ExpressVPN 트러스트 센터
ExpressVPN은 개인 정보 보호 회사입니다. ExpressVPN의 사용자는 업계를 선도하는 하드웨어, 소프트웨어 및 인적 독창성의 조합을 통해 개인 정보를 보호하는 ExpressVPN의 역량을 신뢰합니다. ExpressVPN가 사용자의 신뢰를 얻기 위해 어떤 노력을 하는지 확인해보세요.
ExpressVPN의 보안: 4가지 핵심 전략
ExpressVPN이 자체 시스템과 사용자를 보호하기 위해 사이버 보안을 적용하는 방법을 알아보세요.
1. 손상시키기 어려운 시스템 구축
시스템을 안전하게 구축하는 것이 저희가 가장 우선시하는 보안 전략입니다. ExpressVPN은 독립적으로 보장된 빌드 검증 시스템, 하드웨어 보안 장치, 최첨단 암호화 등 시스템 침입을 어렵게 만드는 다양한 기술을 사용합니다.
빌드 검증 시스템
ExpressVPN 소프트웨어는 독립적으로 검토된 내장 빌드 검증 시스템을 통해 생성부터 소프트웨어 제공에 이르기까지 악성 코드 감염으로부터 보호됩니다.
하드웨어 보안 장치
ExpressVPN은 다양한 보안 목적을 위해 공개-비공개 키 쌍을 사용합니다(이중 인증, Git 커밋 서명, SSH를 통한 서버 연결 등). 또한 저희는 비공개 키를 하드웨어 보안 장치에 보관하여 비공개 키의 도난 위험을 줄입니다. 즉, ExpressVPN의 워크스테이션이 손상되더라도 공격자가 비공개 키를 훔칠 수 없습니다.
이러한 장치는 강력한 암호로 보호되며 잠금 해제에 여러 번 실패하면 스스로 "기능하지 않게 되도록" 구성됩니다. 장치가 작동하려면 물리적 접촉이 필요하므로, 사람이 개입하지 않으면 멀웨어가 키를 훔칠 수 없습니다.
코드 검토
모든 프로덕션 코드는 최소 한 명 이상의 다른 사람으로부터 검토를 받게 됩니다. 이를 통해 직원의 워크스테이션이 손상된 경우 그리고 내부 위협으로부터 악성 코드를 추가하기가 훨씬 더 어려워집니다.
강화된 시큐어 셸(SSH)
ExpressVPN은 중요한 서버에 원격으로 액세스할 수 있는 안전한 방법으로 SSH를 사용합니다. 이러한 SSH 서버는 고도로 안전한 암호, 키 교환 알고리즘 및 MAC만 사용하도록 구성됩니다. 또한, 루트로 연결하는 것을 허용하지 않으며 인증은 강력한 SSH 키를 사용해서만 가능케 합니다(비밀번호는 허용하지 않습니다). ExpressVPN은 중간 SSH 배스천 호스트를 사용하여 오픈 인터넷에서 프로덕션 인프라스트럭처를 분리합니다. 이러한 머신은 IP 화이트리스트에 있는 주소의 트래픽만 허용합니다.
이 모든 구성은 코드 내에 정의되므로, 동료에 의해 검토 및 재생산이 가능합니다.
신속한 패치
프로덕션 머신의 경우, 무인 업그레이드를 통해 소프트웨어 종속성이 자동으로 업데이트됩니다.
2. 잠재적 피해 최소화
저희의 노력에도 불구하고, 동기를 가진 공격자가 ExpressVPN의 방어를 뚫을 가능성이 여전히 존재합니다. ExpressVPN은 보호책을 적용하여 초기에 공격자의 잠재적인 손상을 최소화함으로써 이 위험을 해결합니다.
제로 트러스트 적용
도난 키가 VPN 서버를 가장하는 데 사용되는 위험을 줄이기 위해, 저희는 ExpressVPN의 애플리케이션이 업데이트된 구성 설정을 수신하기 위해 저희의 API 서버에 접촉하도록 합니다. 저희의 애플리케이션은 공격자가 ExpressVPN을 가장할 수 없도록 사설 인증 기관(CA)의 서명과 이름을 확인하여 연결하는 서버를 인증합니다.
영지식 암호화 사용
ExpressVPN의 비밀번호 관리자(ExpressVPN Keys)는 영지식 암호화를 활용하여 아무도(심지어 저희조차도) 사용자가 저장한 정보를 복호화할 수 없습니다. ExpressVPN 서버에서 데이터 침해가 발생할 경우 영지식 암호화는 공격자가 사용자가 저장한 로그인 정보를 복호화할 수 없도록 보장합니다. 해당 정보는 사용자의 기기에서 사용자만 아는 기본 비밀번호로 생성된 암호화 키로만 복호화할 수 있습니다.
보안 설계
보안 및 개인 정보 위협 모델링이 모든 시스템의 설계 단계에 통합됩니다. ExpressVPN은 MITRE ATT&CK 프레임워크를 사용하여 설계에 존재할 수 있는 위협을 식별하고, 그 제거 방법을 고려하며, 잠재적 위험을 최소화하기 위해 충분한 조치를 취합니다.
최소 권한의 원칙
모든 사용자, 서비스 및 작업은 최소 권한 모델을 따릅니다. ExpressVPN의 직원은 자신의 역할을 위해 필요한 서비스 및 생산 시스템에만 액세스할 수 있습니다. ExpressVPN의 고객 지원 담당자는 두 가지 환경(일반적인 웹 브라우징 활동을 위한 신뢰할 수 없는 환경과 민감한 시스템에 액세스하기 위한 제한적인 환경)에서 일합니다. 이러한 조치는 공격자가 ExpressVPN의 계정을 탈취하려는 경우 공격자의 목표를 방해하고 그 영향을 최소화합니다.
3. 손상 기간 최소화
피해의 심각성을 최소화해야 할 뿐만 아니라, ExpressVPN의 프로세스는 손상 기간 그리고 공격자가 숨어 있을 수 있는 시간을 제한하는 데 도움이 됩니다.
보안 모니터링
ExpressVPN은 비정상적이거나 승인되지 않은 활동에 대해 내부 서비스 및 인프라스트럭처를 지속적으로 모니터링합니다. 연중무휴 24시간 대기 중인 보안팀이 실시간 모니터링 수행하고 보안 경고를 분류합니다.
자동 재구축
많은 시스템이 매일 또는 일주일에 여러 번 자동으로 파괴되고 재구축됩니다. 이는 공격자가 시스템 내에 숨어 있을 수 있는 시간을 제한합니다.
4. 내부 보안 통제 검증
ExpressVPN의 모든 소프트웨어와 서비스는 의도한 대로 작동하고 저희가 고객에게 약속한 높은 수준의 개인 정보 보호 및 보안 표준을 충족하는지를 확인하기 위해 엄격하게 테스트됩니다.
내부 검증: 침투 테스트
ExpressVPN은 자체 시스템과 소프트웨어를 평가하기 위해 침투 테스트를 수행하여 취약점 및 약점을 식별합니다. 테스터는 모든 소스 코드에 액세스할 수 있으며, 철저한 서비스 및 제품 평가를 위해 자동화 및 수동 테스트를 조합하여 사용합니다.
외부 검증: 제3자의 보안 감사
ExpressVPN은 서비스 및 소프트웨어 보안을 검토하기 위해 독립적인 감사인을 고용합니다. 이는 내부 통제가 보안 취약점을 완화하는 데 효과적이라는 사실을 검증하는 역할을 하는 동시에, 보안 수준에 대해 저희가 주장하는 내용의 정확성을 보여주는 문서를 고객에게 제공합니다.
혁신
ExpressVPN은 업계 보안 표준을 충족하고 이를 능가하고자 노력하는 동시에, 제품과 사용자의 개인 정보를 보호하는 새로운 방법을 끊임없이 추구하며 혁신을 거듭하고 있습니다. ExpressVPN이 구축한 두 가지 획기적인 기술을 소개합니다.
Lightway: 우수한 VPN 경험을 제공하는 ExpressVPN의 프로토콜입니다
Lightway는 ExpressVPN이 구축한 VPN 프로토콜입니다. VPN 프로토콜은 기기가 VPN 서버에 연결하는 방법입니다. 대부분의 제공 업체는 동일한 기성 프로토콜을 사용하지만, ExpressVPN은 사용자의 VPN 경험을 더욱 빠르고 더욱 안정적이고 더욱 안전하게 만들기 위해 우한 성능의 VPN 프로토콜을 만들기 시작했습니다.
Lightway는 FIPS 140-2 표준 등을 비롯하여 제3자에 의해 광범위하게 검증된, 잘 확립된 암호 라이브러리인 wolfSSL을 사용합니다.
Lightway는 정기적으로 삭제 및 재생성되는 동적 암호화 키로 완전 순방향 기밀성을 유지합니다.
Lightway의 핵심 라이브러리는 오픈 소스이므로, 투명하고 광범위하게 보안이 평가될 수 있습니다.
Lightway에는 포스트 퀀텀 지원이 포함되어 있어서 기존 컴퓨터 및 양자 컴퓨터에 모두 접근 가능한 공격자로부터 사용자를 보호해줍니다. ExpressVPN은 포스트 퀀텀 보호를 이용한 최초의 VPN 업체 중 하나이며 저희 고객님들이 양자 컴퓨팅 발전에 직면하여 보안을 유지하도록 지원합니다.
Lightway에 대해 더 자세히 알아보세요. 그리고 ExpressVPN 개발자 블로그에서 Lightway가 작동하는 방식과 어떤 점에서 다른 VPN 프로토콜보다 나은지에 대한 ExpressVPN 소프트웨어 개발자의 기술적 통찰력을 확인하세요.
TrustedServer: 재부팅할 때마다 모든 데이터가 삭제됩니다
TrustedServer는 ExpressVPN 사용자에게 더 나은 보안을 제공하기 위해 만든 VPN 서버입니다.
TrustedServer는 휘발성 기억 장치 또는 RAM에서만 실행됩니다. 운영 체제와 앱은 절대로 하드 드라이브에 기록하지 않기 때문에, 모든 데이터는 삭제되거나 덮어씌어질 때까지 유지됩니다. RAM은 데이터를 저장하기 위해 전원이 필요하기 때문에, 서버의 모든 정보는 전원이 꺼졌다가 다시 켜질 때마다 지워져 잠재적인 침입자가 장치에 지속되는 것을 방지합니다.
TrustedServer는 일관성을 증가시킵니다. TrustedServer를 사용하면, 각 서버가 필요에 따라 다른 시간에 업데이트를 수신하는 대신 ExpressVPN의 모든 서버가 최신 소프트웨어를 실행합니다. 이는 ExpressVPN이 각각의 서버에서 실행 중인 내용을 모두 정확히 파악하여, 취약성 또는 구성 오류의 위험을 최소화하고 VPN 보안을 드라마틱하게 개선할 수 있음을 의미합니다.
TrustedServer 기술은 PwC의 감사를 받았습니다.
TrustedServer가 사용자를 보호하는 다양한 방식을 자세히 알고 싶으신가요? 이 시스템을 설계한 엔지니어가 작성한 심층 분석을 확인하세요.
독립 보안 감사
저희는 저희 제품에 대해 심도 있는 제3자 감사를 매우 자주 의뢰하도록 노력하고 있습니다. 다음은 시간순으로 정렬된 외부 감사 전체 목록입니다.
Cure53의 VPN 프로토콜 Lightway에 대한 두 번째 감사 (2022년 11월)
ExpressVPN Keys 브라우저 확장에 대한 Cure53의 감사 (2022년 10월)
ExpressVPN 브라우저 확장에 대한 Cure53의 감사 (2022년 10월)
로그 미보관 정책에 대한 KPMG 감사(2022년 9월)
iOS용 ExpressVPN 앱에 대한 Cure53의 보안 감사(2022년 9월)
Android용 ExpressVPN 앱에 대한 Cure53의 보안 감사(2022년 8월)
Linux용 ExpressVPN 앱에 대한 Cure53의 감사(2022년 8월)
masOS용 ExpressVPN 앱에 대한 Cure53의 감사(2022년 7월)
Aircove 라우터에 대한 Cure53의 보안 감사(2022년 7월)
ExpressVPN 내부 VPN 서버 기술 TrustedServer에 대한 Cure53의 보안 감사(2022년 5월)
Windows v12용 앱에 대한 F-Secure의 보안 감사(2022 4월)
Windows v10용 앱에 대한 F-Secure의 보안 감사(2022년 3월)
빌드 검증 프로세스에 대한 PwC Switzerland의 감사(2020년 6월)
개인정보 보호 정책 준수 및 내부 기술 TrustedServer에 대한 PwC Switzerland의 감사(2019년 6월)
ExpressVPN 브라우저 확장 프로그램에 대한 Cure53의 보안 감사(2018년 11월)
버그 바운티
ExpressVPN은 버그 바운티 프로그램을 통해 보안 연구원이 저희의 시스템을 테스트하고 문제를 발견하면 그에 대한 금전적 보상을 지급합니다. 저희는 이 프로그램을 통해 보안 문제에 대해 정기적으로 ExpressVPN의 인프라와 애플리케이션을 평가하는 많은 테스터를 이용할 수 있습니다. 그리고 이렇게 발견한 문제를 검증하고 수정하여, ExpressVPN의 제품이 최대한 안전하도록 합니다.
버그 바운티 프로그램의 범위에는 ExpressVPN의 VPN 서버, 앱, 브라우저 확장 프로그램, 웹사이트 등의 취약점이 포함됩니다. 버그를 보고하는 개인에게 연구 분야의 글로벌 모범 사례를 준수하는 세이프 하버를 제공합니다.
ExpressVPN의 버그 바운티 프로그램은 Bugcrowd에서 관리합니다. 이 링크에서 버그 바운티 프로그램에 대해 더 자세히 알아보거나 버그를 보고하세요.
업계 리더십
ExpressVPN은 엄격한 표준을 설정하지만, 보다 프라이빗하고 안전한 인터넷을 구축하기 위한 노력은 여기서 멈출 수 없다고 믿습니다. 따라서 저희는 표준을 높이고 사용자를 더욱 잘 보호하기 위해 전체 VPN 업체와 협력합니다.
저희는 인터넷 인프라스트럭쳐 연합(i2Coalition) 및 기타 여러 주요 업계 회사와 함께 VPN 트러스트 이니셔티브(VTI)를 공동 설립하고 그 의장을 맡고 있습니다. VTI는 지속적인 인식 및 옹호 외에도, 보안, 개인 정보 보호, 투명성 등의 영역에서 책임있는 VPN 제공 업체를 위한 공유 가이드라인인 VTI 원칙을 런칭했습니다. 이는 Center for Democracy and Technology와 함께 ExpressVPN의 이전 투명성 구상 작업을 기반으로 합니다.
저희가 개척한 혁신 중 일부는 VPN 산업을 발전시키는 데 도움이 되었습니다. 저희는 TrustedServer를 처음으로 만들었으며, 이후 다른 회사도 그 뒤를 따라 비슷한 기술을 공개했습니다. Lightway는 ExpressVPN이 완전히 새로 구축한 기술의 또 다른 예이며, 이를 개방형 소스로 만들어, VPN 업계 전체에 영향을 미치길 바랍니다.
주목할만한 개인 정보 보호
ExpressVPN이 사용자의 개인 정보를 보호하는 방법에 대해 자세히 알아보세요.
ioXT 인증
ExpressVPN은 보안 표준에 대해 ioXt Alliance의 인증을 받은 몇 안 되는 VPN 앱 중 하나로, 소비자는 더욱 안심하고 저의 서비스를 사용할 수 있습니다.
인앱 개인 정보 보호 기능
ExpressVPN은 사용자가 실용적인 가이드라인으로 자신의 개인 정보를 보호하는 데 도움이 되는 Protection Summary라는 기능을 Android 앱에 도입했습니다.
Digital Security Lab
ExpressVPN은 실제 개인 정보 보호 문제를 심층적으로 조사하기 위해 Digital Security Lab을 런칭했습니다. VPN 보안을 검증하는 데 도움이 되는 유출 테스트 도구를 확인해 보세요.