VPN 스플릿 터널링(Split Tunneling)이란? 특정 앱만 우회하기

VPN 스플릿 터널링이란 무엇인가?

VPN 스플릿 터널링은 모든 인터넷 트래픽을 VPN 서버를 통해 우회시키는 전통적인 ‘풀 터널링(Full Tunneling)’과 반대되는 개념입니다. 특정 애플리케이션 또는 트래픽만 VPN 터널을 통과시키고. 나머지 트래픽은 사용자의 일반 인터넷 회선을 그대로 사용하도록 분할(split)하는 기술입니다. 이는 네트워크 엔지니어가 복잡한 네트워크를 설계할 때 사용하는 ‘정책 기반 라우팅(Policy-Based Routing)’의 실용적인 구현체라고 볼 수 있습니다.

스플릿 터널링을 사용해야 하는 이유와 상황

풀 터널링은 보안상 안전그렇지만, 몇 가지 명백한 단점이 존재합니다. 스플릿 터널링은 이러한 문제를 해결하는 실용적인 선택입니다.

• 대역폭 손실 및 속도 저하 방지: 모든 데이터가 VPN 서버를 거치면 암호화/복호화 오버헤드와 서버 부하로 인해 로컬 네트워크 자원(예: NAS, 프린터) 접근이나 국내 웹서핑 속도가 불필요하게 저하됩니다.
• 로컬 네트워크 자원 접근 유지: VPN에 연결하면 가상의 사설망에 속하게 되어 실제 사무실이나 집의 로컬 네트워크 프린터, 파일 서버(NAS)에 접근이 차단될 수 있습니다. 스플릿 터널링을 통해 로컬 트래픽은 일반 경로로 유지하면 이 문제가 해결됩니다.
• 지리적 제한 서비스 동시 이용: 해외 콘텐츠를 시청하는 앱만 VPN으로 돌리고, 국내 뱅킹이나 증권 앱은 일반 회선으로 사용해야 할 때 필수적입니다. 많은 금융 앱은 VPN 접근을 차단합니다.

그래서, ‘완전한 보안’보다는 ‘효율성과 편의성’이 더 중요한 상황, 가령 원격 근무 중 로컬 자원 활용이 필요하거나, 해외 게임만 낮은 핑으로 플레이하려 할 때 스플릿 터널링이 최적의 솔루션이 됩니다.

증상 확인: 스플릿 터널링이 필요한 순간

다음 증상이 나타난다면 스플릿 터널링 설정을 즉시 검토해야 합니다.

• VPN 연결 시 로컬 네트워크 프린터가 suddenly 사라짐.
• VPN을 켜면 국내 웹사이트(네이버, 다음) 접속 속도가 현저히 느려짐.
• 특정 프로그램(은행 공인인증서, 증권 HTS)이 VPN 연결 상태에서는 실행 오류 발생.
• 온라인 게임에서 VPN 사용 시 핑(ping)이 급격히 상승하지만, 다른 작업은 VPN 보호가 필요함.

이러한 문제는 네트워크 라우팅 테이블이 VPN 인터페이스를 기본 게이트웨이로 강제 지정하면서 발생합니다. 스플릿 터널링은 이 라우팅 테이블을 세분화해 조정함으로써, 특정 트래픽만 VPN을 통과시키고 나머지는 기존 네트워크를 그대로 사용하도록 만드는 방식입니다. 이 개념을 시각적으로 이해하거나 실제 사례를 확인하려면 https://vermilionpictures.com 에서 제공하는 관련 자료를 참고하면 도움이 됩니다.

해결 방법 1: 대부분의 상용 VPN 클라이언트에서 설정하기

대부분의 사용자에게 권장하는 방법입니다. NordVPN, ExpressVPN, ProtonVPN 등 주요 상용 VPN 서비스는 자체 클라이언트에 스플릿 터널링 기능을 탑재하고 있습니다. 설정 방법은 서비스마다 유사합니다.

1. VPN 클라이언트를 실행하고 설정(Settings) 메뉴로 진입합니다.
2. ‘일반(General)’, ‘연결(Connection)’, 또는 ‘고급(Advanced)’ 탭에서 ‘Split Tunneling’ 또는 ‘선택적 라우팅’ 옵션을 찾습니다.
3. 기본적으로 두 가지 모드가 제공됩니다,
   • 앱 기반 분할: ‘특정 앱만 vpn 사용’ 또는 ‘특정 앱만 vpn 제외’를 선택한 후, 목록에서 애플리케이션을 추가/제거합니다.
   • 주소 기반 분할: 특정 ip 주소 또는 도메인(예: 192.168.0.0/24, *.company.com)에 대한 트래픽을 vpn 터널에서 제외하거나 포함시킬 수 있습니다. 이는 네트워크 관리자에게 더 적합한 옵션입니다.
4. 원하는 앱이나 주소를 추가한 후 설정을 저장하고 VPN을 재연결합니다.

주의사항: 상용 VPN의 스플릿 터널링 기능은 해당 VPN 클라이언트가 실행 중일 때만 유효합니다. 클라이언트를 종료하면 설정이 무효화됩니다. 또한, 일부 안티바이러스 소프트웨어는 네트워크 드라이버를 후킹하여 충돌을 일으킬 수 있으므로, 문제 발생 시 임시로 안티바이러스를 비활성화하고 테스트해 보십시오.

해결 방법 2: Windows 고급 설정을 통한 강력한 제어

VPN 서비스가 해당 기능을 제공하지 않거나, 더 세밀한 제어가 필요할 경우 Windows의 고급 네트워크 설정을 직접 변경해야 합니다. 이는 시스템의 네트워크 스택을 직접 건드리는 작업이므로 각 단계를 정확히 따라야 합니다.

1. 네트워크 연결 상태 확인: Win + R 키를 눌러 ncpa.cpl을 입력하고 엔터를 눌러 ‘네트워크 연결’ 창을 엽니다. 여기서 사용 중인 VPN 연결(예: ‘WAN Miniport (IKEv2)’ 또는 ‘VPN-Client’)의 정확한 이름을 확인합니다.
2. VPN 연결 속성 수정: 해당 VPN 연결을 마우스 우클릭 후 ‘속성’을 선택합니다. ‘네트워킹’ 탭으로 이동합니다.
3. TCP/IPv4 속성 진입: 목록에서 ‘인터넷 프로토콜 버전 4(TCP/IPv4)’를 선택하고 ‘속성’ 버튼을 클릭합니다.
4. 고급 라우팅 설정: 새 창에서 하단의 ‘고급’ 버튼을 클릭합니다.
5. 자동 메트릭 해제 및 기본 게이트웨이 설정: ‘IP 설정’ 탭에서 ‘자동 메트릭’ 체크를 해제합니다. ‘인터페이스 메트릭’ 값을 높게 설정합니다(예: 50). 이 값이 높을수록 해당 연결의 우선순위가 낮아집니다. 가장 중요한 단계로, ‘일반’ 탭으로 돌아가 ‘기본 게이트웨이’ 섹션에서 ‘연결에 기본 게이트웨이 사용’ 체크박스를 해제합니다. 이 설정이 스플릿 터널링의 핵심입니다. VPN 연결이 기본 게이트웨이가 되지 않으므로, 명시적으로 라우팅 테이블에 추가되지 않은 모든 트래픽은 기존의 물리적 이더넷 또는 Wi-Fi 어댑터의 게이트웨이를 통해 나갑니다.
6. 정적 라우트 추가 (선택사항): 특정 IP 대역(예: 회사 내부망 10.10.0.0/16)만 VPN을 통해 가도록 하려면, 명령 프롬프트(관리자 권한)를 열고 다음 명령을 입력합니다: route add 10.10.0.0 mask 255.255.0.0 [VPN 게이트웨이 IP]. VPN 게이트웨이 IP는 VPN에 연결한 후 ipconfig 명령어로 확인할 수 있는 VPN 어댑터의 ‘기본 게이트웨이’ 주소입니다.

이 방법은 시스템 전반에 적용되는 설정이므로, VPN 연결을 끊었다가 다시 연결해도 설정이 유지됩니다. 하지만 VPN 공급자가 자체 드라이버를 사용하는 경우 이 설정이 무시될 수 있습니다.

해결 방법 3: PowerShell을 이용한 정밀한 애플리케이션 제어

네트워크 관리자나 고급 사용자를 위한 방법입니다. Windows의 내장 도구인 PowerShell을 사용하면, 특정 프로세스(애플리케이션)가 생성하는 모든 네트워크 트래픽을 특정 네트워크 인터페이스(예: VPN 어댑터)로 강제 라우팅할 수 있습니다. 이는 가장 강력하고 유연한 방법이지만 복잡도가 높습니다.

기본 원리는 ‘ForceBindIP’나 ‘Netsh’의 ‘winsock’ 계층 조작과 유사하지만, PowerShell의 Set-NetIPInterface 및 Get-NetIPInterface cmdlet과 사용자 정의 라우팅 테이블을 결합하여 구현할 수 있습니다. 구체적인 스크립트는 시스템 환경에 크게 의존하지만, 일반적인 접근법은 다음과 같습니다.

1. VPN 어댑터와 물리적 어댑터의 ‘InterfaceIndex’를 Get-NetIPInterface 명령어로 확인합니다.
2. 특정 대상 IP 범위(예: 해외 게임 서버 IP 대역)에 대한 정적 라우트를 VPN 어댑터의 인덱스로 추가합니다. (New-NetRoute cmdlet 사용)
3. 더 더불어, 프로세스 ID(PID)를 추적하여 해당 프로세스의 소켓이 바인딩되는 네트워크 인터페이스를 제어하려면 Windows Filtering Platform(WFP) API를 활용한 복잡한 스크립팅이 필요합니다. 이는 일반적인 문제 해결 범위를 벗어납니다.

이 단계의 작업은 시스템 안정성에 직접적인 영향을 미칠 수 있으며, 스크립트 오류 하나로도 네트워크 단절이나 서비스 중단이 발생할 수 있습니다. 따라서 프로덕션 환경에 적용하기 전에는 반드시 별도의 테스트 환경에서 충분히 검증해야 하며, 이는 보험 약관 대출(보험 계약 대출) 금리와 신용 점수 영향을 사전에 분석하지 않고 실행했다가 장기적인 재무 리스크를 떠안는 상황을 피하는 것과 같은 원리입니다. 기술적 변경이든 금융 의사결정이든, 사전 검증은 선택이 아니라 필수입니다.

주의사항 및 보안 고려사항

스플릿 터널링은 편의성을 제공하지만, 보안 프로필을 변경합니다. 이를 도입하기 전에 다음 위험을 인지하고 관리해야 합니다.

• DNS 유출 주의: VPN을 사용하지 않는 트래픽의 DNS 요청이 ISP의 DNS 서버로 전송될 수 있습니다. 이는 사용자의 방문 기록이 ISP에 노출될 수 있음을 의미합니다, 해결책으로는 vpn 클라이언트의 ‘dns leak protection’ 기능을 켜거나, 공용 dns(예: 1.1.1.1)를 사용하거나, 모든 트래픽의 dns를 vpn의 dns 서버로 강제하는 설정을 고려하십시오.
• 분할된 트래픽의 보호 상실: vpn 터널 밖으로 나가는 트래픽은 암호화되지 않은 일반 인터넷 트래픽이 됩니다. 공용 와이파이에서 작업할 때는 이 점을 반드시 숙지해야 합니다. 민감한 작업은 반드시 VPN 터널 내 애플리케이션으로 수행하거나, 차라리 풀 터널링을 사용하십시오.
• 정책 위반 가능성: 기업 환경에서 IT 부서는 모든 외부 트래픽을 회사 네트워크를 통해 모니터링하고 필터링하기를 원할 수 있습니다. 스플릿 터널링은 이 정책을 우회할 수 있으므로, 회사 정책을 반드시 확인하십시오.
• 라우팅 테이블 충돌: 여러 VPN 클라이언트나 네트워크 소프트웨어를 사용할 경우 라우팅 테이블이 충돌하여 네트워크 연결이 끊길 수 있습니다. 문제 발생 시 route print 명령으로 라우팅 테이블을 확인하고, 불필요한 경로를 수동으로 제거(route delete)해야 할 수 있습니다.

전문가 팁: 스플릿 터널링 설정 후 제대로 작동하는지 확인하는 가장 확실한 방법은 ‘DNS 유출 테스트’와 ‘IP 주소 확인 테스트’를 병행하는 것입니다. VPN을 연결한 상태에서, VPN 터널을 통해 가야 할 앱(예: 브라우저)으로 ‘whatismyipaddress.com’ 같은 사이트에 접속해 VPN 서버의 IP가 표시되는지 확인합니다. 동시에, 제외시킨 앱(예: 다른 브라우저)으로 같은 사이트에 접속해 자신의 실제 공인 IP가 표시되는지 확인합니다, 두 결과가 명확히 분리되어야 성공입니다. 또한, 지속적인 네트워크 모니터링을 위해 netstat -b 명령어(관리자 권한 필요)를 사용하면 어떤 프로세스가 어떤 외부 주소에 연결하는지를 실시간으로 확인할 수 있어, 의도치 않은 트래픽 경로를 잡아내는 데 유용합니다.