2025년 12월 Surfshark 인프라 보안 테스트 보고서 요약
Contents
독립 보안 감사 보고서
2025년 12월에 완료된 서프샤크 인프라 보안 테스트 결과가 나왔습니다. 제가 항상 Top3사를 가장 많이 언급하는 이유는 이렇게 자사 서비스가 안전하다는 것을 말만 하는게 아니라, 돈을 써서 제3자로부터 독립된 테스트를 하고 그 결과를 투명하게 공개하기 때문입니다.
이런 데이터를 꾸준하게 제공하는 회사는 더 많은 사람들이 사용할거예요. 충분한 매출과 영업 이익이 나는 규모가 되었음에도 불구하고 이정도 노력을 기울이지 않는 회사들은 반성을 많이 해야합니다.
2025 Surfshark 인프라 보안 테스트 보고서 요약 (SecuRing)
원문은 https://surfshark.com/media/SurfShark-InfrastructureTestReport_20251217_Public.pdf 여기에서 보실 수 있으며 2025년 12월 1일부터 10일까지 검증 기간을 거쳤습니다.
보고서 요약
본 요약은 2025년 12월 17일에 공개된 Surfshark의 네트워크 인프라 침투 테스트 결과를 바탕으로 작성되었습니다.
1. 테스트 개요 및 목적
- 수행 기관: SecuRing (폴란드 기반의 글로벌 사이버 보안 기업)
- 테스트 기간: 2025년 12월 1일 ~ 2025년 12월 10일
- 보고서 발행일: 2026년 1월 2일
- 주요 목적: 무단 사용자의 인프라 접근 가능 여부를 확인하고, 고객 데이터 보호를 위한 보안 메커니즘을 검증하기 위함입니다.
- 테스트 방식: 일반 VPN 사용자 시점에서 공격을 시뮬레이션하는 그레이박스(Grey-box) 침투 테스트 방식을 채택했습니다.
2. 종합 결과 요약
“침투 테스트 결과, 치명적(Critical) 또는 위험(High) 수준의 취약점은 단 한 건도 발견되지 않았습니다.”
발견된 취약점은 핵심적인 위협으로 이어지지 않는 수준이며, 다음과 같이 분류되었습니다:
| 항목 ID | 취약점 명칭 | 위험 수준 |
|---|---|---|
| F1 | 부적절한 SSL/TLS 설정 (Improper SSL/TLS configuration) | Medium (중간) |
| R1 | 특정 도메인으로의 리다이렉션 제한 권고 | 권고 사항 (직접적 위험 없음) |
3. 주요 취약점 및 개선 사항
F1. SSL/TLS 설정 미흡 (Medium)
- 문제점: 암호화 강도가 약한 사이퍼 스위트와 일부 구형 프로토콜 지원이 확인되었습니다.
- 영향: 특정 상황에서 공격자가 클라이언트와 서버 사이의 통신을 가로챌 가능성이 존재합니다.
- 권고 조치: SSLv2, SSLv3, TLS 1.0, TLS 1.1과 같은 안전하지 않은 프로토콜을 비활성화해야 합니다.
R1. 리다이렉션 검증 권고 (Recommendation)
- 문제점: 서버의 리다이렉션 메커니즘에서 URI 파라미터가 적절히 검증되지 않았습니다.
- 영향: 사용자를 악의적인 외부 사이트로 연결하는 피싱 공격에 악용될 수 있습니다.
- 권고 조치: 리다이렉트 범위를 특정 신뢰할 수 있는 도메인으로만 엄격히 제한해야 합니다.
4. 수행된 보안 테스트 항목
SecuRing은 다음과 같은 다양한 기법을 통해 Surfshark의 보안을 검증했습니다:
- OSINT 정찰: 공개된 소스, DNS 존, 인증서 투명성 로그 등을 통한 정보 수집
- 서비스 스캔: 주요 포트 스캔 및 인터넷 노출 서비스 분석
- 취약점 스캔: Nmap NSE 스크립트 및 구성 평가 스크립트 활용
- 은닉 리소스 탐색: 파일 및 디렉토리에 대한 무차별 대입(Brute-force) 공격 시도
각 회사들의 전체적인 진행 상황은 [노로그 VPN 팩트체크]에서 보실 수 있습니다.
아직 댓글이 없습니다