2025년 익스프레스VPN – KMPG 보안 독립 감사 보고서 요약

ExpressVPN의 내부 통제 시스템 감사 보고서 요약

KPMG LLP가 2025년 2월 28일 기준으로 ExpressVPN의 TrustedServer VPN 서비스에 대한 내부 통제 시스템을 감사한 보고서의 주요 내용을 요약한 내용입니다. 이 보고서는 ExpressVPN의 개인정보 보호 정책 준수 및 서비스 보안 설계에 대한 합리적인 확신(Reasonable Assurance)을 제공합니다.

* 합리적인 확신과 ISAE3000 기준에 대해서 궁금하신 분은 ISAE3000이란? 이 글을 참고하세요.

1. 감사 의견 및 범위

• 감사 의견: KPMG는 2025년 2월 28일 기준으로 ExpressVPN의 TrustedServer VPN 서비스 설명이 모든 중요한 측면에서 공정하게 제시되었으며 , 통제 활동 설계가 관련 통제 목표를 달성하기에 적합하다고 판단했습니다.
• 감사 범위: ExpressVPN의 TrustedServer VPN 서비스 설명의 공정성과 명시된 통제 목표 달성을 위한 통제 활동 설계의 적합성에 대한 독립적인 의견을 형성하는 절차를 수행했습니다. 단, 통제 활동의 운영 효과성에 대해서는 절차를 수행하지 않았으며, 이에 대한 의견은 표명하지 않습니다.

2. ExpressVPN 경영진의 진술

ExpressVPN 경영진은 TrustedServer VPN 서비스 제공과 관련된 통제 목표 식별 및 달성을 위한 통제 활동의 설계, 구현, 운영에 대한 책임이 있음을 명시했습니다.

특히, 경영진은 다음 사항을 확인했습니다.

• TrustedServer VPN 서비스에 대한 설명이 2025년 2월 28일 기준으로 공정하게 제시되었다.
• 해당 통제 목표와 관련된 통제 활동이 2025년 2월 28일 기준으로 해당 통제 목표를 달성하기에 적합하게 설계되었다.

3. ExpressVPN 시스템 설명 및 개인정보 보호 정책 준수

ExpressVPN은 사용자 개인정보 보호를 위해

최소한의 데이터만 수집하는 것을 원칙으로 합니다.

• 수집하지 않는 정보:
  • 온라인 활동 로그 (브라우징 기록, 트래픽 목적지, 데이터 내용, DNS 쿼리)
  • 연결 로그 (IP 주소, 나가는 VPN IP 주소, 연결 타임스탬프, 세션 기간)
  • 어떤 사용자가 특정 웹사이트나 서비스에 접속했는지
  • 어떤 사용자가 특정 시간에 어떤 VPN 서버 IP 주소를 사용했는지
  • 사용자 컴퓨터의 원래 IP 주소
  • 이러한 민감한 정보는 시스템에 저장되지 않으므로, 강제하더라도 제공할 수 없습니다.
• 수집하는 최소한의 통계 데이터:
  • 활성화된 앱 및 앱 버전 정보 (기술 지원 및 문제 해결 목적)
  • VPN 연결 성공 여부 (특정 요일만 기록, 시간은 기록 안 함)
  • 연결된 VPN 위치 (할당된 나가는 IP 주소는 기록 안 함)
  • 연결이 이루어진 국가/ISP (소스 IP 주소는 기록 안 함)
  • 총 데이터 전송량 (MB 단위)
  • 이러한 정보는 개인 식별이 불가능하도록 익명으로 집계됩니다. 예를 들어, 특정 사용자가 특정 날짜에 뉴욕 서버에 연결하여 823MB를 전송했다는 정보는 알 수 있지만, 그 사용자의 구체적인 온라인 행위를 식별할 수는 없습니다.

4. TrustedServer 아키텍처 및 워크플로우

ExpressVPN의 TrustedServer 기술은 개인정보 보호 정책 준수를 위한 핵심입니다.

• RAM-Only 아키텍처: 모든 VPN 서버는 RAM(Random Access Memory)에서만 실행됩니다. 재부팅 시 모든 데이터가 사라지도록 설계되어 있습니다. 사용자 IP 주소와 같은 개인 식별 정보(PII)는 서버에 로깅되거나 서버에서 어떤 형태로든 외부로 내보내지지 않습니다.
• 읽기 전용 ISO 이미지: 운영체제 전체는 버전 관리되는 코드 베이스로 정의되며, ExpressVPN이 컴파일하고 디지털 서명한 읽기 전용 ISO 이미지로 로드됩니다. 유효한 서명 없이는 서버가 부팅되지 않아 콘텐츠 변경을 방지합니다.
• 코드 변경 워크플로우:
  • 모든 코드는 GitHub에 저장되며, 프로덕션 브랜치로의 직접 푸시는 불가능합니다.
  • 모든 커밋은 하드웨어 기반 서명 키로 암호화 서명되며, 이는 내부 IT 팀이 관리하는 신뢰할 수 있는 소스와 대조하여 유효성을 검사합니다.
  • 로깅 금지 검증: 자동화된 유닛 테스트에 ‘로깅이 비활성화된 상태’를 확인하는 검사가 포함되어 있으며, 코드에 “log”라는 단어가 나타나면 테스트가 자동으로 실패하여 프로덕션 브랜치로의 병합을 막습니다.
  • 다중 검토 및 승인: 기능 브랜치는 하나 이상의 코드 소유자를 포함한 최소 두 명의 검토자 승인이 있어야 프로덕션 브랜치로 병합될 수 있습니다. 코드 기여자가 유일한 검토자인 경우 병합이 자동으로 비활성화됩니다.
  • 자동 보안 스캔: 코드베이스의 서드파티 종속성은 알려진 취약점에 대해 지속적으로 스캔되며, 보안 경고가 해결될 때까지 코드 변경 병합이 자동으로 비활성화됩니다.
• 재현 가능한 빌드 (Reproducible Builds): OS 이미지는 최소 두 개의 독립적으로 운영되는 빌드 시스템에서 동일한 소스 코드(GitHub)로 빌드되며, 암호화 해시를 통해 비트 단위로 동일한지 비교하여 빌드 파이프라인 공격으로부터 보호합니다.

5. 개별 VPN 서버 보호

• VPN 서버, 구성 관리, CDN 및 모니터링 도구는 방화벽 수준에서 특정 ExpressVPN 제어 소스에서만 관리 연결을 허용하도록 구성되어 있습니다.
• VPN 서버에 대한 인증은 하드웨어 기반 SSH 키를 사용하여 수행되며, 중앙 IT 팀에서 관리합니다.
• 서버가 ‘프로덕션’ 상태로 전환되기 전에 SSH 접근이 자동으로 비활성화되며, Activator 서비스는 서버에 대한 접근 권한을 해지합니다. 이 단계 이후에는 Activator나 ExpressVPN 직원 모두 SSH를 통해 서버에 접근할 수 없습니다.

6. 빌드 파이프라인 보호

• 외부 Python 종속성에 대한 버전 및 고유 암호화 해시 저장소가 유지되며, 빌드 시 다운로드되는 패키지는 이 저장소와 자동으로 검증됩니다. 불일치 시 빌드가 실패합니다.
• 서드파티 보안 스캔 도구는 Python 및 Ruby 종속 파일의 취약성을 지속적으로 확인하고 경고를 발생시킵니다.
• TrustedServer OS 이미지는 오픈 소스 저장소에서 빌드되며, 업데이트 및 보안 수정 사항이 각 릴리스에 자동으로 통합됩니다.
• 서드파티 패키지 소스 서명은 버전 관리되는 GPG(GNU Privacy Guard) 키와 자동으로 검증됩니다.

7. 변경 관리 (Change Management)

• IT 시스템, 코드 및 구성 변경이 적절하게 승인되고, 문서화되며, 시스템 무결성을 보존하고 무단 수정을 방지하는 방식으로 구현되도록 통제합니다.
• 프로덕션 브랜치로의 코드 변경 병합은 최소 2명의 검토자(이 중 1명은 코드 소유자)의 승인이 있을 때까지 자동으로 비활성화됩니다.
• 변경 관리 시스템은 로깅 구성이 활성화되지 않았음을 검증하는 CI(지속적 통합) 테스트를 실행하며, 유효성 검사 실패 시 병합을 자동으로 비활성화합니다.
• 코드 검토자가 코드 기여자 본인과 다르지 않거나, 코드 기여자가 유일한 검토자인 경우(심지어 코드 소유자라도) 프로덕션 브랜치로의 병합이 자동으로 비활성화됩니다.
• TrustedServer VPN 자격 증명은 예측 불가능한 의사 난수 자동 생성 사용자 이름 및 비밀번호 문자열만 허용하도록 구성되어 있습니다.