모든 시스템 정상 작동 중 21 종 암호화폐 지원 · 모네로 환영 KYC 없음 정책
ChainVPS

VPN · KYC 없음

WireGuard를 해외 VPS에 호스팅

해외 ChainVPS 인스턴스에서 직접 WireGuard VPN을 운영하고, 오직 당신에게만 답하는 빠르고 현대적인 암호화 터널을 확보하세요.

설명

WireGuard는 리눅스 커널에 내장된 경량 고성능 VPN 프로토콜로, 최신 암호화 기술(Curve25519, ChaCha20, Poly1305)을 사용해 지점 간 암호화 터널을 구성합니다. VPS에서 셀프 호스팅하면 해당 서버가 완전히 직접 통제하는 개인 VPN 출구 노드가 되어, 공유형 상용 제공업체 대신 서버의 IP를 통해 트래픽을 라우팅합니다.

왜 해외에서 호스팅해야 할까요

셀프 호스팅 VPN의 프라이버시는 그것이 구동되는 서버 수준을 넘을 수 없습니다. 그래서 프라이버시 친화적 관할권에 위치한 KYC 없는 암호화폐 결제 호스트는 상용 VPN과 대형 클라우드가 기록으로 남기는 신원 흔적 자체를 없애줍니다. ChainVPS의 무제한 트래픽과 프라이버시 등급 로케이션(NL/CH/RO/IS/MD/LU)은 예상치 못한 트래픽 제한이나 출구 IP를 당신과 연결하는 서류상 흔적 없이 실제 트래픽을 처리할 수 있게 해줍니다.

배포

실제로 작동하는 참고 설정

이 내용을 새 ChainVPS 인스턴스에 붙여넣으세요. 자리표시자를 실제 값으로 교체한 뒤 실행하세요.

docker-compose.yml
# wg-easy: WireGuard + 웹 관리 UI. Docker + compose 플러그인 필요.
# 1) 먼저 bcrypt 관리자 비밀번호 해시를 생성하세요:
#    docker run --rm ghcr.io/wg-easy/wg-easy:14 wgpw 'ChooseAStrongPassword'
#    -> PASSWORD_HASH 값을 아래 파일에 복사하세요.
#    참고: docker-compose에서는 해시 안의 모든 '$'를 '$$'로 두 번 입력해야 합니다.
# 2) WG_HOST를 서버의 공인 IP(또는 이를 가리키는 DNS 이름)로 교체하세요.
# 3) docker compose up -d   실행 후 http://SERVER_IP:51821 접속

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:14
    container_name: wg-easy
    restart: unless-stopped
    environment:
      - WG_HOST=YOUR.SERVER.PUBLIC.IP
      - PASSWORD_HASH=$$2a$$12$$REPLACE_WITH_YOUR_BCRYPT_HASH
      - WG_PORT=51820
      - WG_DEFAULT_DNS=1.1.1.1
      - WG_DEFAULT_ADDRESS=10.8.0.x
      - WG_ALLOWED_IPS=0.0.0.0/0, ::/0
    volumes:
      - ./wg-data:/etc/wireguard
    ports:
      - "51820:51820/udp"   # WireGuard 터널
      - "51821:51821/tcp"   # 웹 관리 UI
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

방화벽

열어야 할 포트

포트프로토콜용도
51820UDPWireGuard 터널(데이터 플레인) - 인터넷에 열려 있어야 함
51821TCPwg-easy 웹 관리 UI - 방화벽으로 차단하고 SSH 터널이나 인증이 적용된 리버스 프록시로 접근

적정 규모 산정

필요한 요금제

가벼움

VPS Nano / Small (1 vCPU, 1-2 GB RAM)

개인 기기 1-3대, 일반 브라우징과 지역 우회. WireGuard는 커널 수준으로 빠르므로 이 단계에서는 CPU가 병목이 되는 경우가 거의 없습니다.

중간

VPS Pro (2-4 vCPU, 4-8 GB RAM)

가족 단위 또는 소규모 팀, 10-25개 피어, 꾸준한 스트리밍/다운로드. 이 단계에서는 코어 수보다 무제한 트래픽이 더 중요합니다.

고사양

Dedicated (또는 전용 코어를 갖춘 상위 VPS)

50개 이상의 피어, 기가비트급 처리량 또는 사이트 간(site-to-site) 게이트웨이. 전용 CPU는 암호화 처리 경로에서 노이지 네이버 지연을 방지합니다.

추천 로케이션: VPN 출구용으로 ChainVPS의 프라이버시 등급 로케이션을 선택하세요: 스위스(CH), 아이슬란드(IS), 네덜란드(NL)는 강력한 데이터 보호 체계와 우수한 유럽 트랜짓을 제공하며, 루마니아(RO), 몰도바(MD), 룩셈부르크(LU)는 일반적인 감시 공유 압력에서 벗어난 관할권으로 선택지를 넓혀줍니다. 모든 패킷이 출구를 왕복하므로, 터널 지연을 최소화하려면 실제로 브라우징하는 위치에 물리적으로 가장 가까운 곳을 선택하세요.

보안을 강화하세요

보안 강화 체크리스트

  • wg-easy 웹 UI(51821)를 절대 인터넷에 노출하지 마세요 - localhost에 바인딩하고 'ssh -L 51821:localhost:51821 user@server'로 접근하거나, TLS와 HTTP 인증이 적용된 리버스 프록시 뒤에 두세요. 공개적으로 접근 가능해야 하는 것은 51820/udp뿐입니다.
  • 실제 방화벽으로 서버 앞단을 보호하세요: 'ufw default deny incoming'을 설정하고 SSH 포트와 51820/udp만 허용한 뒤 나머지는 Docker의 포워딩에 맡기세요. net.ipv4.ip_forward=1이 재부팅 후에도 유지되는지 확인하세요.
  • :latest 대신 특정 태그(예: :14)에 이미지를 고정해 업스트림 변경으로 동작이 조용히 바뀌지 않도록 하고, 릴리스 노트를 확인한 뒤 의도적으로 재빌드하세요. ./wg-data 디렉터리는 설정 파일을 0600 권한으로 저장하세요 - 모든 피어의 개인 키가 들어 있습니다.
  • 무엇보다 먼저 SSH를 강화하세요: 키 인증만 허용하고, 비밀번호 로그인과 root 로그인을 비활성화하며, 포트를 변경하거나 보호하세요. VPN의 프라이버시는 결국 호스트에 로그인할 수 있는 사람에 의해 좌우됩니다.
  • WG_DEFAULT_DNS를 신뢰할 수 있는 리졸버로 설정하거나(또는 서버에서 직접 운영하여) 클라이언트가 터널 밖으로 DNS를 유출하지 않도록 하고, 연결 후 IP/DNS 유출 테스트로 확인하세요. 기기를 분실한 경우 UI에서 해당 피어 설정을 교체하거나 폐기하세요.

질문

호스팅 WireGuard — FAQ

셀프 호스팅 WireGuard VPN이 상용 VPN보다 더 프라이빗한가요?

공유 출구 IP 대신 독점적인 통제권을 얻는 방식입니다. 상용 VPN은 수천 명의 사용자와 당신을 섞어주지만 그들의 노로그 주장을 신뢰해야 합니다. KYC 없는 VPS에 셀프 호스팅한 엔드포인트는 제3자가 계정 신원이나 로그를 보유하지 않는다는 뜻이지만, 대신 출구 IP는 오직 당신 소유가 됩니다. 여기에 암호화폐 결제와 프라이버시 등급 로케이션을 결합하면 신원 흔적이 완전히 사라집니다.

웹 UI가 꼭 필요한가요, 아니면 순수 WireGuard만 운영할 수 있나요?

위의 wg-easy 이미지는 피어 설정과 QR 코드를 자동으로 생성해주므로 가장 빠른 방법입니다. 웹 인터페이스가 전혀 필요 없다면 Ubuntu 24.04에 'wireguard' 패키지를 직접 설치하고 /etc/wireguard/wg0.conf를 수동으로 관리하면 됩니다 - 동일한 커널 모듈을 사용하되 키와 피어 관리만 수동으로 하는 방식입니다.

무제한 트래픽이 실제로 VPN의 과도한 사용량을 감당할 수 있나요?

네 - ChainVPS의 VPS 요금제에는 무제한 트래픽이 포함되어 있으며, 이는 VPN에 정확히 필요한 조건입니다. 브라우징, 스트리밍, 다운로드로 발생하는 모든 바이트가 터널을 두 번씩 통과하기 때문입니다. 기가바이트당 초과 요금을 걱정할 필요가 없습니다.

왜 공개적으로 열어야 할 포트가 UDP 51820 하나뿐인가요?

WireGuard의 데이터 플레인은 이 UDP 포트 하나만으로 완전히 동작합니다. 웹 관리 포트(51821/tcp)는 관리 전용이므로 방화벽으로 차단하고 SSH 터널을 통해서만 접근해야 하며, 그 결과 공개 공격 표면은 인증되지 않은 패킷을 조용히 폐기하는 단일 UDP 리스너뿐입니다.

여러 기기나 가족 구성원을 위해 사용할 수 있나요?

네. 각 기기는 UI에서 자신만의 피어 설정을 받으며, VPS Pro급 요금제는 10-25개 피어로 구성된 가정에 무리 없이 대응합니다. 기가비트 회선을 가득 채우거나 사이트 간 게이트웨이를 운영해야 할 때만 Dedicated 요금제로 확장하세요.

VPN 엔드포인트에도 디도스 방어가 중요한가요?

도움이 됩니다 - VPN의 공개 UDP 포트는 대용량 트래픽 폭주(volumetric flood)의 표적이 될 수 있으며, ChainVPS는 디도스 완화 기능을 포함하고 있어 쓰레기 트래픽이 몰려도 터널이 오프라인이 되지 않습니다. 다만 이미 유효한 피어 키를 확보한 공격자를 막아주지는 못하므로, 해당 키는 철저히 관리해야 합니다.

생성하기 WireGuard
60초 안에 배포하세요.

무제한 트래픽 · 디도스 방어 포함 · 21종 암호화폐 · KYC 없음.