Mullvad VPN, IP 할당 방식의 핑거프린팅 취약점 발견!

Mullvad VPN은 각 서버에서 고유한 IP 풀(IP Pool)을 할당하는 대신, WireGuard 키를 기반으로 결정론적(Deterministic) IP 할당 방식을 사용한다. 이는 서버 간 IP 조합의 다양성을 제한하여, 핑거프린팅 공격에 취약하게 만든다. 특히, RNG(Random Number Generator)의 seed로 WireGuard 키를 사용함으로써, IP 할당 패턴을 예측할 수 있게 된다.

Mullvad VPN은 seed 기반 RNG(Seed-based RNG)를 사용하여 IP 인덱스를 선택하며, 이로 인해 IP 할당 패턴이 고정된다. Rust 기반의 코드에서, 경계(bound)가 변경되어도 엔트로피 풀(entropy pool)은 영향을 받지 않아, 동일한 seed에 대해 동일한 비율의 IP가 할당된다. 이러한 특성은 IP 조합의 예측 가능성을 높이는 요인으로 작용한다.

분석 결과, 특정 IP 조합을 공유하는 사용자를 99% 이상의 정확도로 식별할 수 있다. 이는 데이터 유출(Data Breach) 및 법적 절차를 통해 얻은 IP 로그를 분석하여, VPN 사용자의 익명성을 무력화할 수 있음을 의미한다. 특히, 데이터 미저장 정책(Zero-Retention Policy)을 사용하는 VPN 서비스에서도, IP 할당 패턴을 통해 사용자를 추적할 수 있다.

Mullvad VPN 사용자는 서버 변경 빈도를 줄이고, WireGuard 키를 강제로 로테이션(rotation)해야 한다. 또한, IP 할당 알고리즘(IP Allocation Algorithm)의 취약점을 악용한 공격에 대비하여, 데이터 격리 아키텍처(Data Isolation Architecture)를 강화해야 한다. 이러한 조치를 통해 핑거프린팅 공격의 위험을 최소화할 수 있다.