ExpressVPN이 안전한가요? 보안, 개인정보 보호 및 감사 분석

ExpressVPN이 안전한가요? 보안 심층 분석

ExpressVPN은 검증된 무-로그 감사, AES-256 암호화, 105개 국가에 걸친 RAM 전용 서버를 기반으로 85/100의 신뢰도 점수를 획득했습니다. 영국령 버진 아일랜드 관할권에서 운영되며, 14 Eyes 감시 동맹 외부에 있습니다. KPMG와 Cure53에 의한 여러 독립적인 감사가 무-로그 주장이 엄격한 검토를 견딜 수 있음을 확인했습니다.

관할권: 영국령 버진 아일랜드가 중요한 이유

ExpressVPN은 영국령 버진 아일랜드에 등록되어 있으며, 이는 자치적인 영국 해외 영토입니다. BVI는 VPN 제공자에 대한 필수 데이터 보유 법률이 없습니다. 이 단 하나의 사실이 ExpressVPN이 정부 데이터 요청에 대응하는 방식을 좌우합니다.

BVI는 5 Eyes, 9 Eyes, 14 Eyes 정보 공유 동맹 외부에 있습니다. 외국 정부 요청은 ExpressVPN에 도달하기 전에 BVI 고등법원을 통과해야 합니다. BVI는 외국 소환장이나 감시 명령을 직접 준수할 법적 의무가 없습니다.

이 관할권 이점은 2017년에 증명되었습니다. 터키 당국은 정치적 조사 중에 ExpressVPN 서버를 압수했습니다. 해당 서버는 사용자 데이터를 전혀 포함하지 않았으며, 무-로그 정책이 실제 정부 압력 하에서 작동함을 확인했습니다.

독립적인 감사 이력

ExpressVPN은 대부분의 경쟁사보다 많은 제3자 보안 감사를 완료했습니다. 각 감사는 서비스의 개인정보 보호 및 보안 주장의 다양한 측면을 검토했습니다.

KPMG 무-로그 감사

KPMG는 2022년과 2024년에 ExpressVPN의 무-로그 정책을 감사했습니다. 두 감사 모두 ExpressVPN의 TrustedServer 기술이 활동 로그, 연결 로그, IP 주소를 저장하지 않음을 확인했습니다. KPMG는 이러한 주장을 독립적으로 검증하기 위해 프로덕션 서버 및 내부 시스템을 테스트했습니다.

Cure53 보안 감사

독일의 존경받는 사이버 보안 회사인 Cure53은 ExpressVPN을 여러 번 감사했습니다. 2019년에 Cure53은 브라우저 확장 프로그램을 검토했으며 중대한 취약성을 발견하지 못했습니다. 그들은 2021년에 Lightway 프로토콜을 감사했으며 암호화 구현이 온전함을 확인했습니다. 2022년 감사는 TrustedServer 인프라를 검토했으며 강력한 평가를 내렸습니다.

PwC 감사

PricewaterhouseCoopers는 2019년에 초기 무-로그 감사를 수행했습니다. PwC는 ExpressVPN의 서버 구성이 공개 개인정보 보호 정책과 일치함을 검증했습니다. 이는 ExpressVPN이 의뢰한 최초의 주요 감사 중 하나를 표시했습니다.

ExpressVPN은 웹 사이트에 모든 감사 결과 요약을 게시합니다. 전체 Cure53 보고서는 공개적으로 이용 가능하며, 이는 VPN 산업에 대한 평균 이상의 투명성을 보여줍니다.

로깅 정책: 저장되는 항목과 저장되지 않는 항목

ExpressVPN의 개인정보 보호 정책은 수집되는 데이터를 명확하게 명시합니다. 마케팅 주장보다 세부 사항을 이해하는 것이 더 중요합니다.

ExpressVPN이 저장하지 않는 데이터

ExpressVPN은 브라우징 기록, 트래픽 대상, DNS 쿼리 또는 IP 주소를 기록하지 않습니다. 연결 타임스탬프, 세션 기간 또는 할당된 VPN IP 주소를 기록하지 않습니다. 통신 내용이 어떤 로깅 시스템을 통과하지 않습니다.

ExpressVPN이 수집하는 데이터

ExpressVPN은 통합 연결 데이터를 수집합니다: 사용 중인 앱 버전, 선택한 서버 위치(특정 서버가 아님), 일일 소비된 총 대역폭. 이 데이터는 개별 사용자를 식별하거나 활동을 특정 계정과 연결할 수 없습니다. 이를 사용하여 3,000개 이상의 서버 네트워크 전체에서 서버 용량을 유지합니다.

계정 이메일, 결제 정보 및 지원 티켓 기록은 청구 목적으로 저장됩니다. 최대 익명성을 원하는 사용자는 Bitcoin으로 지불하거나 일회용 이메일 주소를 사용할 수 있습니다.

암호화 표준 및 프로토콜

ExpressVPN은 기본 표준으로 AES-256-GCM 암호화를 사용합니다. 이는 미국 정부가 기밀 정보에 사용하는 동일한 암호화 수준입니다. AES-256을 깨려면 현재 존재하지 않는 계산 능력이 필요합니다.

사용 가능한 프로토콜

ExpressVPN은 전체 앱에서 4가지 VPN 프로토콜을 제공합니다. Lightway는 proprietary 프로토콜이며 wolfSSL을 기반으로 하고 ChaCha20 또는 AES-256 암호화를 사용합니다. OpenVPN은 AES-256-GCM을 사용하는 UDP 및 TCP 모두에서 실행됩니다. IKEv2/IPSec은 빠른 모바일 연결을 위해 특정 플랫폼에서 사용 가능합니다.

Lightway는 특별한 관심을 받을 가치가 있습니다. 코드베이스에는 대략 2,000줄의 코드가 포함되어 있으며, OpenVPN의 70,000줄과 비교됩니다. 줄 수가 적을수록 잠재적 취약성이 적고 1초 미만의 연결 시간이 더 빠릅니다. Cure53은 ExpressVPN이 GitHub에서 오픈 소스로 게시한 Lightway 소스 코드를 감사했습니다.

완벽한 전방 보안

ExpressVPN은 모든 연결 세션에 대해 새로운 암호화 키를 협상합니다. 공격자가 어떻게든 한 세션 키를 손상시켰다면 과거 및 미래 세션은 보호된 상태로 유지됩니다. 이 기능은 캡처된 트래픽의 대량 소급 해독을 방지합니다.

킬 스위치 및 DNS 누수 보호

ExpressVPN은 킬 스위치를 “Network Lock”이라고 부릅니다. Windows, Mac, Linux 및 라우터에서 기본적으로 활성화됩니다. Network Lock은 VPN 연결이 예기치 않게 끊어지면 모든 인터넷 트래픽을 차단합니다.

Network Lock은 애플리케이션 수준이 아닌 방화벽 수준에서 작동합니다. 이 접근 방식은 애플리케이션 수준 킬 스위치가 종종 놓치는 짧은 재연결 창 중에 누수를 방지합니다. VPN 터널과 ExpressVPN의 DNS 서버에만 트래픽을 허용합니다.

ExpressVPN은 모든 서버에서 private하고 암호화된 DNS를 실행합니다. DNS 쿼리는 Google이나 Cloudflare와 같은 제3자 DNS 제공자에게 절대 도달하지 않습니다. 이는 소프트웨어 패치에 의존하기보다는 인프라 수준에서 DNS 누수 위험을 제거합니다.

독립적인 테스트 도구는 ExpressVPN의 주요 앱 전체에서 DNS 누수 없음, WebRTC 누수 없음, IPv6 누수 없음을 지속적으로 표시합니다. 라우터 펌웨어는 이 보호를 네트워크의 모든 장치로 확장합니다.

과거 보안 사건

아무런 보안 제품도 정밀 검사가 없습니다. ExpressVPN은 살펴봐야 할 두 가지 주목할 만한 사건에 직면했습니다.

터키 서버 압수 (2017)

터키 당국은 러시아 대사 Andrei Karlov의 암살 사건을 조사했습니다. 그들은 용의자 통신을 찾기 위해 ExpressVPN 서버를 압수했습니다. 해당 서버는 사용 가능한 데이터를 전혀 포함하지 않았으며, 무-로그 인프라가 실제 법 집행 압력 하에서 검증되었습니다.

Kape Technologies 인수 (2021)

Kape Technologies는 2021년 9월에 약 9억 3,600만 달러에 ExpressVPN을 인수했습니다. Kape는 이전에 Crossrider로 운영되었으며, 리브랜딩 전에 애드웨어 배포와 관련된 회사입니다. 이 인수는 개인정보 보호 옹호자들 사이에서 정당한 우려를 제기했습니다.

ExpressVPN은 독립적인 운영 및 BVI 관할권을 유지하여 대응했습니다. 인수 후 2022년과 2024년 KPMG 감사는 무-로그 정책이 그대로 유지되었음을 확인했습니다. 회사는 리더십 팀을 유지하고 감사 결과를 지속적으로 투명하게 발표했습니다. 사용자는 지속적인 독립성을 확인하기 위해 향후 감사를 모니터링해야 합니다.

고유한 보안 기능

ExpressVPN은 유사한 암호화 표준을 가진 경쟁사와 구별되는 여러 보안 기능을 제공합니다.

TrustedServer 기술

모든 ExpressVPN 서버는 하드 드라이브가 아닌 volatile RAM에서 완전히 실행됩니다. 서버는 부팅할 때마다 read-only 이미지를 로드합니다. 모든 데이터는 각 서버 재부팅으로 완전히 지워집니다. 이 아키텍처는 VPN 서버에서 지속적인 데이터 저장을 물리적으로 불가능하게 만듭니다.

Threat Manager

Threat Manager는 알려진 추적자 및 악성 서버와의 통신으로부터 앱 및 웹 사이트를 차단합니다. DNS 수준에서 모든 연결된 장치에서 작동합니다. ExpressVPN은 위협 인텔리전스 데이터를 기반으로 정기적으로 차단 목록을 업데이트합니다.

Express Keys (비밀번호 관리자)

ExpressVPN은 모든 구독과 함께 Keys라는 내장 비밀번호 관리자를 제공합니다. Keys는 zero-knowledge 암호화를 사용하여 ExpressVPN이 저장된 비밀번호에 access할 수 없음을 의미합니다. 이 통합은 VPN 터널 자체를 넘어 실질적인 보안 가치를 추가합니다.

양자 후 보호

ExpressVPN은 Lightway 프로토콜에 양자 후 암호화 지원을 구현했습니다. 이 기능은 현재 암호화 표준을 깨뜨릴 수 있는 미래의 양자 컴퓨팅 공격으로부터 보호합니다. 현재 테스트 기준으로 몇 가지 VPN 제공자만 이 보호를 구현했습니다.

자주 묻는 질문

ExpressVPN이 로그를 보관하나요?

ExpressVPN은 활동 로그, 연결 로그, IP 주소 또는 브라우징 기록을 보관하지 않습니다. 네트워크 유지를 위해 앱 버전 및 서버 위치 선택과 같은 최소한의 통합 데이터를 수집합니다. KPMG 및 PwC 감사는 여러 연도에 걸쳐 이러한 무-로그 주장을 독립적으로 검증했습니다.

ExpressVPN이 해킹되었나요?

ExpressVPN은 사용자 정보에 영향을 미치는 확인된 데이터 유출을 겪지 않았습니다. 2017년 터키 서버 압수는 무-로그 시스템이 작동함을 증명했습니다. 당국이 사용자 데이터를 전혀 복구하지 못했기 때문입니다. TrustedServer RAM 전용 아키텍처는 잠재적인 물리적 서버 손상의 영향을 제한합니다.

ExpressVPN을 신뢰할 수 있나요?

ExpressVPN은 5개 이상의 독립적인 감사, 오픈 소스 프로토콜 코드 및 검증된 무-로그 사건을 통해 신뢰성을 입증합니다. Kape Technologies 소유권은 사용자가 개별적으로 고려해야 할 타당한 질문을 제기합니다. 30일 환불 보장은 사용자가 최소한의 재무 위험으로 서비스를 테스트할 수 있게 합니다.

ExpressVPN이 내 데이터를 볼 수 있나요?

ExpressVPN은 VPN 터널 내의 AES-256 end-to-end 암호화 때문에 브라우징 데이터를 볼 수 없습니다. TrustedServer 인프라는 데이터가 서버에 디스크에 쓰여지지 않도록 방지합니다. 법원 명령에 의해 강요당하더라도 ExpressVPN은 제공할 저장된 사용자 활동 데이터가 없습니다.