Cure53이 NordVPN의 보안을 다시 한번 평가했습니다

Cure53의 테스트 범위

2025년, NordVPN은 Cure53에 애플리케이션과 인프라 모두를 포괄하는 광범위한 보안 평가를 의뢰했습니다. Cure53은 독일에 본사를 둔 침투 테스트 전문 기업으로 15년 이상의 소프트웨어 테스트 경험을 보유하고 있습니다.

감사팀은 화이트박스 및 그레이박스 침투 테스트(pentest)를 일련으로 실행하고 광범위한 소스 코드 검토를 수행했습니다. 19명의 시니어 테스터가 NordVPN 엔지니어들과 긴밀하게 협력했으며, 테스트에 필요한 모든 자료에 대한 전면적인 접근 권한이 부여되었습니다. 평가는 2025년 5월, 6월, 10월에 진행되었으며 프로젝트 전반에 걸쳐 수십 일의 작업 기간이 소요되었습니다.

테스트 범위는 다음과 같은 다양한 NordVPN 구성 요소들을 포함했습니다.

• Android, iOS, Windows, macOS, Linux 애플리케이션
• Chrome, Edge, Firefox용 브라우저 확장 프로그램
• 멀웨어 스캐닝 및 네트워크 필터링을 포함한 바이러스 및 위협 방지(Threat Protection) 구성 요소
• NordAccount 인증 및 다중 인증(MFA) 플로우
• VPN, 위협 차단, Meshnet, 계정 서비스용 핵심 API
• VPN 서버 및 지원 인프라
• 서버 환경 내 컨테이너화된 서비스, 인증 로직, 내부 접근 제어

Cure53 보안 감사 결과

상당히 광범위한 감사였음에도 불구하고, Cure53은 평가의 어떤 부분에서도 심각한 취약점을 발견하지 못했습니다. 감사원들이 몇 가지 항목을 높은 심각도로 분류하여 주의가 필요하다고 표시했지만, 식별된 모든 문제들은 이미 수정되었으며, 각 항목이 예상대로 작동한다는 것을 Cure53이 검증했습니다. 나머지 발견 사항들은 중간에서 정보 제공 수준(사용자 보안을 위협하지는 않지만 내부 보호를 강화하는 데 도움이 되는 낮은 영향도 문제들)에 해당했습니다. 이러한 결과는 이 규모의 보안 검토에서 일반적으로 나타나는 수준이었습니다. 이러한 발견 사항들과 함께, 감사원들은 서비스가 특히 우수한 성능을 보인 몇 가지 영역을 강조했습니다.

안전한 클라이언트 애플리케이션

감사를 통해 NordVPN 애플리케이션이 모든 주요 플랫폼에서 강력한 보안 관행을 따르고 있음이 드러났습니다. 모바일에서는 Android와 iOS 앱이 안전한 데이터 저장, 제어된 WebView 사용, 생체 인식 보호, 기기 바인딩을 포함한 엄격한 보안 관행을 구현하고 있습니다. 데스크톱에서는 감사원들이 안전한 IPC 설계, 견고한 방화벽 로직, 딥 링크와 파일 작업의 적절한 검증을 주목했습니다.

강력한 인증 및 계정 보호

NordAccount 시스템 또한 Cure53의 테스트에 잘 견뎌냈으며, 안전한 토큰 처리, 일관된 입력 검증, PKCE와 같은 업계 표준의 올바른 사용을 보여주었습니다. 감사원들은 세션 격리와 상태 검증이 일반적인 인증 우회 시도를 방지하는 데 도움이 된다는 것을 확인했습니다.

잘 구조화되고 신뢰할 수 있는 API

백엔드 API는 강력한 접근 제어 시행, 철저한 무결성 검사, 민감한 작업의 안전한 처리를 보여주었습니다. 추천 시스템, 구독 플로우, Meshnet API를 포함한 핵심 구성 요소들이 세부적인 테스트 하에서 의도한 대로 작동했습니다.

견고한 바이러스 및 위협 방지 로직

Cure53은 멀웨어 탐지 구성 요소를 검토한 결과 해시 기반 및 머신러닝 접근 방식이 안전하게 구현되어 있음을 발견했습니다. 감사원들은 스캐닝 엔진이나 트래픽 필터링 메커니즘에 대한 우회 방법을 식별하지 못했습니다.

안전하고 복원력 있는 인프라

Cure53이 NordVPN의 서버 환경을 검사했을 때, VPN 서버가 적절히 강화되어 있고 제한적인 방화벽 규칙과 강력한 컨테이너 격리를 사용하고 있다는 것을 확인했습니다. 감사원들은 NordVPN의 전반적인 강화 전략이 서버 보안의 강력한 기반을 형성한다고 결론지었습니다.

NordVPN의 대응

Cure53이 발견 사항을 전달한 후, NordVPN의 엔지니어들은 즉시 서비스 개선에 착수했습니다. 가장 긴급하다고 표시된 문제들을 우선적으로 해결했으며, Cure53은 나중에 교정 작업이 의도한 대로 기능한다는 것을 확인했습니다. 나머지 항목들은 해결되거나 감사원들과 함께 검토하여 이미 마련된 보안 장치들이 여전히 적절하다는 것을 확인했습니다.

일부 발견 사항들은 알려진 제한사항이나 수용 가능한 위험으로 분류되었습니다. 이는 구성 요소를 변경하는 것이 보안을 개선하지 않으면서 새로운 복잡성을 야기할 수 있는 상황들이었습니다. NordVPN은 Cure53과 협력하여 기존 보호 조치가 여전히 충분하다는 것을 검증했습니다.

전체 평가 보고서 두 가지 모두 계정을 통해 또는 아래 링크를 통해 NordVPN 사용자들이 이용할 수 있습니다.

NordVPN 보안 유지

보안은 지속적인 노력이 필요한 영역이며, 이번과 같은 정기적인 검토는 잠재적 문제를 조기에 식별하고 새로운 사이버 위협이 정착하는 것을 방지하는 데 도움이 됩니다. 그렇기 때문에 저희는 독립적인 보안 감사를 실시하고 가능한 모든 곳에서 인프라를 개선하여 NordVPN을 강화하는 데 계속 투자할 것입니다.

보안 작업은 결코 끝나지 않으며, 각각의 새로운 평가는 서비스를 더욱 안전하게 만드는 데 도움이 됩니다. 최신 Cure53 테스트 결과는 NordVPN의 애플리케이션과 시스템이 여전히 잘 보호되고 있음을 보여주며, 저희 서비스에 의존하는 모든 사용자의 이익을 위해 계속해서 개선해 나갈 것입니다. 또한 이번 평가 전반에 걸쳐 철저한 작업과 협력을 해준 Cure53 팀 전체에 감사를 표합니다. Cure53의 전문성은 NordVPN을 안전하게 유지하려는 저희 약속을 뒷받침합니다.