Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN은 2009년에 설립되었으며, 의무적 데이터 보관 법률이 없는 영국령 버진 아일랜드 관할권 하에 운영됩니다. 2021년 9월, Kape Technologies는 VPN 업계 역사상 최대 규모의 인수로 이 회사를 9억 3,600만 달러에 인수했습니다. Kape의 역사는 ExpressVPN을 평가하는 데 핵심적인 요소입니다. 이 회사는 2011년부터 2018년까지 Crossrider라는 이름으로 운영되며 브라우저 확장 프로그램에 광고를 삽입하는 플랫폼을 운영했습니다. Symantec은 Crossrider 소프트웨어를 악성코드로 분류했으며, Google은 잠재적으로 원치 않는 애플리케이션을 배포한다고 지목했습니다. Kape의 대주주인 Teddy Sagi는 1990년대에 증권 사기로 실형을 선고받은 바 있습니다. Kape는 또한 CyberGhost, PIA, ZenMate를 소유하고 있으며, 특히 리뷰 사이트 vpnMentor와 WizCase도 보유하고 있어 — 현재 이 사이트들은 Kape 산하 VPN 제품을 상위권에 노출시키고 있습니다.

Daniel Gericke 논란은 또 다른 문제를 더했습니다. 2019년 12월 CIO로 채용된 Gericke는 이전에 Project Raven에 참여했습니다. 이는 제로 클릭 익스플로잇을 사용해 미국 시민, 외국 언론인, 인권 활동가를 표적으로 삼은 UAE 정부 감시 작전입니다. 그는 기소 유예 합의에 따라 DOJ로부터 33만 5,000달러의 벌금을 부과받았습니다. ExpressVPN은 채용 전에 핵심 사실을 알고 있었음을 인정하면서도, 그의 공격적 보안 배경이 방어 보안을 강화한다고 주장했습니다. Edward Snowden은 공개적으로 회사의 판단에 의문을 제기했습니다. Gericke는 2023년 7월 퇴사했습니다.

이러한 소유 구조를 배경으로 놓고 보더라도, ExpressVPN의 기술적 보안 인프라는 진정으로 인상적입니다. TrustedServer는 하드 드라이브 없이 전적으로 RAM에서 실행되며, 재부팅 시마다 암호화 서명된 새 OS 이미지를 로드하고, 서버는 주간 업그레이드 사이클을 통해 이전 데이터를 모두 삭제합니다. 이 아키텍처는 PwC(2019), Cure53(2022), KPMG(2022, 2023, 2025)의 감사를 받았습니다. 노로그 정책은 2017년 터키 당국이 암살 수사 과정에서 물리적 서버를 압수했지만 사용자 데이터를 전혀 회수하지 못하면서 실제로 검증되었습니다.

자체 개발 후 GitHub에 오픈소스로 공개된 Lightway 프로토콜은 메모리 안전성을 위해 2025년에 C에서 Rust로 재작성되었습니다. 같은 해 도입된 Lightway Turbo는 멀티 레인 터널링과 커널 수준의 데이터 채널 오프로드를 사용해 Windows에서 최대 1,479 Mbps의 속도를 달성하지만, 현재는 Windows 전용입니다. 표준 Lightway는 독립 테스트에서 200~300 Mbps를 기록하며, 대부분의 직접 비교에서 NordVPN의 NordLynx보다는 느리지만 경쟁력 있는 수준입니다.

NIST 표준인 ML-KEM을 사용한 포스트 양자 암호화는 Lightway와 WireGuard 모두에 기본으로 적용되어 있으며, ExpressVPN은 여러 프로토콜에 걸쳐 포스트 양자 보호를 제공하는 최초의 사업자 중 하나입니다. WireGuard 지원은 포스트 양자 통합과 함께 2025년 8월에 추가되었습니다.

서버 네트워크는 105개국 이상, 160개 이상의 위치에 걸쳐 3,000개 이상의 서버로 구성되어 있습니다. ExpressVPN은 많은 경쟁사들이 제공하지 못하는 중요한 기능으로, 중국, 이란, UAE, 러시아, 사우디아라비아에서 검열을 안정적으로 우회합니다. 스트리밍 차단 해제는 업계에서 지속적으로 최고 수준을 유지하며, 20개 이상의 Netflix 라이브러리, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max, DAZN 접속이 확인되었습니다.

주요 보안 실패 사례로는 Windows 스플릿 터널링 DNS 누출(CVE-2024-25728)이 있습니다. 이 문제는 2022년 5월부터 2024년 2월까지 21개월간 존재했으며, 스플릿 터널링이 활성화된 상태에서 DNS 요청이 VPN 터널을 우회했습니다. ExpressVPN은 영향을 받은 Windows 사용자가 1% 미만으로 추정한다고 밝혔습니다. 대응 조치로는 두 건의 근본 원인 분석, Nettitude 침투 테스트 의뢰, 그리고 문제가 수정될 때까지 스플릿 터널링을 임시 비활성화하는 조치가 포함되었습니다.

가격 체계는 2025년 9월에 세 가지 등급으로 개편되었습니다: Basic(2년 요금제 기준 월 $2.44, 10개 연결), Advanced(월 $4.49, 패스워드 매니저 및 ID 모니터링 추가), Pro(월 $7.49, 전용 IP 추가). 월별 요금은 업계 최고 수준인 $12.99로 유지됩니다. 결제 수단으로는 신용카드, PayPal, 비트코인, Apple Pay, Google Pay가 있으며 30일 환불 보장이 제공됩니다.

주목할 만한 부재 기능으로는 포트 포워딩(모든 서버에서 미지원), 멀티홉 라우팅, 오픈소스 클라이언트 앱이 있습니다. Lightway 코어 라이브러리만 공개되어 있습니다. iOS에서는 스플릿 터널링을 사용할 수 없습니다. 이러한 기능의 부재는 ExpressVPN의 프리미엄 가격대에서 더욱 아쉽게 느껴집니다.

ExpressVPN은 2022년 6월 CERT-In 데이터 보관 의무를 준수하는 대신 인도의 모든 물리적 서버를 선제적으로 철수하고, 인도 IP 주소에는 싱가포르와 영국의 가상 서버로 전환했습니다. 투명성 보고서에 따르면 2025년에 529건의 정부 요청과 244만 건의 DMCA 불만이 접수되었으나, 어떠한 경우에도 데이터는 제공되지 않았습니다.

회사는 ISO 27001, 9001, 18295 인증을 추진해왔으며, ISO 27701(개인정보 보호)과 ISO 42001(AI)은 2026년을 목표로 하고 있습니다. 2025년 11월에 출시된 EventVPN 무료 티어는 프리미엄 인프라에서 포스트 양자 보호와 노로그 정책을 적용하여 운영되며, 대부분의 무료 VPN 서비스와 눈에 띄는 대조를 이룹니다.