휴대폰 테더링 — 원리부터 통신사 감지까지

폰이 어떻게 공유기가 되는지, 아이폰·안드로이드는 무엇이 다른지, 통신사는 무엇을 보고 알아채는지

이 문서에서 다루는 것
  • 테더링의 기본 원리 — 폰이 '게이트웨이(공유기)'가 되는 구조
  • 연결된 노트북·태블릿이 폰과 통신하는 방식 (DHCP · NAT)
  • 아이폰과 안드로이드의 차이 (기술은 같고, 통신사 통제 방식이 다름)
  • 통신사가 테더링을 알아내는 원리 (TTL · OS 핑거프린팅 · DPI)
  • 자주 쓰는 단축용어와 그 뜻

1. 테더링(Tethering)이란?

1-1. 개념과 비유

테더링이란 휴대폰이 받고 있는 셀룰러(이동통신) 데이터 연결을 노트북·태블릿·다른 폰 같은 다른 기기와 나눠 쓰게 해 주는 기능입니다. 영어 tether는 "(말·소를) 끈으로 매어 두다"라는 뜻으로, 다른 기기를 폰에 '묶어서' 폰의 인터넷에 매달아 쓰게 한다는 데서 온 이름입니다.

핵심 한 줄
테더링을 켜는 순간 휴대폰은 "인터넷을 받아오는 단말기"에서 "인터넷을 나눠 주는 작은 공유기(라우터)"로 역할이 바뀝니다. 집에서 쓰는 Wi-Fi 공유기가 하는 일을, 폰이 그대로 대신하는 것입니다.

1-2. 폰은 '작은 공유기'가 된다

평소 인터넷이 집까지 오는 경로는 인터넷 → 공유기 → 내 노트북입니다. 테더링에서는 이 그림에서 '집까지 들어오는 회선'이 '이동통신 기지국'으로 바뀌고, '공유기' 자리에 '휴대폰'이 들어갑니다.

노트북 · 태블릿 (연결된 기기) 📶 휴대폰 = 공유기 역할 기지국 (통신사망) 인터넷 Wi-Fi/USB/BT LTE/5G
그림 1. 테더링의 전체 경로 — 폰이 '연결된 기기'와 '기지국' 사이에서 공유기 역할을 한다

2. 단축용어 사전

이 문서에 나오는 약어들을 먼저 정리합니다. 뒤 내용을 읽다가 막히면 여기로 돌아오세요.

약어원어뜻 (쉬운 설명)
APAccess Point무선 접속점. Wi-Fi 신호를 뿌려 기기를 붙게 하는 장치. 핫스팟을 켜면 폰이 AP가 됨
SSIDService Set IdentifierWi-Fi의 '이름'. 핫스팟 목록에 보이는 그 이름
NATNetwork Address Translation주소 변환. 여러 기기의 사설 주소를 하나의 공인 주소로 바꿔 인터넷에 내보내는 기술
DHCPDynamic Host Configuration Protocol붙은 기기에게 IP 주소를 자동으로 나눠 주는 규약. 폰이 노트북에게 IP를 발급
IPInternet Protocol (address)네트워크에서 기기를 구분하는 주소(번호)
TTLTime To Live패킷의 '수명 카운터'. 라우터(공유기)를 하나 지날 때마다 1씩 줄어듦. 테더링 감지의 핵심 단서
CGNATCarrier-Grade NAT통신사가 가입자 여럿을 하나의 공인 IP로 묶는 대규모 NAT
DPIDeep Packet Inspection패킷 속을 깊이 들여다보는 검사. 트래픽 종류·OS를 추정하는 데 사용
APNAccess Point Name폰이 통신사망에 접속할 때 쓰는 '관문 이름'. 테더링용 APN을 따로 두는 통신사도 있음
DUNDial-Up Networking안드로이드에서 테더링 트래픽을 분리하는 데 쓰이는 APN 유형 이름
PDNPacket Data Network (connection)폰이 통신사망에 여는 '데이터 세션(파이프)'. 폰은 APN마다 별도 PDN을 동시에 가질 수 있음
P-GWPDN GatewayLTE에서 데이터가 인터넷으로 빠져나가는 출구 관문. APN마다 다른 게이트웨이를 거치고, 여기서 공인 IP가 결정됨 (3G에선 GGSN)
RNDISRemote NDISUSB 케이블을 '가상 랜카드'처럼 보이게 하는 규약 (USB 테더링에서 사용)
PANPersonal Area Network블루투스로 만드는 소규모 네트워크 (블루투스 테더링에서 사용)
MACMedia Access Control (address)랜카드마다 박혀 있는 하드웨어 고유 번호

3. 연결 방식 3가지

폰에 기기를 묶는 '끈'은 세 종류가 있습니다. 무엇으로 연결하든 그 뒤에서 일어나는 일(DHCP·NAT)은 똑같습니다 — 차이는 '연결선의 종류'뿐입니다.

방식 1
Wi-Fi 테더링 (모바일 핫스팟)
폰이 AP가 되어 Wi-Fi 신호를 뿌림. 가장 흔하고 편함. 여러 대 동시 연결 가능하지만 배터리 소모가 큼.
방식 2
USB 테더링
케이블로 직접 연결. RNDIS/NCM으로 USB가 '가상 랜카드'처럼 동작. 가장 빠르고 안정적이며, 폰이 충전되면서 쓸 수 있음.
방식 3
블루투스 테더링
PAN을 만들어 연결. 속도는 가장 느리지만 전력 소모가 적어 비상용·저속 용도에 적합.

3-1. Wi-Fi 핫스팟

핫스팟을 켜면 폰이 SSID(Wi-Fi 이름)와 비밀번호를 가진 작은 무선 공유기가 됩니다. 노트북이 그 SSID에 접속하면 폰이 곧바로 DHCP로 IP를 발급하고, 이후 모든 인터넷 트래픽이 폰을 거쳐 기지국으로 나갑니다.

3-2. USB 테더링

USB 케이블을 꽂고 테더링을 켜면, 폰은 자신을 RNDIS(또는 애플의 NCM) 규약을 통해 'USB 랜카드'인 것처럼 노트북에 알립니다. 노트북 입장에서는 USB 포트에 랜선이 하나 꽂힌 것과 똑같이 인식하고, 역시 폰으로부터 DHCP로 IP를 받습니다. 전파 간섭이 없어 가장 안정적입니다.

3-3. 블루투스 테더링

블루투스로 PAN(개인 영역 네트워크)을 구성합니다. 속도가 수 Mbps로 낮아 영상 같은 대용량에는 부적합하지만, 배터리를 아끼며 텍스트·메신저 정도를 쓰기엔 충분합니다.

4. 폰과 기기는 어떻게 연결되나

여기서부터가 핵심 원리입니다. 노트북이 폰에 붙은 뒤 인터넷이 되려면 ① 주소를 받고(DHCP) → ② 그 주소를 인터넷용으로 변환(NAT)하는 두 단계가 필요합니다. 폰은 이 둘을 동시에 처리하는 게이트웨이(관문) 역할을 합니다.

4-1. 먼저 — 라우터 · 게이트웨이 · 라우팅

이 셋은 계속 같이 등장하는데 자주 헷갈립니다. 결론부터 말하면 거의 같은 것을 다른 관점으로 부르는 말입니다.

용어정체한 줄 설명 (비유)
라우터 (Router)장치 / 기능패킷을 다른 네트워크로 넘겨주는 기계 — 길목마다 있는 교차로 안내원
게이트웨이 (Gateway)위치 / 역할내 네트워크에서 바깥으로 나가는 출입문 — 우리 동네의 정문(대문)
라우팅 (Routing)동작 / 과정"이 패킷을 다음에 어디로 보낼지 길을 정하는 행위"
게이트웨이는 라우터인가?
실무에서 "기본 게이트웨이(default gateway)"는 거의 항상 라우터를 가리킵니다. 즉 "내 네트워크의 출입문 역할을 하는 그 라우터의 주소"가 게이트웨이입니다. 같은 장치를 '출입문'이라는 자리로 부르면 게이트웨이, '길을 정해 넘기는 기계'로 부르면 라우터인 셈입니다.

라우팅은 그 라우터가 하는 일입니다. 각 라우터는 패킷의 목적지 IP를 읽고 → 자기 라우팅 표(지도)를 보고 → "그럼 다음은 저쪽 길" 하고 넘깁니다. 이걸 목적지에 닿을 때까지 라우터 → 라우터 → 라우터로 반복하는데, 한 번 넘길 때마다(=한 홉) TTL이 1씩 줄어듭니다 (6-1장의 테더링 감지가 바로 이 원리입니다).

각 라우터를 지날 때마다 다음 길을 정하고(라우팅) TTL이 1씩 줄어든다 노트북 출발 TTL 64 휴대폰 게이트웨이 = 라우터 P-GW 라우터 통신사 라우터 목적지 서버 TTL 64 63 62 61
그림 2. 라우팅 — 패킷이 라우터(게이트웨이)들을 건너뛰며(홉) 목적지로 가고, 매 홉마다 TTL이 −1 된다

그래서 테더링에서 폰 = 게이트웨이

노트북이 사는 작은 네트워크(폰이 만든 핫스팟 안)와 바깥 인터넷은 서로 다른 세계입니다. 노트북이 인터넷으로 나가려면 반드시 출입문, 즉 을 거쳐야 합니다 — 그래서 노트북에는 폰의 사설 IP(보통 192.168.x.1)가 '기본 게이트웨이'로 등록됩니다. 그리고 폰은 받은 패킷을 "기지국 쪽으로" 넘기는 라우팅을 수행하므로, 동시에 라우터이기도 합니다. 뒤따라 나오는 P-GW도 인터넷으로 나가는 또 하나의 게이트웨이이자 라우터입니다.

4-2. DHCP — 폰이 IP를 나눠 준다

노트북이 막 연결되면 노트북에는 아직 주소가 없습니다. 그래서 노트북은 "여기 주소 줄 사람?"이라고 방송하고, 폰 안의 DHCP 서버가 응답해 192.168.43.25 같은 사설 IP를 빌려 줍니다. 동시에 게이트웨이 주소(폰 자신)와 DNS 정보도 함께 알려 줍니다.

노트북 "주소 주세요" 휴대폰 DHCP 서버 게이트웨이 192.168.43.1 ① DISCOVER (주소 요청 방송) ② OFFER/ACK — "192.168.43.25 써라"
그림 3. DHCP — 폰이 연결된 기기에게 사설 IP와 게이트웨이 정보를 나눠 주는 과정

4-3. NAT — 사설 주소를 인터넷용으로 변환

노트북이 받은 192.168.43.25 같은 주소는 사설 IP라서 인터넷에서는 통하지 않습니다(집·핫스팟 안에서만 유효). 그래서 폰은 노트북이 보낸 패킷의 출발지 주소를 자신이 통신사에서 받은 주소로 바꿔치기해서 내보냅니다. 이것이 NAT입니다. 응답이 돌아오면 폰은 기록해 둔 표를 보고 "이건 노트북 거였지" 하며 다시 노트북에게 돌려줍니다.

비유 — 회사 대표번호
사설 IP는 '내선 번호', 공인 IP는 '회사 대표번호'입니다. 외부에서 볼 땐 모두 대표번호(폰의 주소) 하나로 보이고, 폰은 내부적으로 "이 응답은 25번 내선(노트북)으로" 하고 연결해 줍니다. 그래서 밖에서 보면 노트북도, 폰 자신의 트래픽도 전부 '폰 하나'가 보낸 것처럼 보입니다.

4-4. 이중 NAT와 CGNAT

실제로는 변환이 두 번 일어나는 경우가 많습니다. 노트북 → 폰에서 한 번(폰의 NAT), 그리고 폰 → 통신사에서 또 한 번(CGNAT) 변환됩니다. 통신사는 IP 주소가 부족해서 가입자 수천 명을 공인 IP 하나에 몰아넣기 때문입니다. 이 '이중 NAT' 구조 때문에 테더링 기기는 외부에서 직접 접속이 어렵고, 통신사 입장에서는 한 회선 뒤에 기기가 몇 대 있는지 겉주소만으로는 알기 어렵습니다 — 그래서 다음 장의 '감지 기술'이 필요해집니다.

4-5. 왜 테더링과 폰의 외부 IP가 다를까? (APN 분리)

whatismyip 같은 사이트에서 확인해 보면, 폰으로 직접 접속했을 때의 외부(공인) IP그 폰에 테더링한 노트북의 외부 IP가 서로 다르게 나오는 경우가 있습니다. 이건 버그가 아니라 통신사가 일부러 만든 구조이며, 그 기술의 이름은 'APN 분리(별도 PDN 라우팅)'입니다.

폰이 통신사망에 붙는다는 건, APN(접속 관문 이름)을 골라 PDN이라는 데이터 세션(파이프)을 하나 여는 일입니다. 그런데 폰은 여러 APN에 동시에 붙을 수 있습니다 — 인터넷용, 영상통화(VoLTE)용, MMS용처럼요. 통신사는 여기에 테더링 전용 APN을 하나 더 둬서, 테더링 트래픽만 그쪽 파이프로 흐르게 합니다.

그리고 핵심은 — APN마다 거치는 출구 게이트웨이(P-GW)가 다르고, 게이트웨이마다 공인 IP 풀(CGNAT)이 다르다는 점입니다. 그래서 출구가 갈리면 바깥에서 보이는 공인 IP도 갈립니다.

휴대폰 폰 자체 앱 (직접 트래픽) 테더링 노트북 폰 NAT를 거쳐 테더링 APN으로 게이트웨이 A (P-GW) internet APN 게이트웨이 B (P-GW) tethering(DUN) APN 공인 IP A 1.1.1.1 공인 IP B 2.2.2.2 인터넷
그림 4. APN 분리 — 폰 트래픽과 테더링 트래픽이 서로 다른 게이트웨이로 나가 외부 IP가 갈린다
정리
같은 폰 하나에서 나가는데도 외부 IP가 다른 이유는 트래픽이 서로 다른 APN → 다른 게이트웨이(P-GW) → 다른 공인 IP 풀로 흐르기 때문입니다. 통신사 입장에선 이게 가장 확실한 분리 방법이라, 앞 장의 TTL 추정이 없어도 게이트웨이 B를 지나는 양만 재면 테더링 사용량을 정확히 측정·과금할 수 있습니다.

5. 아이폰 vs 안드로이드, 무엇이 다른가

5-1. 기술적 동작은 사실상 동일

먼저 분명히 할 점 — DHCP·NAT·게이트웨이로 동작하는 원리 자체는 아이폰과 안드로이드가 똑같습니다. 둘 다 폰이 작은 공유기가 되는 방식입니다. 진짜 차이는 '기술'이 아니라 '통신사가 그 기능을 얼마나 통제하느냐', '사용자가 얼마나 손댈 수 있느냐'에 있습니다.

🍎 아이폰 (iOS)
  • 핫스팟 기능이 통신사 프로파일(Carrier Bundle/IPCC)에 묶여 있음 — 통신사가 켜고 끄는 권한을 강하게 쥠
  • OS가 닫혀 있어 사용자가 TTL·APN을 임의로 바꾸기 어려움(탈옥 전엔 거의 불가)
  • 설정이 단순·일관됨. '개인용 핫스팟' 하나로 Wi-Fi/USB/BT 통합 관리
  • 통신사 입장에선 통제·예측이 쉬운 환경
🤖 안드로이드
  • 제조사·기종마다 설정이 다양하고 개방적
  • 일부 통신사는 테더링을 별도 DUN APN으로 분리해 따로 식별·과금
  • 루팅하면 TTL 고정·APN 변경 등으로 감지를 우회하려는 시도가 가능(통신사 약관 위반일 수 있음)
  • 통신사 입장에선 변형·우회 가능성이 더 큰 환경
항목아이폰안드로이드
연결 원리(DHCP/NAT)동일 — 폰이 게이트웨이가 됨
기능 통제 주체통신사 프로파일이 강하게 통제비교적 개방, 기종 편차 큼
테더링 전용 APN(DUN)거의 사용 안 함(프로파일로 처리)통신사에 따라 DUN APN 분리
사용자 우회(TTL 등)탈옥 전엔 매우 어려움루팅 시 가능(권장 안 함)
OS 기본 TTL6464

5-2. 정리 — '같은 엔진, 다른 잠금장치'

엔진(DHCP·NAT)은 같고, 그 위에 채워진 잠금장치(통신사 통제)의 세기가 다른 셈입니다. 아이폰은 잠금이 단단해 통신사 정책대로만 동작하고, 안드로이드는 더 열려 있어 우회 여지가 있지만 그만큼 통신사도 다음 장의 감지 기술로 더 적극 대응합니다.

6. 통신사는 테더링을 어떻게 감지하나

앞에서 봤듯 NAT 때문에 겉주소만 보면 노트북 트래픽도 폰 트래픽처럼 보입니다. 그래서 통신사는 패킷 '겉봉투'가 아니라 패킷 속 작은 흔적들을 보고 "이건 폰 뒤에 숨은 다른 기기다"라고 추정합니다. 가장 고전적이고 강력한 단서가 TTL입니다.

6-1. TTL 검사 — 가장 핵심 단서

모든 IP 패킷에는 TTL(Time To Live)이라는 숫자가 들어 있습니다. 원래는 '잘못 떠도는 패킷'이 무한히 도는 걸 막으려고 만든 수명 카운터로, 라우터(공유기)를 하나 지날 때마다 1씩 줄어듭니다. 각 운영체제는 패킷을 처음 만들 때 TTL에 정해진 출발값을 넣습니다.

폰이 직접 보낸 트래픽은 기지국에 도착할 때 TTL이 64 그대로입니다(라우터를 안 거쳤으니까). 그런데 노트북이 테더링으로 보낸 트래픽은 폰이라는 라우터를 한 번 거치므로 TTL이 1 줄어 63(노트북이 리눅스/맥) 또는 127(노트북이 윈도우)로 도착합니다. 통신사는 자기 망에 들어오는 패킷의 TTL이 64가 아닌 63·127이면 "이건 폰 뒤에 다른 기기가 있다 = 테더링"이라고 판단합니다.

A. 폰이 직접 보낸 트래픽 (정상) 휴대폰 TTL=64 생성 TTL 64 통신사 검사 64 → 정상 ✓ B. 노트북이 테더링으로 보낸 트래픽 (감지됨) 노트북 TTL=64(또는128) 휴대폰 −1 (라우팅) TTL 63 통신사 검사 63 → 의심 ⚠
그림 5. TTL 검사 — 폰을 거치며 1 줄어든 값(63·127)이 테더링의 결정적 단서가 된다
왜 이게 통하나
통신사 입장에선 패킷 내용(암호화돼 못 봄)이 아니라 TTL 숫자 하나만 보면 되므로 매우 가볍고 빠릅니다. 그래서 가장 널리 쓰이는 1차 판별법입니다.

6-2. OS 핑거프린팅 — '말투'로 OS를 알아낸다

TTL만으로 부족하면, 통신사는 TCP/IP 스택의 미세한 습관을 봅니다. 운영체제마다 패킷을 만드는 '말투'가 조금씩 다릅니다 — TCP 윈도우 크기, 옵션을 나열하는 순서, MSS(한 번에 보내는 최대 크기) 값 등이 OS 지문처럼 다릅니다. 폰의 셀룰러 가입자는 'iOS/안드로이드'여야 하는데 트래픽에서 Windows·macOS의 지문이 나오면 "폰 뒤에 PC가 있다"고 판단합니다.

6-3. DPI와 User-Agent — 내용·목적지로 추정

DPI(Deep Packet Inspection)는 패킷 속을 들여다보는 검사입니다. 과거 HTTP 시절엔 브라우저가 보내는 User-AgentWindows NT 10.0 같은 글자가 그대로 보여서 PC 트래픽을 쉽게 잡았습니다. 지금은 대부분 HTTPS로 암호화되어 이 방법은 거의 막혔습니다. 대신 통신사는 접속하는 목적지로 추정합니다 — 예를 들어 폰엔 없을 법한 Windows Update 서버나 데스크톱 전용 프로그램의 업데이트 도메인에 큰 트래픽이 오가면 PC 사용 신호로 봅니다.

6-4. 트래픽 패턴과 전용 APN

그 밖에도 여러 보조 단서를 함께 봅니다.

이 단서들은 단독으론 약하지만, TTL·핑거프린팅과 겹쳐서 보면 정확도가 올라갑니다.

6-5. 감지의 한계와 우회 (그리고 주의)

감지는 완벽하지 않습니다. 사용자가 노트북·폰의 TTL 출발값을 65로 고정해 두면, 폰을 거쳐 −1 되어도 64로 도착해 '폰 직접 트래픽'처럼 위장됩니다. 이 때문에 루팅/탈옥 기반의 우회 도구가 존재하지만, 통신사는 그에 맞춰 OS 핑거프린팅·트래픽 패턴 분석으로 다시 대응하는 창과 방패의 반복이 이어집니다.

주의
TTL 조작 등으로 테더링 감지를 우회하는 행위는 대부분 통신사 약관(이용 정책) 위반일 수 있어, 요금제에 따라 속도 제한·추가 과금·계약 해지 사유가 될 수 있습니다. 이 문서는 원리 학습 목적이며, 실제 우회를 권장하지 않습니다. 본인 요금제의 테더링 허용 범위를 먼저 확인하세요.

7. 감지 우회는 어떻게 동작하나 — PairVPN · iSH (원리)

6장에서 통신사가 TTL · APN · 핑거프린팅으로 테더링을 알아낸다고 했습니다. 그렇다면 PairVPN이나 iSH 같은 앱은 그걸 어떻게 피하는 걸까요? 둘 다 결국 같은 한 가지 아이디어를 씁니다. 여기서는 그 이론적 원리를 살펴봅니다.

핵심 아이디어 한 줄
노트북 트래픽을 폰이 그냥 '통과(라우팅)'시키지 않고, 폰 안의 앱이 받아서 속을 다시 포장해 '폰 자신의 트래픽'으로 새로 내보낸다(재출발, re-origination). 그러면 통신사 눈에는 노트북이 아니라 폰 앱이 만든 정상 트래픽처럼 보입니다.

7-1. 핵심 — '통과'가 아니라 '재출발(re-origination)'

일반 테더링에서 폰은 라우터입니다 — 노트북 패킷을 받아 목적지로 '통과'시키므로, 패킷의 출발지·OS 지문이 그대로 남고 TTL이 −1 됩니다. 그래서 들킵니다. 우회 앱은 폰을 프록시/대리인으로 바꿉니다 — 노트북 패킷의 내용물만 꺼내 폰 앱이 자기 이름으로 새 패킷을 만들어 보냅니다. 새 패킷이니 출발지는 폰, TTL은 64, APN은 폰의 일반 인터넷입니다.

A. 일반 테더링 — 폰이 '통과(라우팅)'만 함 → 들킴 노트북 PC 패킷 휴대폰 = 라우터 통과 → TTL −1 PC 지문 그대로 통신사 "테더링!" ⚠ TTL 63 · 테더링 APN B. 재출발(re-origination) — 폰 앱이 '다시 보냄' → 폰 트래픽처럼 보임 노트북 암호 터널로 폰 앱 = 프록시 재포장 → 재발신 출발지=폰, TTL 64 통신사 "폰 사용" ✓ TTL 64 · internet APN
그림 6. '통과'(라우터) vs '재출발'(프록시) — 우회의 본질은 폰이 패킷을 자기 이름으로 다시 만드는 데 있다

7-2. PairVPN의 기전

PairVPN은 이 '재출발'을 두 기기 사이의 로컬 VPN 터널로 구현한 앱입니다. 폰에는 서버 모드, 노트북·태블릿에는 클라이언트 모드로 앱을 깔고, 6자리 코드로 한 번 페어링하면 둘 사이에 터널이 생깁니다. 공식 설명에 따르면 클라이언트의 모든 트래픽이 이 터널을 타고 폰으로 들어와 폰의 데이터 연결로 나가며, 그 결과 "핫스팟 사용이 아니라 폰의 일반 인터넷 사용"으로 분류됩니다.

① 두 기기에 앱 설치 폰=서버 모드 · 노트북=클라이언트 모드 ② 6자리 코드로 페어링 서버가 띄운 코드를 클라이언트가 입력 ③ 로컬 VPN 터널 형성 대개 직접(P2P) 연결 · 막히면(대칭 NAT) 릴레이 경유 ④ 노트북 트래픽 → 터널 → 폰 암호화되어 폰 안 PairVPN 앱으로 들어감 ⑤ 폰 앱이 '폰의 데이터 연결'로 재발신 → 통신사엔 '폰의 일반 인터넷 사용'으로 분류됨
그림 7. PairVPN 흐름도 — 페어링 → 로컬 VPN 터널 → 폰 앱이 트래픽을 재발신

한 가지 특징 — PairVPN은 들어오는 포트를 열지 않고(방화벽 변경 없음) 페어링 방식으로 동작해, 일반 VPN 서버보다 설정이 단순하고 안전하다고 설명합니다. 다만 현재는 기기 1대만 연결됩니다.

7-3. iSH란 무엇인가

iSH는 우회 전용 앱이 아니라, 아이폰·아이패드 안에서 도는 '작은 리눅스'입니다. Alpine Linux 기반의 리눅스 셸 환경을 iOS 위에서 제공합니다(탈옥 불필요, iOS 13+).

iOS는 외부 네이티브 코드의 실행을 막기 때문에, iSH는 정공법 대신 x86 명령어를 소프트웨어로 에뮬레이션(usermode emulation)하고 리눅스 시스템콜을 iOS용으로 번역(syscall translation)합니다. 내부적으로 Asbestos라는 자체 인터프리터, 가짜 파일시스템(fakefs), 네트워크 syscall을 iOS 네트워크 API로 옮기는 변환 계층으로 이뤄집니다. 한마디로 "아이폰 속 리눅스 에뮬레이터"입니다.

iOS (앱 샌드박스 · 하드웨어 접근 제한) iSH 에뮬레이터 Asbestos x86 인터프리터 fakefs 가짜 파일시스템 syscall 번역 계층 → iOS API Alpine Linux 사용자 공간 셸(sh) · apk 패키지 · python · ssh · 프록시 등 ("아이폰 속 작은 리눅스 컴퓨터")
그림 8. iSH 구조 — iOS 위에서 x86을 에뮬레이션해 Alpine 리눅스 사용자 공간을 돌린다

7-4. iSH가 테더링과 무슨 상관? (이론)

iSH 자체는 테더링 도구가 아니지만, 그 안에서 프록시 서버(SOCKS·SSH 터널·gost 등)를 돌리면 PairVPN과 같은 '재출발' 원리를 범용 리눅스로 구현할 수 있습니다. 이론적 흐름은 이렇습니다.

PairVPN은 '전용 앱'으로, iSH는 '범용 리눅스 + 프록시'로 같은 원리를 구현하는 셈입니다. 다만 iSH는 에뮬레이션이라 속도가 느리고 설정이 까다로우며, 어디까지나 원리 학습용 설명입니다.

7-5. 왜 6장의 감지를 피하게 되나

'재출발' 한 번으로 6장의 단서들이 동시에 무력화되는 이유를 표로 정리합니다.

감지 기법(6장)일반 테더링재출발 우회(PairVPN·iSH)
TTL 검사63 / 127 (라우터 통과)64 — 폰 앱이 새로 만든 패킷
OS 핑거프린팅PC의 TCP 지문 노출바깥 패킷은 폰 앱의 지문
APN 분리테더링(DUN) APN폰의 internet APN으로 나감
DPI · 목적지PC 트래픽 패턴 노출터널로 암호화, 폰에서 출발
주의 (다시 강조)
이런 우회는 대부분 통신사 이용약관 위반에 해당할 수 있어, 요금제에 따라 속도 제한·추가 과금·계약 해지 사유가 될 수 있습니다. 이 장은 "왜 통하는가"를 이해하기 위한 원리 학습이 목적이며 실제 사용을 권장하지 않습니다.

8. 한 줄 요약

  • 테더링 — 폰의 셀룰러 인터넷을 다른 기기에 나눠 주는 것. 폰이 작은 공유기(게이트웨이)가 된다
  • 연결 방식 — Wi-Fi(핫스팟·AP) / USB(RNDIS) / 블루투스(PAN). 방식만 다를 뿐 뒤 원리는 동일
  • 연결 원리 — 폰이 DHCP로 사설 IP를 나눠 주고, NAT로 그 주소를 인터넷용으로 바꿔 내보낸다(실제론 CGNAT까지 이중 NAT)
  • 아이폰 vs 안드로이드 — 동작 원리는 같음. 차이는 통신사 통제의 세기: 아이폰은 프로파일로 단단히 잠겨 있고, 안드로이드는 개방적이라 우회 여지가 큼
  • 통신사 감지 — 핵심은 TTL(폰을 거쳐 63·127이면 의심). 보조로 OS 핑거프린팅 · DPI · 목적지 · 트래픽 패턴 · DUN APN
  • 감지 우회(PairVPN·iSH) — 폰이 트래픽을 '통과'시키지 않고 앱이 다시 만들어 보내면(재출발) 폰 자신의 트래픽처럼 보임 → TTL·APN·핑거프린팅이 한꺼번에 무력화됨 (단, 약관 위반 소지)
  • 가장 중요한 직관 — NAT 때문에 '겉주소'는 다 같아 보이므로, 통신사는 패킷 속 작은 흔적으로 폰 뒤의 기기를 추론한다