왜 iOS 26 시즌에 Clash류 점검이 따로 필요할까

Apple이 iOS 대형 버전의 공개 베타와 이어지는 정식 릴리스를 내놓을 때마다, 단말 전체가 아니라 VPN·프록시·캡티브 포털 주변에서만 문제가 터지는 사례가 반복됩니다. 화면에는 “연결됨”처럼 보이는데 실제 트래픽은 나가지 않거나, 수 분마다 끊기고 다시 붙는 패턴은 노드 품질만으로는 설명이 안 되는 경우가 많습니다. 특히 Clash나 mihomo 계열을 iOS에서 쓰는 사용자는, 데스크톱에서 익숙한 YAML·규칙 분기 이전에 OS가 허용하는 터널·권한·DNS 층에서 먼저 막히는지 확인할 필요가 있습니다.

이미 iPhone에서 구독 URL·셀룰러만 끊기는 경우를 다룬 글이 있으므로, 여기서는 “베타나 정식으로 OS를 갈아탄 직후에만” 체감이 나빠지는 축을 덧씁니다. Wi-Fi와 LTE를 바꿔도 동일하고, 앱을 재설치하기 전에 아래 다섯 단계를 위에서 아래로 좁혀 보세요. 서버 쪽 도메인 규칙을 손보기 전에 YAML·DNS의 기본 정렬이 어떻게 되어 있는지도 함께 떠올리면 원인 분리가 빨라집니다.

1단계: VPN 프로필·클라이언트 상태를 “한 번에” 리셋하기

OS 마이너 업데이트와 달리 대형 버전은 네트워킹 스택·보안 정책이 함께 움직입니다. 먼저 설정 > 일반 > VPN 및 기기 관리(또는 이전 OS의 동일 메뉴)에서, 사용 중인 VPN 구성 프로필이 그대로 남아 있는지 확인하세요. 프로필이 비활성화됐거나 이름이 바뀌어 Clash 계열 앱과 다른 구성이 잡혀 있으면, 앱 UI에서는 켜졌다고 나와도 실제 터널은 엇갈릴 수 있습니다.

다음으로 해당 클라이언트에서 연결을 끄고, 앱을 완전히 종료한 뒤(앱 전환기에서 밀어 올리기) 다시 실행합니다. iOS 26 베타 단계에서는 백그라운드에서 이전 세션이 남아 재연결 루프에 빠지는 경우가 있어, “한 번 끄고 켜기”를 소홀히 하면 안 됩니다. 가능하면 같은 날 배포된 앱 업데이트가 있는지 App Store 릴리스 노트도 확인하세요. 베타 OS와 클라이언트 빌드의 조합이 맞지 않으면 크래시나 조용한 실패가 납니다.

2단계: 인증서·프로파일 신뢰 (MITM·구성 프로필)

일부 사용자는 구독이나 테스트를 위해 HTTPS 가로채기(MITM)용 루트 인증서를 단말에 설치합니다. 대형 iOS 업데이트 뒤에는 “완전 신뢰” 설정이 초기화되거나, 프로필이 만료·취소 목록으로 옮겨지는 경우가 있습니다. 설정 > 일반 > 정보 > 인증서 신뢰 설정에서 해당 루트가 신뢰로 켜져 있는지 확인하세요. 꺼져 있으면 TLS 핸드셰이크 단계에서 끊겨 “앱만 느리다”는 인상을 줄 수 있습니다.

별도로 내려받은 구성 프로필(모바일 기기 관리·테스트용 등)이 있다면, 이번 업그레이드와 무관해 보여도 만료일·제거 요청이 있는지 점검합니다. 남아 있는 오래된 프로필이 새 OS의 보안 프롬프트와 충돌하면, VPN 연결과 무관한 시스템 서비스까지 간헐적으로 실패하는 증상이 나올 수 있습니다. 인증서를 건드리지 않는 일반 사용자라면 이 단계는 빠르게 넘어가도 됩니다.

3단계: 로컬 네트워크 권한 확인하기

iOS는 앱이 같은 Wi-Fi 세그먼트의 장치·로컬 IP에 접근할 때 로컬 네트워크 허용을 별도로 요구합니다. Clash류 클라이언트가 게이트웨이 검사·LAN 프록시·공유기 관리 페이지로의 예외 라우팅 등을 포함한다면, OS 업그레이드 후 이 권한이 꺼진 상태로 리셋되는 경우가 있습니다.

설정 > 개인 정보 보호 및 보안 > 로컬 네트워크로 들어가 해당 앱 이름을 찾아 켜져 있는지 확인하세요. 이름이 목록에 아예 없다면 한 번 해당 앱을 실행한 뒤 시스템 팝업이 뜨는지 보고, 차단했다면 설정에서 다시 허용합니다. “인터넷은 되는데 홈 미디어나 NAS만 안 된다”는 패턴과 겹치면 이 권한 쪽 의심이 커집니다. 반대로 로컬망과 무관한 순수 원격 노드 연결만 쓴다면 이 단계는 영향이 작을 수 있습니다.

4단계: DNS 분기 — Private Relay·수동 DNS·클라이언트 설정

iOS 26 Clash 환경에서 가장 흔한 “증상만 이상하고 원인 불명” 축은 DNS입니다. iCloud Private Relay나 타사 암호화된 DNS 프로필을 쓰면, 시스템이 이름 해석을 클라우드로 보내고 VPN 앱의 DNS 설정과 이중 해석이 생깁니다. 업그레이드 직후에는 Relay가 한동안 꺼졌다 켜지거나, 새로운 네트워크 서비스 순서가 잡히면서 이전에는 없던 분할(split) 상태가 만들어지기도 합니다.

먼저 설정 > Wi-Fi에서 해당 SSID 오른쪽의 정보 버튼을 눌러 DNS 구성이 자동인지 수동인지 확인합니다. 셀룰러에서는 셀룰러 데이터 옵션과 통신사 정책에 따라 DNS가 고정되기도 합니다. 그다음 Clash 계열 앱 내부의 DNS 모드(시스템 따르기·DoH·내부 리슬버 등)를 메모해 두고, 한 번씩만 바꿔 가며 재현 여부를 비교하세요. 구독 프로필의 dns 블록과 앱 UI가 서로 다른 값을 쓰면, 데스크톱에서 맞춰 둔 YAML의 DNS 섹션과 실제 단말 동작이 어긋납니다.

IPv4만 쓰는 노드인데 단말이 IPv6 우선으로 해석해 다른 경로로 나가는 경우, “노드는 살아 있는데 앱만 타임아웃” 같은 일이 생깁니다. 이때는 Wi-Fi와 셀룰러를 바꿔 보거나, 일시적으로 셀룰러의 저데이터 모드를 끄고 비교해 보는 것도 범위를 좁히는 데 도움이 됩니다.

5단계: 저데이터·다른 VPN·셀룰러 정책까지 한 번에 훑기

마지막으로 “앱 밖” 요인을 정리합니다. 저데이터 모드가 켜져 있으면 백그라운드 갱신과 일부 연결이 제한됩니다. 집중 모드·스크린 타임으로 특정 앱의 네트워크가 제한되지 않았는지, 통신사의 필터링·APN이 베타 기간에만 이슈가 되지는 않는지도 같이 봅니다. 베타 빌드에서는 배터리 통계·네트워크 로그가 안정판과 다를 수 있으니, 동일 증상이 정식 릴리스에서도 유지되는지 확인하면 “OS 한시적 버그”인지 “설정 문제”인지 가름에 유리합니다.

회사나 학교 MDM을 쓰는 단말이라면, 업그레이드 후 새로운 네트워크 제한 프로필이 내려와 VPN과 충돌할 수 있습니다. 이 경우 개인 설정만으로는 한계가 있으므로 관리자 정책을 확인해야 합니다.

한눈에 보는 점검 순서

1. VPN 구성 프로필과 앱 연결을 끄고, 앱 재실행·업데이트 여부를 확인한다.
2. MITM·루트 인증서의 신뢰와 불필요한 구성 프로필을 점검한다.
3. 로컬 네트워크 권한이 해당 앱에 대해 허용돼 있는지 본다.
4. Private Relay·수동 DNS·앱 내부 DNS 모드가 서로 충돌하지 않는지 맞춘다.
5. 저데이터·다른 VPN·MDM·셀룰러 정책 등 나머지 변수를 제거한다.

정리

iOS 26 공베·정식 업그레이드 직후 프록시 끊김은 곧바로 “노드가 나빠졌다”로 결론 내리기보다, 인증서·로컬 네트워크 권한·DNS가 갈라진 경우가 많습니다. 같은 해에 공개되는 Apple의 큰 플랫폼 변화와 맞물려 검색·커뮤니티 논의가 몰리는 시기이므로, 위 순서로 환경을 한 축으로 정렬해 두면 이후에 규칙·구독을 손볼 때도 비교가 쉬워집니다.

다른 플랫폼에서 쓰던 프로필을 그대로 옮겼다면, DNS와 인증서만큼은 단말마다 다시 확인하는 습관이 안전합니다. 공식 클라이언트는 배포 페이지에서 받는 것이 좋습니다. → Clash를 무료로 내려받아 환경에 맞게 설치한 뒤, 이번에 정리한 다섯 단계로 iOS 쪽 변수를 먼저 걷어 낸 다음 구독과 규칙을 조정해 보시기 바랍니다.