 방법:
- 프록시에 연결하세요.
whoer.net또는browserleaks.com/ip를 엽니다.- "HTTP headers" 또는 "Request headers" 섹션을 확인하세요.
위험한 헤더(존재해서는 안 됨):
X-Forwarded-For— 귀하의 실제 IP를 포함할 수 있습니다.Via— 요청이 프록시를 통해 전달됨을 나타냅니다.X-Real-IP— 실제 IP를 드러낼 수 있습니다.Forwarded— X-Forwarded-For의 현대적인 버전입니다.
이러한 헤더가 존재한다면 — 프록시가 잘못 설정되었거나 제공자가 프록시 사용 정보를 의도적으로 전달하고 있다는 것입니다. 품질 좋은 모바일 프록시 및 레지던셜 프록시는 이러한 헤더를 추가하지 않아야 합니다.
테스트 4: 지리적 위치 일관성 확인
이 테스트는 제공자가 얼마나 "깨끗한" IP를 제공하는지를 보여줍니다 — 다양한 출처의 지리적 위치 데이터가 일치하는지 확인합니다.
확인 방법:
- 프록시에 연결하세요.
- 여러 IP 확인 서비스를 엽니다:
whoer.net,2ip.ru,ipleak.net - 국가, 도시, 제공자, 시간대 데이터를 비교하세요.
무엇이 있어야 하나요:
- ✓ 모든 서비스가 동일한 국가와 도시를 보여줍니다.
- ✓ 브라우저의 시간대가 IP의 지리적 위치와 일치합니다.
- ✓ 인터넷 제공자가 일반 ISP처럼 보이며, 데이터 센터가 아닙니다.
- ✗ 데이터가 서로 모순된다면 — IP가 "더러운" 것이거나 프록시가 잘못 설정된 것입니다.
결제 및 등록 방법 분석
결제 방법과 등록 요구 사항은 제공자가 사용자 프라이버시를 얼마나 진지하게 고려하는지를 많이 보여줍니다.
익명 결제 방법
실제로 프라이버시를 걱정하는 제공자는 익명 결제 방법을 제공합니다:
| 결제 방법 | 익명성 수준 | 비고 |
|---|---|---|
| 암호화폐 (비트코인, 모네로) | 높음 | 최대의 익명성, 특히 모네로 |
| 선불 카드 | 중간-높음 | 검증을 요구하지 않으면 좋습니다. |
| PayPal | 중간 | 제공자로부터의 부분적인 익명성 |
| 신용 카드 | 낮음 | 제공자가 귀하의 신원을 알고 있습니다. |
| 은행 송금 | 낮음 | 신원 완전 공개 |
제공자가 신용 카드 및 송금만을 수락한다면 — 이는 그들이 귀하가 누구인지 아는 것에 개의치 않는다는 신호입니다. 결제 방법 목록에 암호화폐가 포함되어 있다면 — 이는 좋은 신호입니다 (비록 로그 기록이 없다는 보장은 아닙니다).
등록 시 요구 사항
계정을 생성할 때 제공자가 요구하는 사항에 주의하세요:
- ✓ 이메일만 — 최소 요구 사항, 임시 이메일 사용 가능
- ~ 이메일 + 전화번호 — 문서 검증을 요구하지 않는다면 수용 가능
- ✗ 신원 검증 (KYC) — 여권, 문서와 함께 셀카 — 제공자가 귀하를 정확히 알고 있습니다.
- ✗ 소셜 미디어 연결 — 추가적인 식별 방법
⚠️ KYC의 역설: 일부 제공자는 "사기 방지를 위해" 신원 검증을 요구하지만, 동시에 no-logs 정책을 주장합니다. 이는 모순입니다 — 그들이 귀하의 문서를 저장한다면, 기술적으로 귀하의 활동을 트래픽 로그 없이도 신원과 연결할 수 있습니다.
평판 및 리뷰 조사
전문 커뮤니티에서 제공자의 평판은 가장 신뢰할 수 있는 지표 중 하나입니다. 데이터 유출로 계정을 잃은 사람들은 반드시 이에 대해 언급할 것입니다.
실제 리뷰를 찾는 곳
제공자 웹사이트나 Trustpilot과 같은 플랫폼의 리뷰를 신뢰하지 마세요 (이들은 쉽게 조작될 수 있습니다). 전문 커뮤니티에서 논의하는 내용을 찾아보세요:
- 중재자 Telegram 채널 — 어떤 제공자가 Facebook 데이터를 "유출"하는지 논의합니다.
- 트래픽 중재 포럼 — 보안 및 프라이버시 관련 주제를 찾으세요.
- Reddit — 서브레딧 r/privacy, r/VPN (VPN 검증 원칙이 프록시에 적용됩니다)
- 전문 포럼 — blackhatworld.com, bhw.com 도구 논의용
- YouTube 리뷰 — 광고 비디오가 아닌 실무자의 독립적인 리뷰를 찾으세요.
리뷰에서 주의할 점
특정 사건에 대한 언급을 찾으세요:
- "[제공자]의 프록시를 사용한 후 모든 Facebook 계정이 체인 밴되었습니다." — 계정 간의 연결 유출 가능성
- "제공자가 법원의 요청에 따라 로그를 전달했습니다." — 로그가 저장되고 있다는 확인
- "IP가 빠르게 블랙리스트에 올라갑니다." — IP가 스팸에 사용되거나 제공자가 하나의 IP를 여러 사용자에게 판매하고 있다는 신호
- "지원팀이 내 활동에 대한 세부정보를 요청했습니다." — 로그에 접근할 수 있다는 의미입니다.
사건 이력 확인
Google에서 다음 쿼리를 검색해 보세요:
"[제공자 이름]" + "data breach"— 데이터 유출"[제공자 이름]" + "logging" + "proof"— 로그 기록 증거"[제공자 이름]" + "banned accounts"— 계정 차단과의 연결"[제공자 이름]" + "warrant canary"— 법 집행 기관 요청에 대한 경고 시스템이 있는지
데이터 유출이나 로그 전달에 대한 뉴스가 발견되면 — 이는 중대한 레드 플래그입니다. 단 하나의 사건이라도 no-logs 정책이 실제로 작동하지 않음을 의미합니다.
제공자의 투명성 지표
실제로 데이터를 기록하지 않는 제공자는 일반적으로 작업에서 최대한 투명합니다. 다음은 찾아야 할 개방성의 징후입니다:
Warrant Canary (워런트 카나리)
이는 제공자가 법 집행 기관의 요청을 받지 않았다는 공개적인 선언입니다. 정기적으로 업데이트됩니다 (분기별 또는 연간). 만약 선언이 업데이트되지 않으면 — 제공자가 요청을 받았고 법적으로 이를 직접 알릴 수 없지만, 카나리를 업데이트하는 것을 "잊어버릴" 수 있습니다.
Warrant Canary의 예:
- 국가 안보 서한
- 어떤 금지 명령
- 어떤 정부 기관으로부터의 영장
- 사용자 데이터를 기록하라는 요청
Warrant Canary의 존재는 매우 강력한 긍정적 신호입니다. 이는 제공자가 사용자에게 경고하기 위해 법적 위험을 감수할 준비가 되어 있음을 보여줍니다.
Transparency Report (투명성 보고서)
일부 제공자는 정부 및 기업의 데이터 요청에 대한 정기적인 보고서를 게시합니다. 보고서에는 다음이 포함됩니다:
- 법 집행 기관으로부터 받은 요청 수
- 따른 요청 수
- 거부한 요청 수
- 요청된 데이터 유형
- 요청이 들어온 국가
제공자가 Transparency Report를 게시하고 "데이터가 없어 요청이 수행되지 않았습니다"라고 명시되어 있다면 — 이는 실제로 no-logs 정책을 확인해줍니다.
독립적인 보안 감사
최고의 제공자는 전문 회사(PwC, Cure53, Deloitte 등)에 자신의 인프라에 대한 독립적인 감사를 의뢰합니다. 감사자는 다음을 확인합니다:
- 서버에 로그 기록 시스템이 실제로 없는지
- 기술적 구현이 명시된 정책과 일치하는지
- 데이터 유출로 이어질 수 있는 취약점이 없는지
제공자가 독립적인 감사를 통과하고 결과를 게시한다면 — 이는 최대 수준의 신뢰를 나타냅니다. 다음을 확인하세요:
- 누가 감사를 수행했는지 (유명한 회사인지)
- 언제 수행되었는지 (신선한 보고서인지 아니면 5년 전인지)
- 전체 보고서가 게시되었는지 아니면 "요약"만 있는지
오픈 소스 구성 요소
일부 제공자는 코드의 일부(클라이언트 애플리케이션, 라이브러리)를 공개합니다. 이는 독립적인 연구자가 숨겨진 로그 기록 기능이 없는지 확인할 수 있게 합니다. 서버 측은 여전히 비공식적이지만, 클라이언트 코드의 개방성은 긍정적인 신호입니다.
레드 플래그: 기록이 확실한 경우
제공자가 데이터를 기록한다고 확신할 수 있는 상황이 있습니다. 다음은 중대한 레드 플래그 목록입니다:
제공자가 귀하의 활동을 보여줄 수 있습니다.
문제가 있어 지원팀에 문의했을 때, 운영자가 "14:35에 X 사이트에 접속한 것을 봤습니다" 또는 "귀하의 IP가 이러한 리소스에 접근하는 데 사용되었습니다"라고 말한다면 — 이는 기록의 직접적인 증거입니다. 실제 no-logs 정책을 가진 제공자는 귀하가 무엇을 했는지 알 수 없습니다.
무료 프록시
무료 프록시는 항상 데이터를 기록합니다 — 이것이 그들의 비즈니스 모델입니다. 그들은 귀하의 데이터를 광고주에게 판매하거나 다른 목적으로 사용합니다. 중요한 계정 작업에 무료 프록시는 절대 사용하지 마세요.
너무 저렴한 가격
데이터 센터 프록시가 시장 가격보다 5-10배 저렴하다면 — 제공자가 어떻게 수익을 내는지 질문하세요. 아마도 귀하의 데이터를 판매하거나 귀하의 트래픽을 DDoS 공격에 사용할 수 있습니다.
인증서 설치 요구
제공자가 "HTTPS가 제대로 작동하기 위해" 루트 SSL 인증서를 설치하라고 요구한다면 — 이는 귀하의 모든 HTTPS 트래픽을 해독할 수 있게 합니다 (중간자 공격). 합법적인 프록시 제공자는 절대 인증서 설치를 요구하지 않습니다.
개인정보 보호 문서 없음
개인정보 보호 정책이 없거나 서비스 약관이 모호하며 관할권이 명시되어 있지 않다면 — 이는 제공자가 정보를 숨기고 있다는 의미입니다.