정치적 변화와 소프트웨어 주권에 대한 우려 속에서 Linux용 Little Snitch를 직접 만들게 된 배경, Ubuntu와 macOS의 네트워크 동작 차이, 앱들의 전화 걸기 습관, 그리고 eBPF 기반 구현과 공개 범위에 대해 설명합니다.
Little Snitch
Little Snitch Mini
Micro Snitch
LaunchBar
Internet Access Policy Viewer더 많은 제품상점지원블로그- [x] 블로그메뉴
Christian, Little Snitch — 2026년 4월 8일
최근의 정치적 사건들은 정부와 조직들로 하여금 외국의 통제를 받는 소프트웨어에 대한 의존을 진지하게 재검토하게 만들었습니다. 핵심 문제는 단순하면서도 불편합니다. 자동 업데이트를 통해 공급업체는 언제든지, 어떤 권한으로든, 여러분의 컴퓨터에서 어떤 코드든 실행할 수 있습니다. 대부분의 사람들은 이를 알고 있지만, 굳이 생각하고 싶어 하지는 않습니다. 이러한 의존을 줄이기 위한 분명한 후보는 Linux입니다. 단일 기업이 이를 통제하지 않고, 단일 국가가 이를 소유하지도 않습니다. 그래서 저는 직접 이를 살펴보기로 했습니다.
저는 주변에 있던 조금 오래된 하드웨어 몇 대에 이를 설치했습니다. 그리고 앱들을 설치했습니다. 막상 해보니 많은 것이 필요하지는 않았습니다. 브라우저, 메일러, 텍스트 편집기, 개발 환경, git 클라이언트, Signal, Wireshark, 그리고 몇 가지 정도면 충분했습니다. Linux에서는 Mac 개발을 할 수 없지만, 그것은 예상했던 부분이었습니다.
그 직후 저는 어딘가 벌거벗은 듯한 느낌을 받았습니다. Little Snitch에 익숙해져 있다 보니, 컴퓨터가 어떤 연결을 만들고 있는지 전혀 알 수 없다는 것은 묘한 기분입니다. 조금 조사해 보니 OpenSnitch, 여러 명령줄 도구들, 그리고 서버용으로 만들어진 다양한 보안 시스템들을 찾을 수 있었습니다. 하지만 이 중 어느 것도 제가 원하던 것을 주지는 못했습니다. 어떤 프로세스가 어떤 연결을 만드는지 보고, 가장 이상적인 경우에는 한 번의 클릭으로 이를 차단하는 것 말입니다.
Little Snitch가 분명히 빠져 있었기 때문에, 저는 그것을 만들기 시작했습니다.
길게 말하지 않자면, 저는 커널 수준에서 트래픽을 가로채기 위해 eBPF를 사용하기로 했습니다. 이것은 고성능이며 커널 확장보다 훨씬 더 이식성이 좋습니다. 메인 애플리케이션 코드는 Rust로 작성했는데, 이 언어는 제가 꽤 오랫동안 탐구해 보고 싶었던 언어였습니다. 그리고 사용자 인터페이스는 웹 애플리케이션으로 만들었습니다. 마지막 선택은 개인정보 보호 도구로서는 이상하게 보일 수도 있지만, 덕분에 Mac을 포함한 어떤 장치에서든 원격 Linux 서버의 네트워크 연결을 모니터링할 수 있습니다. Nextcloud, Home Assistant, 또는 Zammad가 실제로 어디에 연결하고 있는지 알고 싶으신가요? 서버에서 Little Snitch를 사용해 보세요.
이제 Linux에서 Little Snitch의 한 변형을 갖게 되었으니, 느낌은 어떨까요? 개인정보 보호 측면에서 Linux는 Mac보다 더 나을까요?
답해야 할 질문은 두 가지입니다. 하나는 시스템 자체에 관한 것이고, 다른 하나는 여러분이 설치하는 앱들에 관한 것입니다.
저는 개발 중에 이미 차이를 느꼈습니다. macOS에서 테스트할 때는 최대 5초면 어떤 프로세스가 통신을 시작하고 네트워크 트래픽이 보입니다. 반면 Linux에서 테스트할 때는 연결 하나를 포착하기까지 1분 이상 걸리는 경우가 많았습니다. 물론 이것은 설치한 Linux 배포판에 따라 달라집니다. 저는 Ubuntu를 사용했는데, 그저 매우 널리 쓰이기 때문이었고, 개발자로서 사용자와 같은 설정을 쓰는 것은 좋은 생각이기 때문입니다.
Ubuntu는 네트워크에서 비교적 조용한 편이지만, 여전히 선언된 메트릭 채널(ubuntu-insights가 metrics.ubuntu.com에 연결)과 다양한 소프트웨어 업데이트 채널을 통해 Canonical에 피드백을 보냅니다. 메트릭은 차단할 수 있지만, 업데이트를 끄고 싶지는 않을 것입니다. 그리고 바로 여기서 익숙한 문제가 다시 나타납니다. 한 기업에 대한 의존을 다른 기업에 대한 의존으로 바꾼 셈입니다. Linux의 차이점은 선택할 수 있다는 것입니다. 수많은 배포판이 있고, 누구를 신뢰할지 선택할 수 있습니다. 그리고 큰 조직이라면 자체 배포판을 유지할 수도 있습니다.
하지만 요약하자면 이렇습니다. Ubuntu에서는 1주일 동안 인터넷 연결을 만드는 시스템 프로세스가 9개였습니다. macOS에서는 100개가 넘는 것으로 집계했습니다.
모든 컴퓨터에 가장 먼저 설치되는 앱은 보통 웹 브라우저입니다. 웹 브라우저를 설치한 뒤에야 비로소 배포판이 기본으로 제공하는 것 외의 소프트웨어를 검색할 수 있기 때문입니다.
제가 설치한 Ubuntu에는 Firefox가 기본 설치되어 있었기 때문에, 저는 주로 그것에 대해 이야기할 수 있습니다. 제가 가장 먼저 한 일은 Firefox를 실행하되 브라우징에는 사용하지 않는 것이었습니다. 놀랍게도 그것은 즉시 광고를 보여주었고, Little Snitch는 ads.mozilla.org, incoming.telemetry.mozilla.org, 그 외 여러 곳에 연결하는 것을 확인해 주었습니다. 이것을 알고 나서 저는 환경설정으로 들어가 광고와 추적 관련 기능 대부분을 껐습니다. 하지만 그래도 여전히 이 서버들 중 일부에는 연결합니다.
제 권장 사항은 이렇습니다. 브라우저를 사용한다면, 먼저 실행한 뒤 최소 하루 동안은 사용하지 않은 채 그대로 두세요. 그런 다음 연결 기록을 확인하고, 설정에서 무엇을 끌 수 있는지, 무엇을 유지하고 싶은지, 그리고 Little Snitch에서 무엇을 차단하고 싶은지 결정하세요.
그다음 제가 한 일은 웹 브라우징이었습니다. 뉴스 사이트가 추적과 광고로 먹고산다는 것은 말할 필요도 없습니다. 그렇지 않다면 무료로 콘텐츠를 제공할 수 없을 테니까요. 하지만 이런 사이트들 중 일부가 50개에서 100개 사이의 트래커를 사용한다는 사실을 알고 계셨나요? 여기서 누구를 탓하고 싶지는 않으니, 직접 확인해 보세요.
다른 앱들에 관해서 말하자면, 각 앱은 지원하는 모든 플랫폼에서 대체로 비슷하게 동작합니다. Thunderbird, Visual Studio Code 또는 다른 주요 앱을 설치한다면, 다른 플랫폼에서 보던 것과 같은 종류의 메트릭을 예상하세요. 다만 저는 눈에 띄는 예외 하나를 발견했습니다. 바로 LibreOffice입니다. 테스트를 위해 LibreOffice Writer를 실행해 보았는데, 네트워크 연결을 전혀 만들지 않았습니다! 요즘 기준으로는 꽤 이례적인 일입니다.
기능 관점에서 보면 Linux용 Little Snitch는 Little Snitch Mini와 정식 Little Snitch의 중간쯤에 자리합니다. 기능적이고 유용하지만, macOS 버전이 가진 모든 세련됨과 깊이를 갖추고 있지는 않습니다. 솔직한 첫 번째 버전이라고 생각하시면 됩니다. 우리가 가장 깊은 작업을 쏟아붓는 곳은 여전히 Mac 버전이며, 그것은 바뀌지 않습니다.
eBPF용으로 작성된 커널 구성 요소는 오픈 소스이며, 구현 방식을 직접 살펴보고, 버그를 스스로 수정하거나, 다른 커널 버전에 맞게 조정할 수 있습니다. UI 역시 GPL v2로 공개된 오픈 소스이므로, 자유롭게 개선해도 됩니다. 규칙, 차단 목록, 계층적 연결 보기를 관리하는 백엔드는 무료로 사용할 수 있지만 오픈 소스는 아닙니다. 이 부분에는 20년이 넘는 Little Snitch의 경험이 담겨 있으며, 그 안의 알고리즘과 개념은 당분간 비공개로 유지하고 싶습니다.
한 가지 중요한 점이 있습니다. macOS 버전과 달리 Linux용 Little Snitch는 보안 도구가 아닙니다. eBPF는 자원이 제한적이기 때문에, 예를 들어 테이블을 범람시키는 방식으로 방화벽을 우회하는 것은 언제나 가능합니다. 이 도구의 초점은 개인정보 보호에 있습니다. 무슨 일이 일어나고 있는지 보여주고, 필요한 경우 적극적으로 이를 회피하려 하지 않는 정상적인 소프트웨어의 연결을 차단하는 것입니다.
마지막으로 호환성에 대해 한마디 하겠습니다. 우리는 6.17 커널의 Ubuntu 25.10에서 개발했으며, 6.12 이상 커널에서 동작함을 확인했습니다. 더 오래된 커널에서는 현재 eBPF verifier의 최대 명령어 한도에 걸립니다. 이론적으로는 bpf_loop()가 도입된 5.17 커널까지 호환성을 낮출 수 있어야 하며, 그렇게 되면 Debian 12 (Bookworm)와 Ubuntu 24.04 LTS (Noble)까지 포괄할 수 있습니다. 도움을 줄 전문성이 있다면, 바로 그런 부분에서 기여가 실질적인 차이를 만들 수 있습니다.
Linux용 Little Snitch는 여기에서 찾을 수 있습니다. 무료이며, 앞으로도 계속 그럴 것입니다.
즐겁게 사용하세요.
LaunchBarMicro SnitchIAP Viewer
Internet Access Policy블로그지원문의하기라이선스 분실
Internet Access Policy블로그지원문의하기라이선스 분실
회사 소개보도자료개인정보 처리방침이용 약관Little SnitchLaunchBar
© 2026 Objective Development Software GmbH
EnglishDeutsch
