2024년 8월 ExpressVPN 투명성 보고서와 보안 강점, 전략
ExpressVPN 투명성 보고서가 발간되었습니다. 외부 감사(Audit)과 함께 이런 투명성 보고서는 회사의 신뢰도에 영향을 줍니다. 익스프레스VPN이야 누구나 인정하는 자타공인 챔피언입니다. 제 블로그에서도 가장 오래 1위 VPN으로 추천했죠. 최근 2년간 노드VPN이 압도적인 가성비로 왕관을 쓰고있지만 과거 익스프레스VPN의 장기집권은 정말 대단했습니다.
ExpressVPN의 4가지 보안 강화 전략
ExpressVPN는 보안 강화를 위해 다양한 전략을 사용하고 있으며, 다음과 같이 네 가지 주요 범주로 나눌 수 있습니다.
1. 시스템의 보안 강화
- 빌드 검증 시스템: 내부 빌드 검증 시스템을 통해 소프트웨어의 생성부터 전달까지 악성 코드로부터 보호하며, 이는 독립적으로 검토되었습니다.
- 하드웨어 보안 장치: 공개-비공개 키 쌍을 사용하여 이중 인증, Git 커밋 서명, SSH 연결 등의 보안을 강화합니다. 개인 키는 하드웨어 보안 장치에 저장되어 있어, 장치 자체가 손상되지 않는 한 외부로 유출되지 않습니다. 장치는 강력한 암호문으로 보호되며, 여러 번의 잘못된 잠금 시도 후에 자동으로 잠긴 상태가 됩니다.
- 코드 리뷰: 모든 운영 코드에는 최소한 한 명 이상의 검토자가 필요하여 내부자 위협이나 직원의 워크스테이션이 손상되었을 경우에도 악성 코드를 추가하기 어렵게 만듭니다.
- 강화된 SSH: SSH는 중요한 서버에 원격 액세스를 안전하게 제공하는 데 사용되며, 높은 보안성을 가진 암호 및 키 교환 알고리즘만을 사용하도록 설정됩니다. 루트로의 직접 연결은 허용되지 않으며, 강력한 SSH 키로만 인증이 가능합니다. 또한, 중간 SSH 배스천 호스트를 사용하여 인터넷으로부터 운영 인프라를 분리합니다.
- 빠른 패치: 운영 머신의 소프트웨어 종속성은 무인 업그레이드를 통해 자동으로 업데이트됩니다.
2. 잠재적 피해 최소화
- 제로 트러스트 도입: VPN 서버를 가장하는 위협을 줄이기 위해 ExpressVPN 애플리케이션은 API 서버에 체크인하여 업데이트된 구성 설정을 받아야 합니다. 애플리케이션은 사설 인증 기관(CA) 서명 및 공통 이름을 검증하여 서버를 인증합니다.
- 제로 노하우 암호화: ExpressVPN의 비밀번호 관리자는 제로 노하우 암호화를 활용하여 사용자 정보가 절대 ExpressVPN에 의해 해독될 수 없도록 합니다. 정보는 사용자 디바이스에서만 해독되며, 사용자가 알고 있는 기본 비밀번호로 생성된 암호화 키를 사용하여 해독됩니다.
- 안전한 설계: 모든 시스템 설계 단계에 보안 및 프라이버시 위협 모델링을 포함하여 잠재적인 위협을 식별하고 이를 제거하거나 최소화할 방법을 고려합니다.
- 최소 권한의 원칙: 모든 사용자, 서비스 및 운영은 최소 권한 모델을 따르며, 직원은 직무에 필요한 서비스와 시스템에만 접근할 수 있습니다.
3. 침해 시간 최소화
- 보안 모니터링: 내부 서비스와 인프라의 비정상적이거나 승인되지 않은 활동을 지속적으로 모니터링하며, 24/7 보안 팀이 실시간 모니터링 및 경고를 처리합니다.
- 자동 재구축: 많은 시스템이 주기적으로 자동으로 파괴되고 재구축되어, 잠재적인 공격자가 시스템에 머무를 수 있는 시간을 제한합니다.
4. 보안 통제 검증
- 내부 검증: 침투 테스트: 시스템과 소프트웨어의 취약점 및 약점을 평가하기 위해 정기적으로 침투 테스트를 수행하며, 소스 코드에 대한 전체 액세스를 통해 자동 및 수동 테스트를 결합하여 철저히 평가합니다.
- 외부 검증: 제3자 보안 감사: 독립적인 감사자들을 통해 서비스와 소프트웨어의 보안을 검토받아, 내부 통제가 보안 취약점을 완화하는 데 효과적임을 검증하고, 제품에 대한 보안 주장에 대한 정확한 문서를 제공합니다.
ExpressVPN 투명성 보고서 내용
DMCA Requests가 2023년 하반기에 15만건이었는데 2024년 상반기에 무려 26만건에 육박했군요.
DMCA 요청(DMCA Requests)는 일반적으로 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act)에 근거하여 제출된 요청을 의미합니다. 이 요청은 주로 저작권 소유자가 자신의 저작물이 무단으로 사용되거나 공유될 때, 이를 삭제하거나 차단하기 위해 서비스 제공자에게 제출하는 공식적인 요청입니다.
이 요청의 가장 큰 요인은 토렌트, 불법 스트리밍인데 VPN 특성상 클라이언트 유저들이 대부분일테니 P2P 때문에 요청하는게 아니었을까.. 추측합니다.
이 투명성 보고서에 나온 내용은 서비스 제공자가 수신한 DMCA 요청의 수, 처리 방식, 요청이 거부되거나 무효화된 경우 등을 공개하여 서비스의 투명성을 높입니다.
그리고 Goverment, Law enforcement, and civil requests, Warrants from any goverment institution 등은 ExpressVPN IP 주소를 사용해서 누군가가 저지른 일로 인해 저지른 일에 대해 Log를 요구한 것으로 보입니다.
반년마다 발간되는 투명성 보고서는 법무 부서에서 접수한 사용자 데이터 요청에 대한 정보를 제공합니다. 이러한 요청을 정기적으로 받고 있지만, 노로그 정책으로 인해 공유할 내용이 전혀 없습니다.
당사는 검색 기록, 트래픽 대상 또는 메타데이터, DNS 쿼리 또는 귀하가 당사 VPN에 연결할 때 할당된 IP 주소를 포함한 귀하의 온라인 활동 또는 개인 정보에 대한 로그를 보관하지 않으며 앞으로도 보관하지 않을 것입니다.
이 고객 데이터는 존재하지 않기 때문에 절대 제공할 수 없습니다.접수된 요청에 대해 이러한 추가 정보를 게시함으로써 사용자를 보호하는 방법에 대한 투명성을 더욱 높이는 것을 목표로 합니다. – ExpressVPN transparency-report