NordVPN의 보안 수준이 그 어느 때보다 높아집니다
최근 여러분께 NordVPN과 타사 데이터 센터의 서버와 관련된 문제를 보고드린 일이 있습니다. 이러한 소식을 전하게 되었던 점 다시 한번 깊이 사과드립니다, 하지만, 본 게시물의 내용은 과거의 사건에 관한 것이 아닙니다. 우리의 보안을 한 단계 끌어올리고 다시는 이와 같은 일이 발생하지 않도록 하기 위해 지금부터 무엇을 할 것인지 설명하는 우리의 미래에 관한 글입니다.
목차
- 1. 최고의 사이버 보안 컨설팅 회사 및 보안 분야 리더와의 협력
- 2. 버그 현상수배 프로그램
- 3. 인프라 보안 감사
- 4. 공급업체 보안 평가 실시로 더 높은 보안 표준 유지
- 5. 디스크 없는 서버
- 우리의 약속
- 과거의 경험으로부터 배운 것을 바탕으로, 우리가 앞으로 나아갈 방향을 재정비했습니다. 미래에 초점을 맞힌 이러한 계획 중 일부는 NordVPN가 이미 준비하고 있던 발전 단계이며, 이는 기존의 서비스를 더욱 강력하게 만들 것입니다. 우리는 여기에 한 단계 더 나아가기 위한 기능들을 추가하였습니다. 대중 여러분, 사용자 및 사이버 보안 커뮤니티 모두의 신뢰를 얻기 위해 필요한 것은 우리의 발전하는 모습이라는 것을 늘 명심하겠습니다.
- 다음과 같은 변화가 준비되어 있습니다.
1. 최고의 사이버 보안 컨설팅 회사 및 보안 분야 리더와의 협력
최상의 서비스를 제공하기 위해 최고의 파트너와 함께 일할 것입니다. 우리는 미국의 대표적인 사이버 보안 컨설팅 회사인 VerSprite와 파트너 관계를 맺고 전 세계 사이버 보안 관련 업계 리더 및 전문가들로 구성된 위원회를 구성하는 중입니다. 이 특별 전담팀은 NordVPN의 서비스를 전면적으로 개선하고 우리가 여러분께 한 약속을 확실히 지킬 수 있도록 우리를 지원할 것입니다.
침투 테스트(Penetration Test)는 이러한 보안을 위한 우리의 노력의 핵심 요소입니다. 이 테스트는 자체적으로 우리의 인프라에서 다른 누구보다도 먼저 약점을 찾아냅니다. VerSprite는 우리의 침투 테스트 팀이 전체 인프라를 철저히 점검하고 고객의 보안을 보장하는 데 도움을 줄 것입니다.
- 포괄적인 침투 테스트
- 침입 시 대처 방안
- 공급업체 위험 평가
- 소스 코드 분석
2. 버그 현상수배 프로그램
우리의 역할은 버그가 활성화되기 전에 미리 탐지하고 예방하는 것입니다. 만약 버그 감염에 이미 노출되었다면, 다음 최선의 방어책은 이 버그가 사용자를 위험에 빠뜨리기 전에 적극적으로 악성 코드를 잡는 것이겠지요. 최전선에서 여러분을 도울 준비가 되어 있는 전문 사이버 보안 커뮤니티가 여기 있습니다.
다음 2주에 걸쳐, 우리는 버그 현상수배 프로그램을 진행할 것입니다. 사이버 보안 전문가들은 우리 시스템의 잠재적인 취약점을 포착하여 보고함으로써 우리가 버그를 미리 고칠 수 있도록 도울 것입니다. 이 현상금 사냥꾼들은 대가로 두둑한 보상을 받고, NordVPN 사용자들은 매일 버그를 찾아다니는 수천 명의 전문가의 감시하에 최고로 안전한 서비스를 누릴 수 있습니다.
3. 인프라 보안 감사
2020년에 제3자 독립 보안 감사를 본격적으로 진행하기 위한 토대를 마련하고 있습니다. 세부 사항을 파악함에 따라 더 많은 정보가 제공될 예정입니다. 앞으로 계속 알려드리겠습니다.
아래의 내용이 감사 대상에 포함되며 이에 국한되지 않을 수 있습니다.
- 인프라 하드웨어
- VPN 소프트웨어
- 백엔드 아키텍처
- 백엔드 소스 코드
- 각종 내부 절차
4. 공급업체 보안 평가 실시로 더 높은 보안 표준 유지
현재 우리와 함께 작업하는 대부분의 데이터 센터는 수많은 엄격한 보안 표준을 충족하거나 뛰어넘습니다. 그러나 우리는 앞으로 계속 인프라를 검토하며 함께 작업하는 데이터 센터를 이전보다 훨씬 더 높은 수준으로 유지할 것입니다.
동시에, 우리는 코로케이션 서버라고 불리는 서로 연결된 서버 네트워크를 구축할 것입니다. 서버들은 물리적으로 여전히 데이터 센터에 위치하지만, 연결된 서버는 전적으로 NordVPN에 의해 소유되고 운영됩니다. 타사 서버 공급자가 남긴 취약성으로 인한 침해는 불가능해집니다.
5. 디스크 없는 서버
우리는 전체 인프라(현재 5600대 이상의 서버를 갖추고 있음)를 RAM 서버로 업그레이드할 준비를 하고 있습니다. 이를 통해 로컬에 아무것도 저장되지 않는 중앙 제어 네트워크를 만들 수 있습니다. 디스크 없는 서버는 심지어 로컬에 저장된 운영 체제도 가지고 있지 않습니다. 이 말은 즉, 실행하는 데 필요한 모든 것은 오직 NordVPN의 보안 중앙 인프라를 통해 제공된다는 것을 뜻합니다. 만에 하나 공격자가 이러한 서버 중 하나를 침해한다고 해도, 데이터나 구성 파일이 전혀 없는 빈 하드웨어를 얻게 되는 것뿐입니다.
우리의 약속
일어나지 않았어야 할 일이 발생했던 것에 대해 진심으로 사과드립니다. 우리의 이번 사건에서 큰 교훈을 배웠습니다. 여러분에게 말뿐만 아니라 행동으로 우리의 다짐을 증명하고 싶습니다.
여기에서 설명한 변경 사항은 여러분이 NordVPN의 서비스를 훨씬 더 안심하고 사용할 수 있도록 도울 것입니다. 인프라와 코드에서부터 팀 및 파트너에 이르기까지, 우리의 모든 서비스는 더욱 빠르고 강력하며 안전해질 것입니다.
물론 100%의 안전을 약속할 수는 없습니다. 그런 수치를 보장할 수 있는 업체는 사실 아무 곳도 없지요. 우리가 진정으로 약속할 수 있는 것은 우리가 이 사건을 마음에 깊이 새겼다는 사실과 여러분의 신뢰를 회복하기 위해 우리가 할 수 있는 모든 것을 할 것이라는 다짐입니다. 우리는 이 일을 통해 훨씬 더 강한 모습으로 돌아올 것입니다. 지켜봐 주세요. 여러분께 빚진 마음으로 나아가겠습니다. 감사합니다.
참고: 게시물은 10월 29일에 업데이트되었습니다.