새로운 독립 감사를 통한 ExpressVPN 데스크톱 앱 보안 검증

이제 macOS, Linux, Windows 앱을 더욱 안심하고 이용할 수 있습니다
A magnifying glass with crosshairs over a laptop.

ExpressVPN 사용자들은 저희가 그들의 디지털 라이프를 매일 보호해 준다고 믿습니다. 저희가 사용자의 신뢰를 얻는 방법 중 하나는 독립적인 사이버 보안 전문 업체에 제품 평가를 의뢰하여 보안 기능의 정확성을 검증받는 것입이다.

오늘 저희는 ExpressVPN의 데스크톱 앱 대한 새로운 감사를 소개합니다. ExpressVPN은 Cure53에 macOS 및 Linux 데스크톱 클라이언트 앱에 대한 침투 테스트와 소스 코드 감사를 수행하도록 의뢰했습니다. 또한 F-Secure에 침투 텟스트 및 소스 코드 감사를 통해 ExpressVPN의 Windows v12 앱을 검토하도록 요청했습니다. F-Secure의 이전 Windows 앱(v10) 감사 이후 몇 달 만입니다.

저희는 감사 결과에 만족하며 감사 결과 및 통찰력에 대해 좀 더 자세히 공유하고자 합니다.

ExpressVPN의 침투 테스트 매니저인 브라이언 쉬르마허(Brian Schirmacher)는 “신뢰 및 투명성을 지키기 위한 지속적인 노력의 일환으로 모든 데스크톱 앱이 감사를 마쳤음을 발표하게 되어 자랑스럽게 생각한다”고 말했습니다. 또한 “이러한 감사 절차는 제품 개선 및 보안을 위한 노력의 증거이며 Cure53과 F-Secure로부터 검증을 받게 되어 기쁘다. 당사는 곧 모바일 앱에 대한 감사를 실시하기 위해 노력하고 있고 고객이 제품과 만나는 모든 접점에서 개인 정보 보호 및 보안을 지속적으로 보장할 것”이라고 말했습니다.

Cure53의 macOS 및 Linux 앱 보안 검증

Cure53은 2022년 6월부터 8월까지 화이트 박스 침투 테스트 및 소스 코드 감사를 통해 ExpressVPN의 macOS 및 Linux 데스크톱 앱을 모두 테스트했습니다. 이 평가는 ExpressVPN 앱이 보안 공격을 견디기에 충분히 안전한지를 밝히는 데 중요한 역할을 하며, 엔지니어링 및 보안 전문가가 수행한 광범위한 작업을 검증합니다.

Cure53은 macOS 앱에서 몇 안 되는 문제점을 찾아냈고 악용 가능성이 낮은 보안 취약점 2건과 정보성 취약점 4건만을 발견했습니다. ExpressVPN은 재빨리 모든 관련 문제점을 해결했고 Cure53은 다른 취약점이 발생하지 않았는지 확인하기 위해 수정 사항을 검토했습니다.

Cure53은 보고서에서 “결론적으로 이번 평가에서 macOS용 최신 ExpressVPN 애플리케이션은 보안 측면에서 매우 깊은 인상을 남겼다. ExpressVPN 팀은 대체로 매우 안전한 macOS 클라이언트 앱을 제공하기 위한 노력에 대해 높은 평가를 받을 만하다. 플랫폼의 보안 상태를 모범적인 수준으로 끌어올리려면 사소한 몇 가지 부분만 개선하면 된다”고 밝혔습니다.

마찬가지로, Linux 앱에 대한 감사 결과 몇 건의 보안 문제가 발견되었습니다. 5건의 문제 중 보안 취약점은 2건, 악용 가능성이 낮은 일반 취약점은 3건으로, 이후 내부 팀에서 이 문제들을 모두 검토했습니다. Cure53은 “중간 등급 이상의 문제가 없다는 점은 ExpressVPN Linux 앱의 보안 전제 조건을 보여주는 또 다른 강력한 긍정적인 지표”라고 언급했습니다.

macOS용 앱 감사 보고서 전문은 여기서, 그리고 Linux용 앱 감사 보고서 전문은 여기서 확인하세요.

어느 때보다 안전한 ExpressVPN Windows v12 앱

F-Secure는 2022년 2월부터 3월까지 ExpressVPN의 최신 Windows 앱(v12)에 대한 보안 감사를 수행했습니다. 이번 감사를 통해 앱의 중요한 기능 두 가지를 평가했습니다.  

  1. 앱이 사용자 IP 주소 등의 정보를 VPN 터널 밖으로 유출하도록 조작될 수 없음
  2. 앱이 원격 코드 실행 공격에 취약하지 않음

F-Secure에서 중요한 약점을 발견하지 못했다는 결과를 공유합니다. F-Secure의 독립 감사관은 Windows v12 앱에서 악용이 불가능한 정보 문제 1건만 발견했습니다. 이 문제는 이미 해결되었으며, F-Secure는 2022년 4월 재감사을 통해 이를 확인했습니다.

감사 후 심각, 높음, 중간 등급의 문제 또는 사소한 문제가 전혀 발견되지 않았습니다. 그리고 F-Secure는 이전 보고서와 마찬가지로 훌륭한 평가를 내놓았습니다. 그들은 “ExpressVPN 고객과 관련한 정보를 얻거나 네트워크 트래픽 외부로 빼내기는 불가능했다. 또한 중간자 공격(Man-in-the-Middle), TLS 다운그레이드, 패킷 주입과 같은 공격을 통해 원격으로 코드를 실행할 수도 없었다”고 언급했습니다.

Windows v12 앱에 대한 F-Secure의 보고서 전문을 확인하세요.

Windows v12는 애플리케이션의 보안 및 운영 체제와의 통합에 상당한 개선 효과를 가져다줍니다. 또한 더 빠르고, 안정적이며, 안전한 VPN 환경을 위해 구축한 ExpressVPN 자체 프로토콜인 Lightway에 최적화되어 재설계된 백엔드를 포함합니다. 이러한 변화를 통해 병렬 연결Threat Manager 등 Windows 사용자에게 흥미로운 새로운 기능을 제공할 수 있는 기반을 마련할 수 있습니다. 저희는 이러한 내부적인 업그레이드를 마치고 가능한 한 빨리 Windows v12의 보안 기능을 검증하고자 했습니다. Windows용 ExpressVPN 앱(v12)을 다운로드하세요.

참고: v12는 Windows 10 이상 사용자만 이용 가능합니다.

제3자 개인 정보 보호 및 보안 검증을 위한 ExpressVPN의 노력

데스크톱 앱에 대한 이 세 가지 새로운 감사가 추가되어 ExpressVPN의 공개 감사 개수는 총 11개가 되었습니다. 사용자에게 가능한 한 안전한 온라인 환경을 제공합니다. 이전 외부 감사 및 보안 평가는 다음과 같습니다.

  • KPMG의 ExpressVPN 로그 미보관 정책 감사 (2022년 10월)
  • Cure53의 TrustedServer(ExpressVPN의 내부 VPN 서버 기술) 보안 감사 (2022년 10월) 
  • Cure53의 Aircove 라우터 보안 감사 (2022년 9월)
  • F-Secure의 ExpressVPN Windows v10 앱 보안 감사 (2022년 3월)
  • Cure53의 ExpressVPN 프로토콜 Lightway 보안 감사 (2021년 8월)
  • PwC Switzerland의 빌드 검증 프로세스 감사 (2020년 6월)
  • PwC Switzerland의 개인 정보 보호 준수 및 내부 기술 TrustedServer 감사 (2019 6월)
  • Cure53의 ExpressVPN 브라우저 확장 프로그램 보안 감사 (2018년 11월)

ExpressVPN은 제3자 감사를 더 자주 수행하겠다는 약속을 계속 지킬 것입니다. 제3자 감사는 사용자가 가장 안전한 VPN 환경을 누릴 수 있도록 보장하는 여러 방법 중 하나입니다.

링크에 참조된 일부 기사는 번역되지 않고 기존 언어로 유지됨을 양해해 주시기 바랍니다.

ExpressVPN is dedicated to your online security and privacy. Posts from this account will focus on company news or significant privacy and security stories.