2024 익스프레스VPN 보안 감사 최고일까? – 외부 검증 세부 내역

제가 작성한 No Log VPN 검증 글에 추가하기 위해서 좀 더 자세하게 작성한 글 입니다. 2024년 6월 18일에 처음 작성되었으며 익스프레스VPN의 외부 검증에 관한 내용이 추가 될 경우 이 글이 링크 되어있는 Audit 포스팅에 업데이트하도록 하겠습니다.

익스프레스VPN은 정기적으로 외부 감사를 통해 누구나 신뢰할 수 있는 검증 결과를 내놓는 회사 입니다. Kape에 먹힌 이후에도 여전히 제가 익스프레스VPN을 신뢰하고 있는 이유 입니다. 수 많은 VPN 회사 중에서 익스프레스VPN 그리고 노드VPN 만큼 외부 검증을 많이 받는 곳은 여전히 없습니다.

익스프레스VPN 개인 정보 보호 및 보안 감사 내역

2018년

11월

브라우저 확장 프로그램에 대한 Cure53 보안 감사 – 독일의 사이버 보안 회사인 Cure53은 브라우저 확장 프로그램에 대한 보안 검토를 수행했으며 그 결과가 “우수한 보안 지표”라고 보고했습니다.

내용

ExpressVPN은 독립적인 보안 감사와 브라우저 확장 프로그램의 오픈 소스를 발표했습니다. 유명한 사이버 보안 회사 Cure53가 2018년 10월에 ExpressVPN의 브라우저 확장을 철저히 검토했고, 11월에 문제 해결을 확인했습니다. Cure53은 총 8개의 문제를 발견했지만, 심각한 수준의 문제는 없었으며, 이는 ExpressVPN의 보안이 강력하다는 긍정적인 평가로 이어졌습니다.

브라우저 확장의 소스 코드를 GNU GPL v2 라이선스로 공개했습니다. 이를 통해 누구나 소스 코드를 검토하고 보안 평가를 할 수 있습니다. 확장 프로그램이 작동하는 데 필요한 권한을 책임감 있게 사용하고 있다는 점을 투명하게 공개하기 위함입니다.


2019년

6월

개인 정보 보호 정책과 관련된 ExpressVPN 서비스에 대한 PwC의 ISAE 3000 보고서 – 감사 회사인 PricewaterhouseCoopers(PwC)는 개인 정보 보호 정책과 관련하여 ExpressVPN 서비스의 규정 준수 여부를 테스트하고 해당 개인 정보 보호 정책을 일관되게 준수하기 위해 마련된 시스템 및 프로세스에 대한 당사의 주장을 확인하기 위해 감사를 수행했습니다.

내용

ExpressVPN은 PwC(PricewaterhouseCoopers)와 같은 “빅 포(Big Four)” 감사 회사의 전문가들을 초청하여 자사의 서버 코드베이스를 철저히 검사하고 팀원들을 인터뷰하여 VPN 서버가 개인정보 보호 정책을 준수하는지 확인했습니다. 이 검사는 활동 로그나 연결 로그를 수집하지 않는다는 정책과 TrustedServer 기술이 설명한 대로 작동하는지 검토하는 것을 포함합니다. 감사 보고서는 International Standard on Assurance Engagements (ISAE) 3000 (Revised)에 따라 수행되었으며, 고객과 언론은 ExpressVPN 웹사이트에서 로그인 후 확인할 수 있습니다.

PwC 감사 과정은 한 달 동안 진행되었으며, 직원 인터뷰, 소스 코드 및 구성 파일 검토, 서버 구성 및 배포 프로세스 관찰을 포함했습니다. PwC는 감사 결과가 문맥에서 벗어나 오해되는 것을 방지하기 위해 보고서의 발췌를 허용하지 않습니다.


2020년

6월

ExpressVPN의 빌드 검증 시스템에 대한 PwC Switzerland의 ISAE 3000 (개정) 보고서 – 감사 회사인 PwC Switzerland는 ExpressVPN의 빌드 검증 시스템에 대한 보증 계약을 실시하여 명시된 정책 및 절차를 준수하고 있는지 확인했습니다.

내용

최근 몇 년 동안 주요 기술 회사들이 개발 또는 배포 과정에서 악성 코드에 감염된 소프트웨어와 하드웨어를 고객에게 출시한 사례가 여러 번 있었습니다. 이를 염두에 두고, ExpressVPN은 악성 코드가 고객에게 배포되지 않도록 하는 검증 시스템을 개발했습니다.

ExpressVPN의 보안 정책 및 절차

  • 모든 소스 코드 변경에 ExpressVPN에서 발행한 PGP 암호화 키 사용
  • 코드 변경은 변경한 사람과 다른 승인된 사람이 승인해야 함
  • 예상치 못한 변경에 대한 경고와 후속 조치를 포함한 자동화된 감사
  • CircleCI와 Azure DevOps와 같은 자동화된 빌드 환경만 사용하여 고객에게 배포되는 바이너리 생산
  • 이러한 검증 프로세스는 PwC 스위스의 보증 참여 대상이 됨

정책 검증

ExpressVPN의 보안 조치를 검증하기 위해 PwC 스위스가 독립적인 보증 참여를 수행했습니다. PwC 스위스는 2020년 5월에 ExpressVPN의 소스 코드, 서버, 문서 및 사람들을 검사했습니다. 독립 보증 보고서는 고객이 볼 수 있으며, PwC 스위스의 조건을 확인한 후 접근할 수 있습니다.


2021년

8월

ExpressVPN의 Lightway 프로토콜에 대한 Cure53 보안 감사 – 독일의 사이버 보안 회사인 Cure53은 침투 테스트 및 소스 코드 감사를 통해 VPN 프로토콜 Lightway에 대한 보안 평가를 수행했습니다.

내용

투명성에 대한 약속: Lightway의 오픈 소스화

Lightway의 소스 코드를 오픈 소스 라이선스(GNU General Public License, Version 2)로 공개했습니다. 이제 누구나 GitHub에서 코드를 확인하고, 기여할 수 있으며, 다른 VPN 제공업체도 자유롭게 사용할 수 있습니다.

오픈 소스 소프트웨어는 코드 검토가 더 많이 이루어지기 때문에 더 안전하다고 여겨집니다. 누구나 코드를 자유롭게 검토하고 보안성을 평가할 수 있으며, 개선할 부분을 식별할 수 있습니다. 보안 버그를 발견하면 버그 바운티 프로그램을 통해 알려주시면 보상을 받을 수 있습니다. 오픈 소스화는 또한 Lightway와 그 아키텍처에 대한 당사의 주장에 대해 누구나 검증할 수 있게 합니다.

서드파티 보안 감사

Lightway는 최근 사이버 보안 회사 Cure53에 의해 보안 감사를 받았습니다. 이들은 침투 테스트와 소스 코드 감사를 통해 프로토콜의 보안 강도를 확인했습니다. 보고서에 따르면, “Lightway Core의 코드베이스는 일관된 코딩 패턴을 따르며 높은 품질을 보여준다”고 평가했습니다.

ExpressVPN은 정기적으로 제품에 대한 독립적인 감사를 의뢰하여 보안 주장을 테스트하고 사용자에게 확인시켜줍니다. ExpressVPN의 프라이버시 보호와 빌드 검증 시스템에 대한 PwC의 보고서와 브라우저 확장 프로그램에 대한 Cure53의 보안 검토도 참고할 수 있습니다.


2022년

3월

Windows v10용 ExpressVPN 앱의 F-Secure 보안 감사 – 사이버 보안 회사인 F-Secure는 앱의 개인 정보 보호 및 강력한 보안 태세를 확인하기 위해 침투 테스트를 통해 Windows v10용 앱을 검토했습니다.

내용

F-Secure의 감사 결과 발표

최근 Windows용 ExpressVPN 앱이 사이버 보안 회사 F-Secure에 의해 감사되었습니다. 이번 감사는 2021년 11월부터 12월까지 진행되었으며, 앱의 보안 약점을 식별하고 정보 노출 또는 IP 주소 누출과 같은 취약성, 원격 코드 실행 가능성을 평가하는 것이 목적이었습니다.

결과는 매우 긍정적이었으며, 주요 취약점이 발견되지 않았습니다. 보고서에 따르면 “ExpressVPN 클라이언트나 네트워크 트래픽에 대한 정보를 얻는 것이 불가능했고, MitM, TLS 다운그레이딩, 패킷 주입과 같은 공격을 통해 원격으로 코드를 실행할 수 없었다”고 합니다. 보고된 보안 문제는 하나의 낮은 심각도와 기타 정보성 문제뿐이었습니다. 이러한 문제들은 2022년 2월 재검토 시점에 모두 해결되었습니다.


4월

Windows용 ExpressVPN 앱 v12에 대한 F-Secure 보안 감사 – 사이버 보안 회사인 F-Secure는 최신 버전의 개인 정보 보호 및 보안 보호를 확인하기 위해 침투 테스트를 통해 Windows v12용 앱을 검토했습니다.


5월

ExpressVPN의 TrustedServer에 대한 Cure53 보안 감사 – 독일의 사이버 보안 회사인 Cure53은 침투 테스트를 통해 VPN 서버 기술에 대한 보안 평가를 수행했습니다.

내용

Cure53은 TrustedServer의 소스 코드 감사와 화이트박스 보안 평가를 수행했습니다. 결과는 긍정적이었으며, TrustedServer의 강력한 보안 상태를 강조했습니다. Cure53은 “일반적인 약점과 사소한 결함이 발견되었으며, 대부분은 수정하기 쉬운 것으로 평가됩니다. 발견된 네 가지 취약점 중 어느 것도 높은 또는 심각한 수준의 심각도로 평가되지 않았습니다”라고 보고했습니다.


7월

ExpressVPN Aircove의 Cure53 감사 및 보안 테스트 – 독일에 본사를 둔 사이버 보안 회사인 Cure53은 Aircove VPN 라우터를 출시하기 전에 침투 테스트 및 소스 코드 감사를 수행했습니다.

내용
  • ExpressVPN의 Aircove: 내장 VPN 보호 기능을 갖춘 Wi-Fi 6 라우터 출시. ExpressVPN은 VPN 업계 최초의 하드웨어 제품인 Aircove를 출시했습니다. 활성화된 ExpressVPN 구독과 결합하여, Aircove는 집안의 모든 온라인 장치를 보호할 수 있습니다.
  • Aircove 개발 목표 : ExpressVPN은 사용이 간편하고 강력한 기능을 제공하며, 높은 보안 기준을 충족하는 Aircove를 개발하는 것을 목표로 했습니다. 이를 위해 2022년 6월과 7월에 사이버 보안 회사 Cure53을 초청하여 Aircove의 침투 테스트와 소스 코드 감사를 실시했습니다.
  • Cure53 감사 결과 : Cure53은 “ExpressVPN 팀이 이번 감사를 완료한 후, 집중된 구성 요소에 대해 최고 수준의 보안 수준을 확립했다”고 평가했습니다. 또한, “전체적으로 코드의 조직과 품질이 긍정적인 인상을 주었으며, 개발 동안 보안이 높은 우선순위였음을 나타낸다”고 보고서에 적었습니다. ExpressVPN은 이러한 결과에 만족하며, 감사에서 식별된 여러 약점과 기타 문제에 대해 리스크를 완화하는 조치를 취했습니다. Cure53은 2022년 9월 이 감사를 통해 이를 확인했습니다.

macOS용 ExpressVPN 앱에 대한 Cure53 보안 감사 – 사이버 보안 회사인 Cure53은 개인 정보 보호 및 보안 보호를 확인하기 위해 침투 테스트를 통해 macOS용 앱을 검토했습니다.

내용

두 개의 보안 취약점과 네 개의 정보성 약점을 발견했습니다. 모든 문제를 신속히 해결했으며, Cure53은 수정 사항을 검토했습니다. Cure53은 보고서에서 “이번 macOS 버전 ExpressVPN 애플리케이션의 평가는 보안 측면에서 매우 견고한 인상을 남겼다”고 언급했습니다.


8월

ExpressVPN의 리눅스 앱에 대한 Cure53 감사 – 사이버 보안 회사인 Cure53은 침투 테스트를 통해 Linux 앱에 대한 보안 감사를 수행했습니다.

내용

Cure53은 2022년 6월부터 8월까지 macOS 및 Linux 데스크탑 앱에 대한 화이트박스 침투 테스트와 소스 코드 감사를 진행했습니다. 이 평가를 통해 앱이 악성 공격을 견딜 수 있는지 여부를 확인할 수 있었습니다.


Android용 ExpressVPN 앱의 Cure53 보안 감사 – 사이버 보안 회사인 Cure53을 초대하여 침투 테스트를 통해 Android용 앱의 보안 감사를 실시했습니다.

내용

Cure53은 ExpressVPN의 Android 모바일 앱을 심층 조사한 결과, “중간” 또는 “낮음” 수준의 심각도를 가진 세 가지 보안 취약점을 발견했습니다. 또한, 10개의 일반적인 강화 권고 사항을 제시했으며, 이는 모두 “기타: 정보성”으로 분류되었습니다.

Cure53의 보고서에 따르면, “이 결과는 ExpressVPN 팀이 현대 VPN 애플리케이션이 직면하는 다양한 문제를 잘 인식하고 있으며, 이를 효과적으로 대처할 수 있음을 충분히 입증한다”고 합니다. 대부분의 발견 사항이 일반적인 잘못된 구성의 변형이기 때문에 전반적인 평가는 긍정적입니다.


9월

iOS용 ExpressVPN 앱에 대한 Cure53 감사 – 사이버 보안 회사인 Cure53은 iOS 앱의 강력한 보안 태세를 확인하기 위해 침투 테스트를 수행했습니다.

내용

Cure53의 iOS 앱 보안 평가에서는 네 가지 취약점이 발견되었으며, 모두 “중간” 또는 “낮음” 수준으로 평가되었습니다. 이 중 세 가지 문제는 로컬 정보 누출과 관련이 있어, 물리적 접근이나 장치의 손상이 있어야만 영향이 있습니다. 또한, 낮은 악용 가능성을 가진 다섯 가지 강화 권고 사항도 제시되었습니다.

Cure53은 “모든 발견이 중간 이하의 심각도 등급을 받은 것은 중요한 공격 표면과 손상 가능성이 없음을 나타낸다”고 평가했습니다. 전반적으로, 개발 팀은 iOS 애플리케이션의 잠재적 위협을 최소화하는 데 있어 성실한 노력을 기울인 점을 높이 평가받았습니다.


ExpressVPN의 개인 정보 보호 정책에 대한 KPMG 감사 (2022) – KPMG는 VPN 서버가 개인 정보 보호 정책을 준수하는지 확인하기 위해 감사를 실시했습니다. 감사는 또한 TrustedServer 기술이 설명된 대로 작동하는지 테스트했습니다.

내용

ExpressVPN의 제3자 보안 감사 결과 발표

올해 초, ExpressVPN은 제3자 감사의 빈도와 양을 늘리겠다고 약속했습니다. 이러한 감사는 우리의 개인정보 보호 및 보안 주장을 독립적으로 평가하여 신뢰와 투명성을 나타내는 중요한 지표입니다.

KPMG 및 Cure53의 독립 감사

오늘, 우리는 KPMG와 Cure53이 각각 우리 시스템과 핵심 서버 기술에 대해 독립적인 감사를 수행한 결과를 공유합니다. 이 보고서를 바탕으로, 우리가 서비스에 연결된 사용자의 온라인 활동을 절대 알 수 없으며, 민감한 정보를 보유하지 않음을 확신할 수 있습니다.

데이터 수집 원칙

ExpressVPN은 세계적 수준의 VPN 서비스를 운영하는 데 필요한 최소한의 데이터만 수집하는 원칙을 따릅니다. 이는 사용자 프라이버시나 보안을 침해할 수 있는 활동 로그, 연결 로그 또는 기타 민감한 정보를 절대 수집하거나 저장하지 않는다는 의미입니다.

TrustedServer 기술

우리는 혁신적인 자체 VPN 서버 기술인 TrustedServer를 통해 전통적인 서버 관리가 제기하는 개인정보 및 보안 위험을 크게 줄였습니다. TrustedServer는 사용자 데이터를 기록하지 않도록 여러 층의 통제 장치를 갖추고 있습니다.

KPMG 감사

KPMG의 독립 감사원들은 우리의 통제 프레임워크를 테스트하고 팀원들을 인터뷰하여 VPN 서버가 개인정보 보호 정책을 준수하는지 확인했습니다. 여기에는 활동 로그나 연결 로그를 수집하지 않는 정책과 TrustedServer 기술이 설명한 대로 작동하는지 테스트하는 것이 포함됩니다. KPMG는 ExpressVPN에게 긍정적인 평가를 내렸습니다. KPMG의 전체 보고서는 누구나 열람할 수 있으며, ExpressVPN 고객은 로그인하여 개인정보 보호 및 보안 감사 페이지에서 보고서를 읽을 수 있습니다. 이번 감사는 국제적으로 인정받는 ISAE(UK) 3000 Type 1 기준에 따라 수행되었습니다.

Cure53 감사

Cure53은 TrustedServer의 소스 코드 감사와 화이트박스 보안 평가를 수행했습니다. 결과는 긍정적이었으며, TrustedServer의 강력한 보안 상태를 강조했습니다. Cure53은 “대부분 일반적인 약점과 사소한 결함이 발견되었으며, 대부분은 쉽게 수정할 수 있다”고 보고했습니다. 발견된 네 가지 취약점 중 어느 것도 높은 또는 심각한 수준의 심각도로 평가되지 않았습니다.

이로써 ExpressVPN은 사용자의 프라이버시와 보안을 보호하기 위해 계속해서 노력하고 있음을 입증했습니다.


10월

ExpressVPN의 Keys 브라우저 확장 프로그램에 대한 Cure53 감사 – 우리는 사이버 보안 회사인 Cure53에 의뢰하여 비밀번호 관리자의 브라우저 확장 프로그램에 대한 침투 테스트를 수행하여 안전 및 개인 정보 보호 기능을 확인했습니다.


ExpressVPN의 브라우저 확장 프로그램에 대한 Cure53 보안 감사 – 사이버 보안 회사인 Cure53은 브라우저용 VPN 애드온의 보안을 조사했습니다.


11월

ExpressVPN의 Lightway 프로토콜에 대한 Cure53 보안 감사 – 사이버 보안 회사인 Cure53은 독점 VPN 프로토콜의 소프트웨어 구성 요소를 평가했습니다

내용

1년 전, ExpressVPN은 제3자 감사의 빈도와 양을 늘리겠다고 공개적으로 약속했습니다. 우리는 독립적인 사이버 보안 전문가들을 더 많이 초청하여 우리의 제품을 평가하고 보안 주장에 대한 정확성을 검증받기로 했습니다. 지난 한 해 동안, 모든 모바일 및 데스크탑 앱, 개인정보 보호 정책, TrustedServer, Aircove 라우터, Keys 비밀번호 관리자와 같은 주요 기술에 대한 새로운 독립 감사 보고서를 발표했습니다.

Lightway 프로토콜 감사

오늘 우리는 ExpressVPN이 처음부터 개발한 오픈 소스 VPN 프로토콜인 Lightway의 최신 감사 결과를 공유하게 되어 기쁩니다. 이 평가는 2022년 10월과 11월에 Cure53에 의해 수행되었으며, 침투 테스트와 Lightway 소스 코드에 대한 전용 감사가 포함되었습니다.

Lightway는 VPN 서비스의 기반을 형성하는 중요한 기술입니다. 이 때문에 우리는 Cure53에게 두 번째로 Lightway를 감사하도록 요청했으며(첫 번째 평가는 2021년에 완료), 테스트 범위도 확장했습니다.

Cure53은 다섯 가지 낮은 심각도의 문제와 네 가지 정보성 문제를 식별했으며, 심각한 문제는 발견되지 않았습니다. 보고서에서 제기된 모든 문제는 수정되었으며, Cure53은 2023년 2월 재검토 시 이를 확인했습니다.

Cure53은 “포괄적인 범위, 적은 수의 발견, 고임팩트 문제의 부재를 고려할 때, 이번 ExpressVPN Lightway 구성 요소에 대한 Cure53 평가가 긍정적인 결과로 끝났다”고 보고서에서 언급했습니다.

결론

Cure53은 Lightway가 “매우 좋은 보안 상태”에 있음을 확인했습니다. ExpressVPN은 계속해서 사용자에게 최고의 보안과 프라이버시를 제공하기 위해 노력할 것입니다.


2023년

12월

ExpressVPN의 개인 정보 보호 정책에 대한 KPMG 감사 (2023) – KPMG는 ExpressVPN의 노로그 정책 및 TrustedServer 서비스 구현을 조사하기 위해 독립적인 감사를 실시했다.

내용

KPMG 감사 결과

KPMG는 ExpressVPN의 TrustedServer 서비스에 대한 설명, 설계 및 구현 통제를 테스트했습니다. KPMG는 TrustedServer 아키텍처 내에서 플랫폼 무결성이 사용자 활동 로그 수집을 방지한다는 독립적인 합리적 보증을 제공했습니다. 감사는 국제적으로 인정받는 ISAE(UK) 3000 Type 1 기준에 따라 수행되었습니다.

KPMG는 테스트된 모든 통제에서 문제가 없음을 발견했으며, 특히 사용자 활동 로그의 기록 방지에 대한 통제를 확인했습니다. 보고서는 KPMG의 약관을 확인한 후 누구나 열람할 수 있습니다.

Aaron Engel, ExpressVPN의 최고 정보 보안 책임자(CISO)의 발언

“2023년 12월 12일 현재 KPMG가 우리 시스템, TrustedServer 기술을 검토하고 우리의 무로그 정책 준수를 확인하게 되어 기쁩니다. 정기적인 평가와 독립적인 제3자 감사는 보안 조치의 강도를 검증하고, 사용자 보호에 대한 우리의 자신감을 강화합니다. KPMG의 최신 보고서는 ExpressVPN이 투명성과 신뢰성에서 업계 리더로서의 위치를 더욱 확고히 하는 데 기여합니다.”

ExpressVPN의 독립 감사 보고서

ExpressVPN은 현재까지 18개의 독립적인 제3자 감사 보고서를 완료하고 공개했습니다. 이러한 감사는 PwC, Cure53, F-secure 등 다양한 제3자 전문가들이 수행하며, 사용자가 당사의 회사와 기술이 검토 기간 동안 어떻게 작동했는지에 대한 투명성을 제공합니다.

또한, 사용자 데이터 요청 통계 보고, Keys 비밀번호 관리자의 전체 보안 설계를 상세히 설명한 백서 등 새로운 투명성 이니셔티브를 시작했습니다.


2024년

4월

ExpressVPN의 윈도우 앱에 대한 Nettitude 보안 감사 – 사이버 보안 회사인 Nettitude는 분할 터널링과 관련된 DNS 문제를 해결하기 위해 Windows 앱에 대한 침투 테스트를 수행했습니다.

내용

Windows 앱 보안 감사

올해 초, CNET의 VPN 전문가인 Attila Tomaschek는 Windows 기기에서 스플릿 터널링 사용 시 예상치 못한 DNS 요청 동작을 발견했습니다. 이에 대해 ExpressVPN은 문제를 수정하고, 내부 팀과 CNET의 원래 버그 보고자가 독립적인 테스트를 통해 문제 해결을 확인했습니다.

추가적인 검증을 위해 제3자 사이버 보안 회사인 Nettitude를 초청하여 Windows 앱에 대한 침투 테스트를 수행했습니다. 감사는 2024년 3월과 4월에 이루어졌으며, DNS 관련 문제가 해결되었는지와 앱의 버그 유무를 확인하는 데 중점을 두었습니다. Nettitude는 중간 정도의 심각도로 하나의 문제를 발견했으며, 이는 이미 수정되었음을 확인했습니다. 전체 감사 보고서는 여기서 확인할 수 있습니다.

VPN에서의 DNS 누출 재고

CNET 전문가가 식별한 초기 사례는 Windows DNS에 대한 심층 조사를 촉발했으며, 이는 전체 VPN 업계에 영향을 미칠 수 있는 더 큰 문제를 발견하는 계기가 되었습니다.

ExpressVPN 팀은 DNS 누출을 테스트하고 현재 모범 사례로 간주되는 방법에 심각한 결함이 있음을 발견했습니다. 최소한 다른 한 VPN 제공업체에서 이 문제를 발견하고, 해당 업체는 ExpressVPN이 제안한 솔루션을 구현했습니다. 이는 많은 VPN 제공업체가 영향을 받을 가능성이 높습니다.

이러한 연구 결과를 업계와 공유하여 다른 VPN 제공업체들이 자신의 앱을 개선할 수 있도록 돕기 위해 기술 논문을 공개했습니다. 우리는 연구를 투명하게 공유함으로써 전체 VPN 업계의 기준을 높이고 모든 VPN 사용자의 프라이버시와 보안을 더욱 잘 보호할 수 있기를 바랍니다.

DNS 누출의 유형

  • Type 1 DNS 누출: 구성 오류나 보호 조치 부족으로 인해 DNS 요청이 VPN 터널을 우회하여 사용자 IP 주소가 DNS 서버에 직접 노출되는 경우입니다.
  • Type 2 DNS 누출: DNS 요청이 사용자가 고의로 선택하지 않은 DNS 서버로 전달되는 경우입니다. 예를 들어, 사용자가 특정 DNS 제공업체(예: Cloudflare)를 설정했을 때 발생할 수 있습니다.

Type 1 DNS 누출은 눈에 띄는 문제로 오랫동안 주목받아 왔지만, Type 2 DNS 누출은 더 미묘하고 주목받지 못한 채로 남아있습니다. 우리는 또한 Stealth DNS 서버가 전통적인 DNS 누출 감지 도구에서 숨겨져 있어 Type 2 누출에 대해 잘못된 보안 감각을 유발할 수 있음을 발견했습니다.

우리는 engrXiv(Engineering Archive)에 논문을 발표했으며, 누출, 위협 시나리오 및 완화 전략에 대한 종합적인 이해를 위해 논문을 읽어볼 것을 강력히 권장합니다. 우리는 앞으로도 감지 방법론을 정교화하고, VPN 서비스의 보안 조치를 강화하며, 사이버 보안 커뮤니티 내에서 투명성과 협력 환경을 조성할 것입니다.

6월

2024년 6월, 사이버 보안 회사 Cure53가 ExpressVPN의 Chrome 및 Firefox 브라우저 확장 프로그램에 대한 두 번째 감사를 완료했습니다. 이 감사에서 Cure53는 보안 조치가 잘 구현되었으며, 심각한 위협에 대한 보호가 효과적이라고 평가했습니다.

Cure53의 보고서에서는 중간 수준의 심각성을 가진 한 가지 문제와 기타 사소한 문제 하나를 식별했으며, 모두 잠재적인 악용 가능성이 낮아 이후 해결되었습니다. 2024년 7월에 Cure53이 재검토를 통해 수정 사항을 확인했습니다. 보고서는 확장 프로그램의 설계가 최소한의 공격 표면을 우선시하여 악용 가능성을 줄였다고 평가했습니다.

이번 감사는 ExpressVPN이 투명성과 책임성을 지속적으로 유지하고 있음을 다시 한 번 입증했으며, ExpressVPN은 현재까지 19개의 독립적인 제3자 감사 보고서를 발표했습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다