Clash iOS에서 구독이 갱신되지 않을 때: Wi‑Fi·구성 프로필·인증서 신뢰를 단계적으로 점검하기
iPhone이나 iPad에서 Clash Meta·Mihomo 계열 클라이언트를 쓰다 보면 구독 URL을 받아 오지 못하거나, 받아도 프로필이 반영되지 않는 경우가 있습니다. 더 골치 아픈 패턴은 집 Wi‑Fi에서는 되는데 LTE·5G에서는 안 된다거나, 반대로 모바일 데이터에서만 구독이 뜨고 사무실 망에서는 실패하는 식으로 경로가 갈리는 증상입니다. 이 글은 앱 내부 설정만 두드리기 전에 iOS가 허용한 네트워크·VPN·구성 프로필·인증서 신뢰·백그라운드 동작을 순서대로 정리해, 검색으로 들어온 사용자가 스스로 원인을 좁히도록 돕습니다. 데스크톱 절차는 Windows 설치 가이드·macOS(Verge Rev)·Android 가져오기와 이어집니다.
흔한 증상: “구독만” 문제가 아닐 때가 많다
사용자 입장에서는 모두 구독 업데이트 실패로 보입니다. 그러나 iOS에서는 다음이 한 덩어리로 묶여 돌아갑니다: HTTPS로 원격 설정을 내려받기, 로컬에 구성을 저장·파싱, VPN(Network Extension) 트래픽 경로를 켜거나 끄기, 시스템 DNS·프록시 정책과의 상호작용. 그래서 오류 메시지가 timeout이든 SSL이든 403이든, 첫 단계는 어느 네트워크 인터페이스에서 재현되는지를 밝히는 것입니다.
- Wi‑Fi에서만 성공: 공유기·캡티브 포털·사내 필터·DNS 가속, 또는 셀룰러 쪽 저데이터 모드·데이터 절약과의 조합을 의심합니다.
- 셀룰러에서만 성공: 사무실·학교 Wi‑Fi의 HTTPS 가로채기·SNI 차단, 또는 구독 호스트가 특정 지역/회선에서만 열리는 경우를 봅니다.
- 앱을 닫으면 멈춤: 백그라운드 앱 새로고침·배터리 설정·저전력 모드가 구독 주기 갱신을 잘라 냈을 수 있습니다.
1단계: Wi‑Fi와 셀룰러를 분리해 재현 조건 고정
같은 기기에서 비행기 모드를 켠 뒤 Wi‑Fi만 켜기, 그다음 Wi‑Fi를 끄고 셀룰러만 켜기처럼 변수를 하나씩 제거하세요. 카페·지하철 캡티브 포털 망에 붙어 있으면 로그인 전에는 구독 URL조차 열리지 않는 경우가 흔합니다. 포털을 통과한 뒤에도 안 되면, 해당 AP가 클라이언트 격리나 DNS 강제를 쓰는지 확인이 필요합니다.
네트워크 분리 체크
- 설정 → Wi‑Fi에서 현재 SSID의 정보(i)로 들어가 저데이터 모드·개인정보 보호(랜덤 MAC)가 의도와 맞는지 확인합니다.
- 설정 → 셀룰러에서 해당 앱에 셀룰러 데이터가 켜져 있는지 확인합니다.
- 가능하면 다른 DNS(예: 설정된 Wi‑Fi DNS)을 잠시 바꿔 보고 증상이 따라오는지 봅니다.
DNS가 꼬이면 데스크톱에서도 비슷한 혼란이 납니다. 원리 정리는 《연결됐는데 인터넷이 안 될 때: DNS·fake-ip》를 참고하세요.
2단계: 구독 URL·전송 계층·서버 응답을 가른다
구독 링크는 대부분 HTTPS입니다. 여기서 실패하는 대표 원인은 (1) 중간 장비의 가짜 인증서, (2) User-Agent·쿼리 토큰 만료, (3) 서버 측 속도 제한·지역 차단, (4) 잘못된 시간·날짜입니다. iOS는 설정 → 일반 → 날짜 및 시간 → 자동 설정이 꺼져 있으면 인증서 검증이 연쇄적으로 깨질 수 있으니 먼저 맞춥니다.
같은 URL을 Safari로 열었을 때 다운로드가 되는지, 401/403 페이지가 뜨는지도 중요한 단서입니다. 앱 내부 브라우저와 Safari가 다른 쿠키·확장을 쓰지는 않지만, VPN이 켜진 상태에서만 열리는 호스트라면 앱 외부 테스트도 같은 VPN 상태에서 해야 공정합니다.
한 번에 한 변수만
구독 주소·노드·규칙을 동시에 바꾸면 원인 추적이 어려워집니다. 먼저 빈 프로필 또는 최소 규칙에서 구독만 받아 보고, 성공하면 이후 단계로 규칙을 되살리세요.
3단계: VPN·구성 프로필이 구독 경로를 덮는지
iOS의 VPN 및 기기 관리·구성 프로필에 등록된 항목은 DNS·프록시·인증 정책을 바꿉니다. 다른 보안·필터·기업 MDM 프로필이 활성화돼 있으면 Clash 계열 클라이언트의 터널과 충돌하거나, 특정 도메인만 직접 연결되도록 강제할 수 있습니다. 설정 앱에서 VPN 항목을 열어 여러 프로필이 동시에 연결 상태로 남아 있지 않은지, 온디맨드 규칙이 예상과 다른 Wi‑Fi에서 자동으로 켜지지 않는지 확인하세요.
클라이언트가 Network Extension 기반이라면, 시스템 상단의 VPN 아이콘과 앱 내부의 연결/해제 상태가 어긋날 때가 있습니다. 이때는 터널을 완전히 끈 뒤 앱을 스와이프로 종료했다가 다시 열고, 구독만 수동 새로고침을 시도해 보세요.
4단계: 인증서 신뢰(특히 구성 프로필로 설치한 루트)
일부 환경에서는 디버깅·사내 접속을 위해 구성 프로필로 루트 인증서를 넣습니다. iOS는 설치만으로 끝나지 않고, 설정 → 일반 → 정보 → 인증서 신뢰 설정에서 해당 루트에 대해 완전한 신뢰를 켜야 TLS가 기대대로 동작하는 경우가 있습니다. 반대로, 불필요한 신뢰를 켠 채로 두면 공용 Wi‑Fi에서 가로채기에 더 취약해지므로, 실제로 필요한지 다시 평가하는 것이 좋습니다.
보안과 편의의 균형
출처를 알 수 없는 프로필·인증서는 설치하지 마세요. 기업 발급이라도 MDM 정책이 개인 기기에 미치는 범위를 확인하고, 문제 재현 시에만 일시적으로 신뢰를 조정하는 편이 안전합니다.
5단계: 백그라운드 새로고침·셀룰러·로컬 네트워크
구독이 주기적으로만 갱신된다면, iOS의 백그라운드 앱 새로고침이 꺼져 있을 때 멈춘 것처럼 보일 수 있습니다. 설정 → 일반 → 백그라운드 앱 새로고침에서 해당 앱이 허용돼 있는지, 저전력 모드가 켜져 있지 않은지 확인하세요. 또한 iOS는 앱마다 셀룰러 데이터 스위치가 분리돼 있어, Wi‑Fi에서만 테스트하다가 모바일로 전환했을 때 막히는 경우가 있습니다.
일부 클라이언트는 같은 Wi‑Fi의 LAN API·컨트롤러에 붙는 기능을 제공합니다. 이때 로컬 네트워크 권한 프롬프트를 거절했으면 구독이 아니라 내부 제어 채널만 실패하는데, 증상 묘사가 “업데이트가 안 된다”로 섞여 들어오기도 합니다. 설정에서 앱별 로컬 네트워크를 다시 켜 보세요.
증상별로 빠르게 좁히기
| 관찰 | 우선 확인 |
|---|---|
| Safari에서도 구독 URL이 안 열림 | 네트워크 자체, 캡티브 포털, 시간 동기, 서버 차단 |
| Safari는 되는데 앱만 실패 | VPN 터널·프로필 충돌, 앱 권한, 앱 내부 프록시/DNS 설정 |
| Wi‑Fi에서만 됨 | 셀룰러 데이터 허용, 이통사 필터, 저데이터 모드 |
| 앱을 켜 둘 때만 갱신 | 백그라운드 새로고침, 배터리 최적화, 저전력 모드 |
FAQ
모든 설정을 맞췄는데도 구독이 403·401입니다
클라이언트가 아니라 구독 공급자 측 토큰·화이트리스트·동시 접속 제한일 수 있습니다. 대시보드에서 링크를 재발급하고, 다른 네트워크에서도 같은 코드가 나오는지 비교하세요.
회사 iPhone에만 증상이 있습니다
MDM·글로벌 HTTP 프록시·필수 VPN 정책이 원인인 경우가 많습니다. IT 정책 범위 안에서 허용되는지 확인해야 하며, 본 글의 개인 기기 기준 절차와 다를 수 있습니다.
PC에서는 구독이 잘 받아지는데 iOS만 안 됩니다
PC와 iPhone이 같은 Wi‑Fi인지, iOS에만 있는 프로필·신뢰된 인증서·셀룰러 제한이 있는지 대조하세요. 동일 네트워크라면 iOS 쪽 권한·프로필부터 의심합니다.
실무 체크리스트
- Wi‑Fi 단독·셀룰러 단독으로 재현 여부를 기록한다.
- Safari로 구독 URL 도달성을 확인한다.
- 날짜·시간 자동 설정, VPN·프로필 중복 연결을 정리한다.
- 필요한 경우에만 인증서 신뢰 설정을 조정한다.
- 백그라운드 새로고침·셀룰러 데이터·로컬 네트워크를 확인한다.
- 규칙·노드는 나중에: 최소 구성에서 구독 성공을 먼저 확보한다.
플랫폼을 가로질러 일관되게 쓰려면
iOS는 시스템 권한과 프로필 스택이 앞에 서 있습니다. 한 번 순서를 익혀 두면 Android·Windows·macOS에서 겪는 문제와도 맥락을 공유해 진단이 빨라집니다.