ExpressVPN 앱을 개발하고 유지 및 관리하는 데는 많은 사람들이 필요합니다. 이 과정을 안전하게 수행하려면 관련된 모든 사람들을 제대로 심사하고, 준비시키고, 훈련해야 합니다. 하지만 그것만으로 충분하지 않습니다.
저희는 외부의 누구도 ExpressVPN 앱을 개발하고 유지하는데 간섭할 수 없도록 해야 합니다. 따라서 저희는 엄격한 빌드 검증 절차를 구현하여 제3자가 악성 소프트웨어를 주입하거나 소프트웨어를 무단으로 수정할 수 없도록 했습니다.
수돗물을 믿고 사용할 수 있도록 상수도가 보호되듯이 ExpressVPN 소프트웨어는 개발부터 배포까지 악성 코드 감염으로부터 보호됩니다. 그리고 그 안전 장치들은 독립적인 검토를 받았습니다.
감염 위험 최소화하기
최근 몇 년간 저희는 PC 제조업체를 비롯한 주요 기술 기업이 개발 또는 배포 과정 중 어느 시점에 악성 코드에 감염된 소프트웨어와 하드웨어를 고객에게 출시하는 사례를 여러 차례 목격했습니다.
이를 염두에 두고 ExpressVPN은 개인 또는 기계가 공격에 노출되어 고객에게 악성 프로그램을 배포하게 될 위험을 크게 줄여 주는 검증 시스템을 개발했습니다.
다시 말해, 고객분들은 승인되지 않았거나 악의적인 코드가 전혀 포함되어 있지 않다는 확신을 가지고 ExpressVPN 앱을 사용할 수 있습니다.
저희가 구현한 몇 가지 정책과 절차는 다음과 같습니다.
- 소스 코드 변경 시 ExpressVPN이 발급한 PGP 암호화 키 사용
- 모든 코드 변경은 변경 사항을 적용한 개인과 다른 권한을 가진 사람에 의해 승인되어야 하는 요구 사항
- 변경 사항 자동 감사 및 예상치 못한 변경 사항 발생 시 알림, 그 후 직접 조치
- 고객에게 배포되는 바이너리 생산 시 자동화된 빌드 환경 CircleCI 및 Azure DevOps만 사용
저희의 검증 프로세스는 PwC Switzerland의 보증 계약 대상입니다
하지만 정책에 대한 저희의 주장이 정확한지 어떻게 알 수 있을까요? 이때 독립 감사 회사인 PwC Switzerland가 필요합니다.
이러한 안전 장치를 검증하기 위해 PwC Switzerland는 저희가 승인되지 않은 수정 사항이 없는 앱을 배포하기 위해 시행하는 정책 및 통제를 검토하는 독립적인 보증 계약을 수행했습니다. 실무자들은 2020년 5월에 소스 코드, 서버, 문서 및 개인에 접근하여 보증 작업을 수행했습니다.
고객들은 독립적인 보증 보고서를 이용할 수 있습니다. PwC Switzerland의 표준에 따라서 보고서를 조회하려면 보고서에 접근하기 전에 회사의 약관에 동의해야 합니다. 고객들은 이 링크를 통해 로그인하여 약관에 동의할 수 있습니다.
PwC Switzerland는 보증 결과가 문맥에서 분리되어 오해받지 않도록 발췌문 공유를 허용하지 않으므로, ExpressVPN은 이 블로그 글에서 보증 결과에 대한 구체적인 내용을 제공하지 않을 것입니다. 하지만 저희는 그 과정에 만족했다고 말할 수 있고 고객들에게 전체 보고서를 읽어볼 것을 권장합니다.
보안 관련 우려 덜어내기
ExpressVPN에서는 항상 고객의 개인 정보 보호 및 보안에 대한 잠재적인 위협을 감시하고 그 위험을 줄일 해결책을 찾고 있습니다.
최근 Cure53가 시행한 보안 평가와 작년 PwC Switzerland가 개인 정보 보호 정책 준수 및 자체 기술 TrustedServer에 대해 시행한 감사를 비롯하여 신뢰할 수 있는 제3자에게 받는 감사는 저희가 고객들께 약속하는 개인 정보 보호 및 보안에 대한 독립적인 검토를 제공합니다.
이러한 보증 계약 및 보안 평가는 저희가 신뢰 및 투명성을 위해 노력하는 기타 수단을 보완합니다. 여기에는 오픈 소스 누출 테스트 도구 제공, 보안 관행 세부 내용 공개, 인터넷 안전에 대한 대중의 인식 증진을 목표로 하는 VPN Trust Initiative 출범 등을 포함합니다.
ExpressVPN에서는 기술과 투명성 모두를 통해 산업을 발전시키기 위해 노력합니다. 고객들이 저희의 약속을 신뢰할 수 있도록 더 많은 감사, 도구 및 통찰력을 제공할 것을 약속드립니다.