2017.08.09

"서드파티 보안 감사를 통해 VPN 신뢰성 확보한다"…터널베어

Ian Paul | PCWorld
유명한 VPN 제공업체인 터널베어(TunnelBear)는 사용자의 신뢰를 얻길 바라며 일반 소비자 VPN 시장에서는 처음으로 서드파티 공개 보안 감사를 발표했다. 간략하게 말하면 서드파티 보안 업체가 터널베어의 서버, 애플리케이션, 인프라를 조사해 모든 것을 공개했다.


Credit: TunnelBear 

터널베어는 독일 기반의 침투 테스트 업체인 큐어53(Cure53)을 고용했다. 큐어53은 터널베어의 시스템과 코드를 2016년 말부터 2017년 초까지 38일동안 전체 액세스 권한을 부여받았다. 최종 결과는 8월 8일 터널베어와 큐어53이 발행한 두 개의 감사 결과로 나왔다.

첫 번째 감사에서 큐어53은 터널베어의 크롬 확장 프로그램에서 두 가지 치명적인 취약점을 발견했다. 그 가운데 하나는 악의적인 공격자가 확장 프로그램을 사용 중지하도록 허용한 것이다. 감사관은 맥용 터널베어에서 해커가 사용자 시스템을 인계받을 수 있는 치명적인 취약점도 발견했다. 이 세 가지 취약점은 모두 패치됐다.

또한 큐어53은 터널베어 API와 안드로이드 애플리케이션에서도 세 가지의 높은 취약점을 발견했으며 이를 패치했다.

이런 결과에 대해 터널베어는 "자랑할만한 것은 아니지만, 적어도 취약점은 발견했다"고 말했다. 큐어53은 올해 여름에 짧게 재실행하던 중 13가지 다른 문제를 발견했다고 말했다. 그 가운데 하나만이 높은 위협 수준이며 나머지는 긴급 수정이 필요하지 않은 중저 위협이었다.

VPN이나 소프트웨어를 둘러싼 중요한 문제 가운데 하나는 실제 신뢰 문제다. 개인정보를 보호하고 안전한 제품을 제공하기 위해 사용하는 업체를 신뢰할 수 있는가? 일부 VPN의 경우, 특히 해당 업체를 운영하는 사람을 확인할 수 없다면 쉽게 대답할 수 없다. 터널베어는 이번 보안 감사를 공개적으로 발표하면서 커다란 진전을 이뤘다.

이번 감사에서 다루지 않은 한 가지는 로그인하지 않고 사용하는 사용자의 브라우징 습관을 포함한 터널베어의 개인정보보호 정책 내용이었다. 이 문제에 대해 터널베어를 신뢰하느냐의 여부는 여전히 사용자에 달려있다. 터널베어는 매년 연례 보안 감사를 실시할 것이라고 말했다.

이 감사 결과에 대해 직접 확인하려면 큐어53 웹사이트에 PDF 요약본을 다운로드하면 된다. editor@itworld.co.kr  


VPN
2017.08.09

"서드파티 보안 감사를 통해 VPN 신뢰성 확보한다"…터널베어

Ian Paul | PCWorld
유명한 VPN 제공업체인 터널베어(TunnelBear)는 사용자의 신뢰를 얻길 바라며 일반 소비자 VPN 시장에서는 처음으로 서드파티 공개 보안 감사를 발표했다. 간략하게 말하면 서드파티 보안 업체가 터널베어의 서버, 애플리케이션, 인프라를 조사해 모든 것을 공개했다.


Credit: TunnelBear 

터널베어는 독일 기반의 침투 테스트 업체인 큐어53(Cure53)을 고용했다. 큐어53은 터널베어의 시스템과 코드를 2016년 말부터 2017년 초까지 38일동안 전체 액세스 권한을 부여받았다. 최종 결과는 8월 8일 터널베어와 큐어53이 발행한 두 개의 감사 결과로 나왔다.

첫 번째 감사에서 큐어53은 터널베어의 크롬 확장 프로그램에서 두 가지 치명적인 취약점을 발견했다. 그 가운데 하나는 악의적인 공격자가 확장 프로그램을 사용 중지하도록 허용한 것이다. 감사관은 맥용 터널베어에서 해커가 사용자 시스템을 인계받을 수 있는 치명적인 취약점도 발견했다. 이 세 가지 취약점은 모두 패치됐다.

또한 큐어53은 터널베어 API와 안드로이드 애플리케이션에서도 세 가지의 높은 취약점을 발견했으며 이를 패치했다.

이런 결과에 대해 터널베어는 "자랑할만한 것은 아니지만, 적어도 취약점은 발견했다"고 말했다. 큐어53은 올해 여름에 짧게 재실행하던 중 13가지 다른 문제를 발견했다고 말했다. 그 가운데 하나만이 높은 위협 수준이며 나머지는 긴급 수정이 필요하지 않은 중저 위협이었다.

VPN이나 소프트웨어를 둘러싼 중요한 문제 가운데 하나는 실제 신뢰 문제다. 개인정보를 보호하고 안전한 제품을 제공하기 위해 사용하는 업체를 신뢰할 수 있는가? 일부 VPN의 경우, 특히 해당 업체를 운영하는 사람을 확인할 수 없다면 쉽게 대답할 수 없다. 터널베어는 이번 보안 감사를 공개적으로 발표하면서 커다란 진전을 이뤘다.

이번 감사에서 다루지 않은 한 가지는 로그인하지 않고 사용하는 사용자의 브라우징 습관을 포함한 터널베어의 개인정보보호 정책 내용이었다. 이 문제에 대해 터널베어를 신뢰하느냐의 여부는 여전히 사용자에 달려있다. 터널베어는 매년 연례 보안 감사를 실시할 것이라고 말했다.

이 감사 결과에 대해 직접 확인하려면 큐어53 웹사이트에 PDF 요약본을 다운로드하면 된다. editor@itworld.co.kr  


VPN
X