Mullvad exit IP는 놀라울 정도로 식별 가능함

Context

Mullvad VPN은 WireGuard 기반의 터널링 구조에서 사용자별 출구 IP를 할당함. 기존 설계는 사용자 키(Key)를 기준으로 IP를 결정적으로 매핑하여, 서버 변경 시에도 동일 사용자가 특정 IP 범위에 속하게 되는 상관관계 취약점이 존재함.

Technical Solution

• WireGuard의 Connectionless 특성을 고려하여 세션 유지 및 UX 저하를 방지하기 위해 고정적 IP 할당 방식 채택
• 사용자별 WireGuard Key를 시드로 활용하여 출구 IP를 결정적으로 선택하는 로직 적용
• Key 교체 주기(기본 72시간)를 통한 IP 변경 유도 및 식별 가능성 완화 시도
• 서드파티 클라이언트 사용 시 Key 자동 교체 메커니즘 부재로 인한 영구적 IP 매핑 문제 발생
• 해결책으로 rand.seed(user_pub_key + server_id) 방식의 무작위화 로직 도입을 통한 서버 간 IP 상관관계 제거 추진