편집자 주: 이 기사는 Securitum의 최신 노로그 방침 감사 내용을 포함하도록 업데이트되었습니다. 당사의 모든 노로그 방침 감사 링크가 포함되어 있습니다.

Proton VPN이 당사의 엄격한 노로그 방침을 확인하는 인프라에 대한 5년 연속 연례 제3자 감사를 통과했음을 기쁘게 알려드립니다. 당사가 노로그 VPN이라고 말하는 것은 단순한 주장이 아닙니다. 독립적인 전문가들에 의해 교차 검증된 사실입니다.

많은 경쟁업체는 독립적인 감사를 받은 적이 없거나, 실제 노로그 인프라 대신 개인정보 보호 정책만 감사를 받는 눈속임을 해왔습니다. 그리고 감사 등을 통해 노로그 주장이 독립적으로 검증된 경우에도, 많은 업체가 결과를 공개하지 않거나, 결과에 접근하기 위해 기밀 유지 계약에 서명하도록 요구하거나, 유료 고객에게만 제공하는 등 결과를 읽기 어렵게 만들고 있습니다.

이와 대조적으로, Proton VPN은 누구나 읽을 수 있도록 전체 노로그 보고서를 공개적으로 발행합니다. CERN에서 만난 과학자들이 설립한 조직으로서, 당사는 동료 평가(Peer Review)와 투명성을 신뢰합니다. 이것이 바로 누구나 당사의 코드를 검사할 수 있도록 모든 앱을 오픈 소스로 공개하는 이유이기도 합니다.

물론 모든 사람이 코드를 직접 검사할 시간이나 기술이 있는 것은 아니라는 점을 이해합니다. 그렇기 때문에 내부 감사 외에도 정기적으로 앱을 타사 보안 감사(새 창)에 제출하고 그 결과를 공개합니다. 이렇게 하면 모든 사람이 앱 보안에 대한 독립적인 전문가의 의견을 얻을 수 있습니다.

가장 최근 진행된 모든 Proton 앱의 보안 감사(새 창)에서, 대기업과 은행을 위해 매년 300개 이상의 보안 테스트 프로젝트를 감독하는 유럽의 선도적인 보안 감사 회사인 Securitum(새 창)의 보안 전문가들은 어떠한 중대한 보안 문제도 발견하지 못했습니다. 이는 Proton의 내부 감사와 안전한 소프트웨어 개발 문화가 효과적임을 보여줍니다. 또한 당사 앱의 코드는 전적으로 오픈 소스이므로, 전 세계의 보안 전문가들이 모여 당사의 어플리케이션을 검증하는 버그 보상 프로그램(새 창)을 통해 보안을 한층 더 강화하고 있습니다.

하지만 VPN 서비스의 경우 애플리케이션 측면뿐만 아니라 서버 측면에서 무슨 일이 일어나고 있는지 확인하는 것도 중요합니다.

VPN의 무로그 방침을 확인하는 것이 중요한 이유

VPN에 연결하면 효과적으로 귀하의 인터넷 제공업체가 되므로, 모든 VPN 제공업체는 기술적으로 귀하가 온라인에서 하는 일을 추적하고 로그를 기록할 수 있습니다. 많은 VPN이 무로그 방침을 가지고 있다고 주장하지만, 이러한 정책이 테스트를 거쳤을 때 항상 유지되는 것은 아닙니다.

Proton VPN의 엄격한 노로그 방침은 지금까지 400건 이상의 법적 소송을 통해 검증되었습니다. 당사는 사용자 신원 확인을 돕기 위해 로그를 넘겨주라는 명령을 받았으나, 이러한 로그 자체가 존재하지 않았기 때문에 따를 수 없었습니다.

Proton VPN의 스위스 관할권은 VPN 서비스에 추가적인 이점을 제공합니다. 예를 들어, 현재 스위스 법적 프레임워크 내에서 Proton VPN은 로그 저장 의무가 없습니다. 하지만 잘못된 서버 설정이나 결함이 있는 시스템 아키텍처로 인해 로그가 실수로 저장될 가능성은 남아 있습니다.

이를 해결하기 위해 당사는 Securitum에 인프라 및 서버 사이드 운영에 대한 정기적인 정밀 검사를 수행하도록 요청했습니다. 매년 Securitum의 보안 전문가들은 며칠 동안 현장에 머물며 당사의 VPN 설정 파일과 서버 설정을 검토하고, 운영 절차를 평가하고, 직원을 면담했습니다. 이들의 연례 감사는 광범위하게 이루어지며 다음 사항을 확인했습니다.

  • 사용자 트래픽을 처리하는 프로덕션 VPN 서버에서 사용자 활동이 추적되거나 로그가 기록됩니까?
  • DNS 쿼리나 세션 타임스탬프와 같은 연결 메타데이터가 VPN 서버에 로그로 기록됩니까?
  • 사용자 네트워크 트래픽이 능동적으로 검사되거나 그 내용이 VPN 서버에 로그로 기록됩니까?
  • 사용자가 연결하는 특정 서비스(예: 웹사이트, 외부 서버)에 대한 정보가 모니터링되거나 로그로 기록됩니까?
  • 접근한 서비스(예: 웹사이트, 서버)와 사용된 특정 VPN 서버를 연관시키는 집계 로그가 유지됩니까?
  • 노로그 방침이 모든 지역의 모든 서버와 모든 사용자 구독 등급에 일관되게 적용됩니까?
  • 로그 기록을 활성화할 수 있는 무단 설정 변경(예: “log” 매개변수를 false에서 true로 변경)을 감지하고 알림을 생성하는 자동화된 프로세스가 마련되어 있습니까?
  • 로그 관련 설정에 대한 모든 승인된 변경 사항에 대해 이중 제어(상호 검토) 원칙을 포함하는 공식적인 변경 관리 프로세스가 강제 적용됩니까?
  • 핵심 VPN 서비스에 대한 활성 설정 파일에 활성화된 로깅 지시어가 포함되어 있습니까?
  • 특정 사용자와 그들이 연결된 특정 VPN 서버를 연관시키는 정보가 로그로 기록됩니까?

감사 결과 보고서는 당사가 어떠한 메타데이터 로그도 보관하지 않고, 귀하의 VPN 활동을 기록하지 않으며, 귀하의 개인정보를 유출할 수 있는 어떠한 행위도 하지 않음을 확인합니다. 또한 보고서는 Proton VPN이 서비스에 더 많은 기능과 요소를 추가하더라도 당사의 엄격한 노로그 방침에는 전혀 영향을 미치지 않음을 확인합니다. 최신(2026년) 보고서의 결론은 다음과 같습니다.

“검토 기간 동안 확인된 기술적 증거에 따르면, 조사된 Proton VPN 서버 인프라가 사용자의 브라우징 활동, DNS 질의, 대상 서비스, 네트워크 트래픽 콘텐츠 또는 사용자 식별이 가능한 연결 메타데이터를 기록한다는 징후는 나타나지 않았습니다. 또한 Securitum은 Proton이 특정 사용자를 검토된 VPN 서버를 통해 수행된 활동과 연관 지을 수 있는 영구적인 기록을 식별하지 못했습니다.”

아래에서 Securitum의 최신 전체 보고서를 읽을 수 있습니다:

Securitum의 권장 사항에 따라, 이는 이제 당사의 노로그 방침에 대한 5년 연속 연례 감사에 해당합니다. Securitum이 진행한 지난 노로그 감사 결과도 확인하실 수 있습니다:

투명성을 통한 신뢰

Proton은 우리 자신의 주장을 포함하여 모든 주장이 조사되고 검증되어야 한다고 믿습니다. 앞으로도 정기적인 보안 감사를 수행하고 그 결과를 게시하여, 귀하가 데이터를 우리에게 맡기기 전에 독립적인 보안 전문가의 보고서를 읽을 수 있도록 할 것입니다.

보안 연구원이라면 오픈 소스 서비스의 취약점을 발견한 사람에게 후한 포상금을 제공하는 버그 보상 프로그램(새 창)을 통해 Proton의 보안을 지원하도록 초대합니다.

귀하의 개인정보를 존중하는 투명하고 오픈 소스이며 감사를 완료한 무로그 VPN을 이용하려면 Proton VPN에 가입하세요(새 창).