Avast SecureLine VPN은 1988년 체코 프라하에서 설립된 사이버 보안 기업 Avast Software가 개발한 제품입니다. 2022년 Avast는 NortonLifeLock과 합병하여 Norton, AVG, Avira, LifeLock을 함께 보유한 대형 기업집단인 Gen Digital(NASDAQ: GEN)을 출범시켰습니다. Avast는 본래 Five Eyes, Nine Eyes, Fourteen Eyes 감시 동맹 밖에 위치한 체코 법률 관할권 하에서 운영되었으나, 미국 본사를 둔 Gen Digital에 흡수되면서 데이터 거버넌스 측면에서 실질적인 영향이 어떠할지에 대한 의문이 제기되고 있습니다. VPN 제품 자체는 여전히 체코 법률 관할권 하에 등록되어 있습니다.
잠재적 사용자들이 가장 신중하게 고려해야 할 문제는 Avast의 문서화된 사용자 데이터 판매 전력입니다. 2014년부터 2020년까지 Avast는 자사의 안티바이러스 및 브라우저 확장 프로그램 사용자들로부터 세밀한 브라우징 데이터를 수집하여 자회사 Jumpshot을 통해 광고 회사, 데이터 중개업체, 마케팅 분석 기업을 포함한 100개 이상의 제3자 업체에 판매했습니다. 이 데이터에는 방문한 모든 웹사이트, 정확한 타임스탬프, 기기 및 브라우저 유형, 지리적 위치가 포함되었으며, 사용자를 잠재적으로 신원 특정할 수 있는 고유 기기 식별자와 연결되어 있었습니다. FTC는 Avast의 익명화 주장이 부적절하였으며 소비자들에게 제대로 된 고지나 실질적인 동의 절차가 제공되지 않았다고 판단했습니다. 2024년 2월, FTC는 Avast에 1,650만 달러의 벌금을 부과하고 광고 목적의 웹 브라우징 데이터 판매 및 라이선스 공여를 영구적으로 금지했습니다. 해당 명령은 2024년 6월에 최종 확정되었습니다. Jumpshot은 Motherboard와 PCMag의 기자들이 이 관행을 처음 폭로한 직후인 2020년 초에 폐쇄되었습니다.
기술적인 측면에서, Avast SecureLine은 36개국 58개 위치에 걸쳐 약 700개의 서버를 운영합니다. 미국은 16개의 도시 단위 옵션으로 가장 촘촘한 커버리지를 자랑하는 반면, 대부분의 다른 국가에는 단 하나의 서버 위치만 존재합니다. 이 네트워크는 주요 경쟁사들에 비해 현저히 작은 규모입니다. 해당 VPN은 AVG Secure VPN과 인프라를 공유하고 있어, 한 서비스의 혼잡이 다른 서비스에도 영향을 미칠 수 있습니다. 지원 프로토콜로는 OpenVPN(TCP/UDP), WireGuard, VPN 탐지 우회를 위한 난독화 기능을 제공하는 Avast의 자체 개발 Mimic 프로토콜이 있습니다. 그러나 프로토콜 지원 현황은 플랫폼별로 일관성이 없습니다. WireGuard는 Windows와 Android에서만 사용 가능하며, Apple 기기에서는 OpenVPN과 WireGuard를 전혀 지원하지 않습니다.
속도 성능은 혼재된 결과를 보입니다. 인근 서버에서 WireGuard를 사용할 경우 기준 속도 대비 약 20~33%의 감소를 보이는 준수한 속도를 기대할 수 있습니다. 원거리 서버 연결 시에도 비슷하거나 약간 더 큰 손실이 발생합니다. OpenVPN 성능은 현저히 저조하여 테스트에서 50~90%의 속도 감소가 보고되었습니다. Mimic 프로토콜은 그 중간 수준에 해당합니다. 이러한 결과는 Avast SecureLine을 중간 정도의 위치에 놓습니다 — 일반적인 웹 브라우징과 표준화질 스트리밍에는 적합하지만, 대역폭 집약적인 작업에는 다소 부족할 수 있습니다.
보안 기능으로는 RSA-4096 키 교환을 적용한 AES-256 암호화, 킬 스위치(데스크톱에서는 제공되나 모바일에서는 일관성 없음), DNS 유출 방지가 포함됩니다. 독립적인 테스트에서 DNS 또는 WebRTC 유출은 감지되지 않았습니다. 그러나 이 VPN에는 최상위 경쟁사들이 제공하는 여러 기능이 빠져 있습니다. 데스크톱에서의 분할 터널링 미지원, Double VPN 또는 멀티홉 기능 부재, RAM 전용 서버 인프라 미채택, Linux·라우터·스마트 TV·게임 콘솔 미지원이 그것입니다. 앱은 Windows, macOS, iOS, Android로 제한됩니다.
Avast SecureLine의 개인정보 처리방침에는 브라우징 활동, 방문 웹사이트, 접근한 콘텐츠를 기록하지 않는다고 명시되어 있습니다. 그러나 연결 타임스탬프, 서브넷 수준의 IP 주소, VPN 서버 IP 주소, 데이터 전송량을 포함한 연결 로그를 최대 30일간 보유합니다. 모바일 앱에는 Google Firebase Analytics, Google Crashlytics, AppsFlyer의 제3자 트래커가 포함되어 있습니다. 무엇보다 중요한 것은, 해당 기업의 사용자 데이터 관련 전력을 감안할 때 로그 정책이나 인프라에 대한 독립적인 감사가 단 한 번도 실시된 적이 없다는 점이 심각한 공백으로 남아 있다는 사실입니다.
스트리밍 측면에서는 결과가 일관되지 않습니다. 테스트에 따르면 Disney Plus, Amazon Prime Video, BBC iPlayer는 차단 해제가 가능하지만, Netflix, Hulu, Paramount Plus에서는 빈번하게 실패합니다. 토렌트는 프라하, 암스테르담, 프랑크푸르트, 뉴욕, 마이애미, 시애틀, 런던, 파리 등 8개 전용 P2P 서버에서 지원됩니다. 가격은 2년 및 3년 플랜 기준 월 $3.99로 경쟁력이 있으며, 신용카드 없이 이용 가능한 60일 무료 체험을 제공합니다.
Avast SecureLine의 근본적인 딜레마는 VPN이 본질적으로 프라이버시 보호 도구임에도 불구하고, Avast가 대규모 사용자 프라이버시 침해로 FTC의 판결을 받은 입증된 전력을 보유하고 있다는 점입니다. Jumpshot 운영은 중단되었고 현재 회사는 FTC 동의 명령 하에 운영되고 있지만, 독립적인 감사의 부재는 사용자들이 Avast의 현재 프라이버시 주장을 맹목적으로 신뢰해야 하는 상황을 만들며 — 이는 해당 전력을 고려할 때 매우 어려운 선택입니다.