Proton VPN의 무로그 방침 연례 외부 감사

업데이트 2025년 9월 19일: 이 기사는 Securitum의 최신 무로그 방침 감사를 소개하기 위해 업데이트되었습니다. 모든 무로그 방침 감사에 대한 링크가 포함되어 있습니다.

Proton VPN이 인프라에 대한 4년 연속 연례 타사 감사를 통과하여 엄격한 무로그 방침을 확인했음을 발표하게 되어 기쁩니다. 우리가 무로그 VPN이라고 말할 때, 그것은 단순한 주장이 아닙니다. 독립적인 전문가들에 의해 이중으로 확인되었습니다.

CERN에서 만난 과학자들이 설립한 조직으로서, 우리는 동료 검토와 투명성을 믿습니다. 이것이 바로 우리가 모든 앱을 오픈 소스로 만들어 누구나 코드를 검토할 수 있도록 하는 이유이기도 합니다.

물론 모든 사람이 코드를 직접 검사할 시간이나 기술이 있는 것은 아니라는 점을 이해합니다. 그렇기 때문에 내부 감사 외에도 정기적으로 앱을 타사 보안 감사(새 창)에 제출하고 그 결과를 공개합니다. 이렇게 하면 모든 사람이 앱 보안에 대한 독립적인 전문가의 의견을 얻을 수 있습니다.

가장 최근의 모든 Proton 앱 보안 감사(새 창)에서, 주요 기업 및 은행을 위해 매년 300개 이상의 보안 테스트 프로젝트를 감독하는 유럽의 선도적인 보안 감사 회사인 Securitum(새 창)의 보안 전문가들은 중요한 보안 문제를 발견하지 못했습니다. 이는 Proton의 내부 감사와 안전한 소프트웨어 개발 문화가 효과적임을 보여줍니다. 또한 앱 코드가 완전히 오픈 소스이므로, 전 세계의 보안 전문가들이 애플리케이션을 확인하는 버그 보상 프로그램(새 창)을 통해 보안이 강화됩니다.

하지만 VPN 서비스의 경우 애플리케이션 측면뿐만 아니라 서버 측면에서 무슨 일이 일어나고 있는지 확인하는 것도 중요합니다.

VPN의 무로그 방침을 확인하는 것이 중요한 이유

VPN에 연결하면 효과적으로 귀하의 인터넷 제공업체가 되므로, 모든 VPN 제공업체는 기술적으로 귀하가 온라인에서 하는 일을 추적하고 로그를 기록할 수 있습니다. 많은 VPN이 무로그 방침을 가지고 있다고 주장하지만, 이러한 정책이 테스트를 거쳤을 때 항상 유지되는 것은 아닙니다.

Proton VPN의 엄격한 무로그 방침은 2019년 법적 사건에서 테스트되었습니다. 우리는 사용자 식별을 돕기 위해 로그를 제출하라는 명령을 받았지만, 해당 로그가 존재하지 않아 따를 수 없었습니다. Proton VPN의 스위스 관할권은 VPN 서비스에 추가적인 이점을 제공합니다. 예를 들어, 현재 스위스 법적 프레임워크 내에서 Proton VPN은 로깅 요구 사항이 없습니다. 그러나 잘못된 서버 설정이나 결함이 있는 시스템 아키텍처로 인해 로그가 우발적으로 저장될 가능성은 여전히 남아 있습니다.

이 문제를 해결하기 위해 우리는 Securitum에 인프라 및 서버 측 운영에 대한 정기적인 철저한 검사를 수행해 달라고 요청했습니다. 매년 Securitum 보안 전문가들은 며칠 동안 현장에서 VPN 설정 파일 및 서버 설정을 검토하고, 운영 절차를 평가하고, 직원들을 인터뷰했습니다. 그들의 연례 감사는 광범위하며 다음 사항을 확인했습니다:

• 사용자 트래픽을 처리하는 프로덕션 VPN 서버에서 사용자 활동이 추적되거나 로그가 기록됩니까?
• DNS 쿼리나 세션 타임스탬프와 같은 연결 메타데이터가 VPN 서버에 로그로 기록됩니까?
• 사용자 네트워크 트래픽이 능동적으로 검사되거나 그 내용이 VPN 서버에 로그로 기록됩니까?
• 사용자가 연결하는 특정 서비스(예: 웹사이트, 외부 서버)에 대한 정보가 모니터링되거나 로그로 기록됩니까?
• 접근한 서비스(예: 웹사이트, 서버)와 사용된 특정 VPN 서버를 연관시키는 집계 로그가 유지됩니까?
• 무로그 방침이 모든 지리적 지역의 모든 서버와 모든 사용자 구독 등급에 동일하게 적용됩니까?
• 로깅을 활성화할 수 있는 승인되지 않은 설정 변경(예: “log” 매개변수를 false에서 true로 변경)을 감지하고 경고를 생성하는 자동화된 프로세스가 마련되어 있습니까?
• 로깅 관련 설정에 대한 모든 승인된 변경 사항에 대해 이중 제어(4-eyes) 원칙을 포함하는 공식 변경 관리 프로세스가 시행됩니까?
• 핵심 VPN 서비스에 대한 활성 설정 파일에 활성화된 로깅 지시어가 포함되어 있습니까?
• 특정 사용자와 그들이 연결된 특정 VPN 서버를 연관시키는 정보가 로그로 기록됩니까?

결과 보고서는 우리가 어떠한 메타데이터 로그도 보관하지 않고, 귀하의 VPN 활동을 로그로 기록하지 않으며, 귀하의 개인정보를 침해할 수 있는 어떠한 관행에도 관여하지 않음을 확인합니다.

또한 보고서는 Proton VPN이 서비스에 더 많은 기능과 성능을 추가하더라도 엄격한 무로그 방침에는 전혀 영향을 미치지 않음을 확인합니다. 최신(2025년) 보고서의 결론은 다음과 같습니다:

“검토된 기술적 증거에 따르면 무로그 방침과 모순되는 사용자 활동 로깅, 연결 메타데이터 저장 또는 네트워크 트래픽 검사 사례는 발견되지 않았습니다. 또한 감사는 무로그 환경의 지속적인 무결성을 보장하도록 설계된 자동화된 설정 관리 및 공식적인 이중 제어 변경 프로세스를 포함한 강력한 관리 및 기술적 제어의 구현을 검증했습니다.

이러한 결과를 바탕으로 Securitum은 감사 당시 구성된 Proton VPN 서비스가 무로그 방침에 명시된 개인정보 보호 약속을 완전히 준수함을 증명합니다”.

아래에서 Securitum의 최신 전체 보고서를 읽을 수 있습니다:

• Proton VPN 무로그 보안 감사 2025(새 창)(새 창)

Securitum의 권장 사항에 따라, 이것은 이제 우리의 무로그 방침에 대한 3년 연속 연례 감사입니다. Securitum의 과거 무로그 감사도 읽어보실 수 있습니다:

• Proton VPN 무로그 보안 감사 2024(새 창)
• Proton VPN 무로그 보안 감사 2023(새 창)
• Proton VPN 무로그 보안 감사 2022(새 창)

투명성을 통한 신뢰

Proton은 우리 자신의 주장을 포함하여 모든 주장이 조사되고 검증되어야 한다고 믿습니다. 앞으로도 정기적인 보안 감사를 수행하고 그 결과를 게시하여, 귀하가 데이터를 우리에게 맡기기 전에 독립적인 보안 전문가의 보고서를 읽을 수 있도록 할 것입니다.

보안 연구원이라면 오픈 소스 서비스의 취약점을 발견한 사람에게 후한 포상금을 제공하는 버그 보상 프로그램(새 창)을 통해 Proton의 보안을 지원하도록 초대합니다.

귀하의 개인정보를 존중하는 투명하고 오픈 소스이며 감사를 완료한 무로그 VPN을 이용하려면 Proton VPN에 가입하세요(새 창).