KPMG, Cure53의 독립 감사로 검증된 ExpressVPN 보호 기능

올해 초, ExpressVPN은 제3자 감사를 더 자주 실시하는 데 투자하기로 했습니다. 신뢰할 수 있는 제3자를 통한 감사는 저희가 주장하는 개인 정보 보호 및 보안 기능에 대해 독립적인 평가를 제공한다는 면에서 신뢰도와 투명성을 입증하는 중요한 지표입니다.

오늘은 이러한 감사에 대한 최신 정보를 공유하려고 합니다. 저희는 KPMG와 Cure53 모두에 ExpressVPN의 시스템과 핵심 서버 기술에 대해 독립 감사를 의뢰했습니다. 저희에게 제공된 보고서에 근거하여 사용자는 ExpressVPN 서비스에 연결 시 ExpressVPN이 본인의 온라인 활동을 절대 알 수 없으며 제3자에 공유할 민감한 정보를 가지고 있지 없다고 안심할 수 있습니다.

데이터 수집에 대한 ExpressVPN의 원칙은 세계적 규모의 VPN 서비스를 운영하는 데 필요한 최소한의 데이터만 수집하는 것입니다. 이는 사용자의 개인 정보나 보안을 침해할 수 있는 데이터(활동 로그, 연결 로그, 또는 기타 중요한 정보)를 절대 수집하거나 보관하지 않는 것을 뜻합니다.

이 원칙을 지키기 위한 중요한 방법 중 하나는 기존 서버 관리가 가진 개인 정보 보호 및 보안 위험을 최소화하는 혁신적인 사내 VPN 서버 기술인 TrustedServer를 사용하는 것입니다. TrustedServer는 세계에서 가장 진보된 서버 기술로, 사용자 데이터를 기록하지 않도록 보장하는 여러 겹의 제어 기능을 갖추고 있습니다.

저희는 로그 미보관 원칙을 준수하기 위한 다양한 제어 기능을 정의하고 구현했습니다. KPMG는 저희가 개인 정보 보호 정책의 핵심 부분을 달성하는 데 기여한 제어 기능의 설계 및 구현을 테스트했습니다. 또한 Cure53은 TrustedServer에 대한 침투 테스트와 소스 코드 감사를 수행했습니다.

KPMG 감사를 통해 VPN의 로그 미보관 정책 테스트

KPMG의 독립 감사원은 ExpressVPN의 제어 프레임워크에 대한 테스트를 수행했으며, ExpressVPN의 VPN 서버가 개인 정보 보호 정책을 준수하도록 보장하는 프로세스, 시스템 및 제어 기능를 확인하기 위해 저희 팀원들을 인터뷰했습니다. 여기에는 작업 로그 또는 연결 로그 미수집 정책에 대한 테스트가 포함되며, TrustedServer 기술이 설명된 대로 작동하는지 여부에 대한 테스트가 포함됩니다.

결론적으로, ExpressVPN은 KPMG로 부터 클린한 증명서를 발급 받았습니다.

KPMG의 보고서 전문은 KPMG의 약관에 동의하기만 하면 누구나 조회할 수 있습니다. ExpressVPN 고객이라면 로그인 후 개인 정보 보호 및 보안 감사 페이지에 방문하여 보고서를 확인할 수도 있습니다.

감사는 세계적으로 인정받는 인증 업무 국제 표준(ISAE)(UK) 3000 Type 1에 의거하여 수행되었습니다.

Cure53 감사를 통해 TrustedServer의 보안 수준을 한 단계 강화하다

이와는 별도로 사이버 보안 업체인 Cure53은 TrustedServer에 대한 소스 코드 감사와 화이트 박스 보안 평가를 수행했습니다. 결과는 긍정적이었으며 TrustedServer의 강력한 보안 수준을 입증합니다. (참고로 TrustedServer의 10만 달러 버그 바운티는 아직 유효합니다!)

Cure53은 “대부분 쉽게 해결할 수 있을 것으로 보이는 일반적인 약점과 사소한 결함만 발견되었다. 실제로 확인된 네 가지 취약점 중 어느 것도 심각도 점수가 높지 않아 ExpressVPN TrustedServer 구성 요소가 이미 상당히 강력한 환경을 보여준다는 점을 긍정적으로 인정할 수 있다.”고 설명했습니다.

Cure53의 감사 보고서 전문은 여기서 확인하세요.

신뢰도 및 투명성을 향한 ExpressVPN의 노력

두 가지 새로운 감사가 과거 감사 및 보안 평가 목록에 추가되었습니다.

• Linux 앱의 Cure53 감사 (2022년 8월)
• macOS 앱의 Cure53 감사 (2022년 7월)
• Cure53의 Aircove 라우터 보안 감사 (2022년 7월)
• F-Secure의 ExpressVPN Windows v12용 앱 감사 (2022년 4월)
• F-Secure의 ExpressVPN Windows v10 보안 감사 (2022년 3월) 
• Cure53의 ExpressVPN 프로토콜 Lightway 보안 감사 (2021년 8월)
• PwC Switzerland의 빌드 검증 프로세스 감사 (2020년 6월)
• PwC Switzerland의 ExpressVPN 개인 정보 보호 정책 준수 및 내부 기술 TrustedServer 감사 (2019년 6월)
• Cure53의 ExpressVPN 브라우저 확장 프로그램 보안 감사 (2018년 11월)

ExpressVPN 사이버 보안 책임자인 애런 엔겔(Aaron Engel)은 “KPMG와 Cure53이 당사의 시스템과 핵심 서버 기술을 검증한 것을 기쁘게 생각한다. 제3자 감사를 정기적으로 실시하여 ExpressVPN의 제어 기능과 내부적 노력의 결과, 그리고 버그 바운티 프로그램과 같은 다른 보안 노력을 입증할 수 있을 뿐만 아니라, 사용자를 철저히 보호하고 있다는 데에 더 큰 자부심을 가질 수 있다. ExpressVPN이 신뢰도와 투명성 면에서 업계를 선도하고 있는 사실을 자랑스럽게 생각하며, 올해 훨씬 더 많은 감사 결과를 발표할 수 있기를 기대한다”고 밝혔습니다.

링크에 참조된 일부 기사는 번역되지 않고 기존 언어로 유지됨을 양해해 주시기 바랍니다.