ExpressVPN의 데이터 비저장 정책이 KPMG 감사를 통해 검증되었습니다. KPMG는 ExpressVPN의 TrustedServer가 사용자 활동 로그를 남기지 않는다는 합리적 보장을 제공한다고 결론지었습니다.
VPN 제공업체 ExpressVPN은 “사용자를 특정 온라인 활동과 연결할 수 있는 데이터를 절대 저장하지 않는다”고 웹사이트에서 주장하고 있습니다. 2월 말에 실시된 독립 감사는 이러한 주장을 뒷받침합니다. 회계 법인 KPMG는 이 VPN 제공업체의 시스템이 사용자 활동의 기록을 방지하고 있다는 “합리적인 보장”을 발견했습니다. 이 제품은 Engadget의 추천 VPN 목록에 포함되어 있습니다.
회사의 감사는 ExpressVPN의 TrustedServer 시스템을 면밀히 분석했습니다. 이는 회사의 RAM 기반 시스템입니다. 이 접근 방식은 이론적으로 각 서버 재부팅 시 사용자 데이터가 삭제된다는 의미입니다. (이렇게 함으로써 장기 저장의 가능성조차 방지합니다.) NordVPN을 비롯한 일부 경쟁업체들도 RAM 기반 서버를 사용하고 있습니다. 한편, ProtonVPN은 적절히 암호화된 하드 드라이브도 동일하게 안전하다고 주장합니다.
RAM 기반 서버에 대한 또 다른 반론은 서버가 재부팅될 때만 효과적이라는 점입니다. 이론적으로, 회사는 마케팅 목적으로 RAM 서버를 운영할 수 있지만, 실제로는 재부팅을 하지 않을 수도 있습니다. 여기서 감사가 도움이 될 수 있습니다.
KPMG는 2월 말에 로그를 남기지 않는 시스템이 광고된 대로 작동했다는 높은 신뢰도를 가지고 있습니다. KPMG의 보고서에 따르면 “ExpressVPN TrustedServer는 사용자의 활동 로그를 수집하지 않는다는 합리적인 보장을 제공합니다.” 여기에는 “브라우징 기록, 트래픽 목적지, 데이터 내용, DNS 쿼리 또는 특정 연결 로그”의 기록이 포함되지 않았습니다.
KPMG의 평가는 ISAE 3000 유형 I 감사였습니다. 이는 특정 시점에서 ExpressVPN의 통제 설계와 구현에 중점을 두었다는 의미입니다. (한편, 유형 II 감사는 더 오랜 기간 동안 해당 통제의 효과를 시험했을 것입니다.) 익숙하지 않다면, KPMG는 빅 4 회계법인 중 하나로, 기업들이 이러한 감사를 위해 막대한 자금을 지불하는 신뢰받는 이름입니다.
이 평가는 여러 요소를 검토했습니다. 여기에는 문서 검토, 시스템 작동 관찰 및 ExpressVPN 직원과의 인터뷰가 포함되었습니다. 감사의 결론은 “2025년 2월 28일 기준”입니다. 따라서 이는 특정 시점에 대한 KPMG의 결론을 나타내며 영구적인 신뢰에 대한 포괄적인 선언은 아닙니다. 이 평가는 전체 시스템의 스트레스 시험이나 회사의 전반적인 보안 분석을 포함하지 않았습니다.
KPMG의 전체 보고서를 읽고자 한다면 더 자세한 내용을 확인할 수 있습니다.
※출처: Engadget
