두 차례 외부 감사를 통한 ExpressVPN 모바일 앱 보안 검증

ExpressVPN 사용자들은 온라인 활동을 비공개로 유지하고 안전하게 보호하기 위해 저희의 소프트웨어와 개인 정보 보호 조치에 의존합니다. 그래서 저희는 ExpressVPN의 보안 기능이 의도한 대로 작동하는지 검증하기 위해 내부적으로 수많은 테스트를 수행하는 동시에 제3자 감사를 정기적으로 의뢰합니다.

올해 사이버 보안 기업인 Cure53에서 화이트박스 침투 테스트와 소스 코드 감사를 통해 ExpressVPN의 Android 및 iOS 모바일 앱에 대한 별도의 평가를 수행했습니다. Android 앱에 대한 감사는 8월에, iOS 감사는 8월 말에서 9월 초에 진행되었습니다.

이번 감사에는 모바일 앱에 통합된 비밀번호 관리자인 ExpressVPN Keys와 저희의 VPN 프로토콜 통합 및 종속 요소 평가가 포함되었습니다.

이러한 독립 평가는 저희의 보안 성능에 대해 편향되지 않은 검증을 제공하는 데 무엇보다 중요합니다. 또한 VPN이 악의적인 사용자 및 타사 애플리케이션의 공격에 얼마나 잘 견딜 수 있는지에 대한 통찰력을 제공합니다. 저희는 Cure53이 수행한 검증에 만족하며, 더 많은 감사를 통해 업계를 선도하는 저희의 보안 수준을 더욱 높일 수 있기를 기대합니다.

ExpressVPN의 침투 테스트 매니저인 브라이언 쉬르마허(Brian Schirmacher)는 “저희는 디지털 개인 정보 보호와 보안 수준에 대한 세계적 요구가 증가하고 있다는 사실을 인식하고 있습니다. 따라서 ExpressVPN 모바일 앱의 개인 정보 보호 및 보안 기능이 Cure53의 독립 보안 전문가로부터 감사를 받았음을 알리게 되어 기쁩니다. 이번 발표는 3가지 데스크톱 애플리케이션에 대한 감사와 KPMG의 로그 미보관 정책에 대한 감사가 완료된 지 불과 몇 주 만에 나왔다는 점에서 더욱 의미가 있습니다. Cure53과 같은 존경받는 사이버 보안 회사의 감사는 ExpressVPN의 신뢰 및 투명성을 보여주는 도구 중 하나입니다. 저희는 계속해서 업계의 기준을 높여나가고 싶습니다.”라고 말했습니다.

ExpressVPN의 Android 및 iOS 모바일 앱 안전성 검증

Cure53은 Android 모바일 앱에 대한 심층 조사 과정에서 “중간” 또는 “낮음” 심각도로 평가되는 3가지 보안 취약점을 발견했습니다. 또한 그들은 10가지 일반적인 보안 강화 방안을 제시했는데, 모두 ‘기타: 정보 제공’에 해당됩니다.

Cure53은 보고서에서 “이 결과는 ExpressVPN 팀이 최신 VPN 애플리케이션이 직면하는 많은 문제를 예리하게 인식하고 있을 뿐만 아니라 그 문제에 효과적으로 대응할 수 있다는 증거를 충분히 제공합니다. 비교적 많은 수의 문제가 발견되었음에도 불구하고, 이번 감사 이후 테스트 팀이 받은 전반적인 인상은 충분히 긍정적입니다. 발견된 결과의 대부분이 Android 애플리케이션에 자주 나타나는 흔한 구성 오류에 해당한다는 사실 때문입니다.”라고 언급했습닏다.

“이러한 긍정적 관점은 앞서 언급한 취약성 중 어느 것도 공격에 직접적으로 악용될 수 없다는 사실로도 설명할 수 있습니다.”

Android 모바일 앱에 대한 Cure53의 감사 보고서를 확인하세요.

iOS 앱의 경우에 Cure53의 상세 보안 평가 결과 4가지 취약점이 발견되었으며, 모두 “중간” 또는 낮음” 심각도로 평가되었습니다. 이 중 3가지 문제는 국소 정보 노출과 관련이 있으며, 이는 위협 행위자가 사용자의 기기에 물리적으로 접근해야 하거나 사용자에게 영향을 미치기 위해 기기 내부로 침입해야 한다는 의미입니다. 또한 iOS 앱에 대해서도 악용 가능성이 낮은 5가지 보안 강화 방안을 제시했습니다.

Cure53은 “모든 문제의 심각도 등급이 중간 이하로 할당되었다는 것은 의미 있는 공격 표면이 현저히 부족하고 심각한 위협 가능성이 낮다는 의미입니다. 전반적으로 개발 팀은 iOS 애플리케이션의 잠재적 위협을 최소화하기 위한 부단한 노력을 기울인 점에 대해 찬사를 받을 만하며, 플랫폼을 보안 관점에서 모범적인 수준으로 끌어올리는 데 필요한 약간의 조정만으로도 충분합니다.”

iOS 앱에 대한 Cure53의 감사 보고서 전문을 확인하세요.

이후 저희는 Android 및 iOS 모바일 앱 감사에서 제기된 모든 피드백을 검토했습니다. ExpressVPN의 내부 보안 팀은 대부분의 문제를 해결했습니다. 수정하지 않기로 결정한 문제들은 수정 사항이 앱 사용성과 기능에 잠재적인 영향을 미치기 때문이었으며, Cure53은 이에 동의했습니다.

사용자 개인 정보 보호를 위한 ExpressVPN의 노력

이 2가지 모바일 앱 감사를 새롭게 시행한 결과 ExpressVPN이 발표된 보안 평가 목록이 총 13개가 되었습니다. 다음은 시간순으로 정렬된 과거 외부 감사 목록입니다.

• KPMG의 ExpressVPN 로그 미보관 정책 감사 (2022년 9월)
• Cure53의 ExpressVPN Linux 앱 감사 (2022년 8월)
• Cure53의 ExpressVPN macOS 앱 감사 (2022년 7월)
• Cure53의 ExpressVPN Aircove 공유기 보안 감사 (2022년 7월)
• Cure53의 TrustedServer(ExpressVPN의 내부 VPN 서버 기술) 보안 감사 (2022년 5월) 
• F-Secure의 ExpressVPN Windows v12 앱 걈사 (2022년 4월)
• F-Secure의 ExpressVPN Windows v10 앱 보안 감사 (2022년 3월)
• Cure53의 ExpressVPN 프로토콜 Lightway 보안 감사 (2021년 8월)
• PwC Switzerland의 ExpressVPN 빌드 검증 프로세스 감사 (2020년 6월)
• PwC Switzerland의 ExpressVPN 개인 정보 보호 준수 및 내부 기술 TrustedServer 감사 (2019 6월)
• Cure53의 ExpressVPN 브라우저 확장 프로그램 보안 감사 (2018년 11월)

저희는 개인 정보 보호 및 보안 기능의 범위를 확장함에 따라 제품에 대한 제3자 검증을 더욱 정기적으로 발표하고자 합니다.

이 글의 일부 링크는 번역되지 않은 기존 언어로 된 콘텐츠로 연결됨을 양해해 주시기 바랍니다.