macOS에 Clash Verge Rev 설치 후 시스템 프록시와 TUN 모드: 첫 설정 완전 가이드 (2026)

1. 시스템 프록시와 TUN, 왜 선택지가 둘인가

macOS에서 대부분의 GUI 앱은 시스템이 알려 주는 HTTP·HTTPS·SOCKS 프록시 설정을 따르는 경우가 많습니다. Clash Verge Rev의 시스템 프록시 옵션은 이 경로를 켜고 끄는 스위치에 가깝고, 브라우저·일부 데스크톱 클라이언트처럼 시스템 설정을 존중하는 프로그램에는 빠르게 효과가 납니다. 반면 curl·git·일부 개발 도구·샌드박스된 앱은 환경 변수나 자체 네트워크 스택을 타기 때문에 시스템 프록시만으로는 「반만 된 것처럼」 보이기 쉽습니다.

TUN 모드는 가상 인터페이스를 통해 IP 레이어에서 트래픽을 Clash 쪽으로 넘기는 방식이라, 앱이 시스템 프록시를 무시하더라도 라우팅 규칙과 Clash의 policy·rules를 타게 만들 수 있습니다. 대신 커널·시스템 확장·관리자 권한과 맞닿아 있어 첫 설정이 시스템 프록시보다 단계가 깁니다. 원리를 더 깊게 보고 싶다면 TUN 모드 상세 가이드를 함께 두고 읽으면 흐름이 잡힙니다.

2. 설치·첫 실행: DMG, Gatekeeper, 개발자 신뢰

Apple Silicon과 Intel은 패키지가 다르므로 본인 맥의 아키텍처에 맞는 빌드를 고릅니다. .dmg를 열어 앱을 Applications로 옮긴 뒤 첫 실행에서 차단되면, 시스템 설정 > 개인정보 보호 및 보안에서 해당 앱 실행을 허용하거나 Control 키를 누른 채 우클릭으로 열기를 시도합니다. 회사 단말이면 MDM 정책으로 네트워크 확장 설치가 막혀 있을 수 있으니, 그 경우 TUN까지 요구하기 전에 IT 정책을 먼저 확인하는 편이 시간을 아낍니다.

클라이언트 설치 파일은 공식 다운로드 페이지에서 받는 것을 권장합니다. 버전이 바뀌면 메뉴 이름이 조금씩 달라질 수 있으나, 권한·확장 승인이라는 큰 줄기는 동일합니다.

3. 프로필·구독 반영과 모드(규칙/글로벌) 전제

시스템 프록시든 TUN이든 살아 있는 노드와 유효한 프로필이 전제입니다. 구독 URL을 넣고 갱신한 뒤, 정책 그룹에서 실제로 연결되는 아웃바운드를 고릅니다. 구독 가져오기 튜토리얼에서 다룬 것처럼 프로필을 활성화하고 노드 지연이나 실패 로그를 한 번 확인하세요. 규칙 모드에서 특정 사이트만 우회하려면 고급 라우팅 가이드의 도메인·정책 그룹 개념을 맞춰야 「켰는데도 안 된다」가 줄어듭니다.

처음에는 글로벌 프록시로 경로가 통하는지 확인한 뒤, 규칙 모드로 되돌리는 순서가 디버깅에 유리합니다. DNS·fake-ip 이슈는 증상이 비슷해 보이므로, 로그에 찍히는 도메인과 매칭된 규칙을 함께 봅니다.

4. 시스템 프록시: 무엇이 잘 되고 무엇이 빠지나

시스템 프록시를 켜면 macOS의 네트워크 설정에 HTTP·HTTPS·SOCKS 프록시 호스트와 포트가 채워지는 그림에 가깝습니다. Safari·많은 Electron 기반 앱·시스템 API를 통하는 클라이언트는 이 설정을 따라가기 쉽습니다. Verge Rev 쪽에서 mixed-port나 로컬 프록시 포트가 실제로 열려 있는지, 방화벽 앱이 해당 포트를 막지 않는지도 함께 봅니다.

한계는 명확합니다. 프록시 환경 변수를 읽지 않는 CLI, 직접 소켓을 여는 도구, App Sandbox 안에서 시스템 프록시를 우회하는 앱은 그대로 직접 연결을 시도할 수 있습니다. 이때 「브라우저만 된다」가 나오면 TUN이나 터미널별 export HTTPS_PROXY=... 같은 보조 수단을 검토하게 됩니다.

5. TUN 모드: 헬퍼·확장·관리자 승인까지

TUN을 켜려면 보통 서비스(헬퍼) 설치나 시스템 확장 승인, 관리자 비밀번호 입력이 따라옵니다. macOS는 네트워크 트래픽을 가로채는 구성요소를 엄격히 다루므로, 설정 앱에서 「확장이 차단됨」류의 배너가 뜨면 보안 항목에서 Clash Verge Rev 관련 확장을 허용해야 합니다. 버전에 따라 메뉴 경로 문구는 다르지만, 시스템 설정 > 일반 > 로그인 항목 및 확장 또는 네트워크 관련 화면에서 승인을 요구하는 경우가 많습니다.

TUN이 올라오면 라우팅 테이블에 utun 계열 인터페이스와 Clash가 의도한 경로가 보입니다. 스택 옵션(System / gVisor 등)은 환경마다 호환성이 달라, 한쪽에서만 끊기면 다른 스택으로 바꿔 보는 것이 실무에서 흔한 시도입니다. DNS hijack·스니핑 옵션은 프로필과 충돌할 수 있으니, 제공자 문서와 로그를 함께 보고 단계적으로 켭니다.

# Example: quick connectivity check in Terminal (adjust if needed)
curl -sI --connect-timeout 8 https://www.google.com | head -n 3

TUN을 켠 상태에서 위와 같은 검사가 기대대로면, IP 레이어 경로는 대체로 Clash를 타고 있습니다. 반대로 시스템 프록시만 켠 상태에서만 성공한다면, 문제는 여전히 앱별 프록시 준수 여부 쪽에 가깝습니다.

6. 첫 설정 권장 순서: 무엇부터 켤까

처음 Mac에 올릴 때는 다음 순서를 권합니다. 먼저 앱을 신뢰 가능한 상태로 실행하고 구독·프로필을 활성화합니다. 다음으로 시스템 프록시만 켜서 브라우저와 일상 앱이 도메인 규칙을 타는지 확인합니다. 여기까지 문제없으면 당분간 시스템 프록시만으로도 충분한 경우가 많습니다.

터미널 도구·Docker Desktop·일부 게임 런처처럼 시스템 프록시를 무시하는 트래픽이 보이면 그때 TUN을 켜고 확장 승인까지 마칩니다. TUN은 권한 범위가 넓으므로, 회사 보안 정책·다른 VPN과의 공존 여부를 먼저 확인하는 편이 안전합니다. 두 VPN이 동시에 전역 라우팅을 잡으면 충돌이 잦습니다.

7. 일부 앱만 안 탈 때: 터미널·Electron·샌드박스

터미널은 셸 환경에 따라 HTTP_PROXY가 비어 있을 수 있습니다. 시스템 프록시만 켠 상태에서 CLI가 직접 연결을 시도하면 타임아웃이 납니다. 해결은 (1) TUN으로 전역 경로를 맞추거나, (2) 해당 셸 설정 파일에 프록시 변수를 넣거나, (3) 도구별 설정(git config http.proxy 등)을 쓰는 방식 중에서 선택합니다.

Electron 앱은 앱마다 Chromium 네트워크 스택을 어떻게 붙였는지에 따라 시스템 프록시를 따르기도 하고 자체 PAC만 보기도 합니다. 앱 설정에 프록시 항목이 있으면 그쪽을 수동으로 로컬 포트에 맞춰 보세요. Mac App Store 샌드박스 앱은 네트워크 정책이 보수적이라, 시스템 프록시와 TUN을 모두 켠 뒤에도 예외가 남을 수 있습니다. 그때는 해당 앱이 허용하는 프록시 방식인지 릴리스 노트를 확인하는 수밖에 없는 경우가 있습니다.

일부 사용자는 단축키·자동 시작과 관련해 손쉬운 사용(접근성) 권한을 요구하는 배너를 보기도 합니다. 이는 TUN과 별개인 경우가 많지만, 권한 대화상자를 모두 닫아 두면 기대한 동작이 막힐 수 있으니 설정 앱에서 항목별로 허용 여부를 한 번씩 훑습니다.

8. 연결이 안 될 때 점검 체크리스트

아래를 위에서부터 차례로 확인합니다. 첫째, Verge Rev에서 시스템 프록시·TUN 스위치가 의도한 조합인지, 한쪽만 켜야 할 상황에 둘 다 꺼져 있지 않은지 봅니다. 둘째, 활성 프로필과 선택된 노드가 실패 상태가 아닌지, 구독 만료·차단 여부를 봅니다. 셋째, macOS 시스템 설정 > 네트워크에서 해당 인터페이스(이더넷·Wi-Fi)의 상세 정보에 프록시가 기대대로 들어갔는지 확인합니다.

넷째, TUN 사용 시 시스템 확장·VPN 관련 경고를 모두 처리했는지 봅니다. 다섯째, 다른 VPN·보안 제품·광고 차단 필터가 패킷을 가로채고 있지 않은지 확인합니다. 여섯째, Clash 로그에서 해당 도메인이 어떤 규칙에 매칭됐는지, DNS 응답이 기대와 다른지 봅니다. 이 순서를 지키면 「한 가지만 고치다가 다른 쪽이 원인이었던」 경우를 줄일 수 있습니다.