ExpressVPN 버그로 인해 원격 데스크톱 세션에서 사용자 IP 유출

ExpressVPN은 Windows 클라이언트에서 발생한 결함을 수정했습니다. 해당 결함은 원격 데스크톱 프로토콜(RDP) 트래픽이 가상 사설 네트워크(VPN) 터널을 우회하도록 하여 사용자의 실제 IP 주소를 노출 시키는 문제입니다.
VPN의 핵심 기능 중 하나는 사용자의 IP 주소를 숨겨 온라인에서 익명성을 유지하도록 하며 검열을 우회해서 사용자 국가에 있을 때 표현의 자유를 위해서 VPN을 사용하면 이에 실패하는 경우는 VPN 제품에서 심각한 기술적 결함입니다.
ExpressVPN은 세계적으로 수백만 명이 사용하는 주요 VPN 서비스 제공업체로 지속적으로 최상위 VPN 서비스로 평가받고 있습니다. 해당 서비스는 사용자 데이터를 저장하지 않는 RAM 전용 서버를 사용하며 감사받은 무로그 정책을 준수
2025년 4월 25일 Adam-X 라는 이름의 보안 연구원이 ExpressVPN의 버그 보상 프로그램을 통해 포트 3389를 통해 전송되는 RDP 및 기타 TCP 트래픽이 노출되는 취약점을 보고
조사 결과 ExpressVPN 팀은 이 문제가 내부 테스트를 위해 사용된 디버그 코드의 잔여물이 정식 서비스에서 실수로 포함된 것에서 비롯되었음을 확인
구체적으로 12.97 버전(4개월 전에 출시된)부터 12.101.0.2-beta 버전까지 해당
사용자가 RDP를 통해 연결을 설정하면 해당 트래픽이 VPN 터널을 우회할 수 있었습니다 라고 ExpressVPN은 발표에서 밝힘
해당 문제는 암호화에 영향을 미치지 않았지만 RDP 연결을 통한 트래픽이 예상대로 ExpressVPN을 통해 라우팅 되지 않았다는 의미
결과적으로 ISP나 같은 네트워크에 있는 관찰자는 사용자가 ExpressVPN에 연결되어 있다는 것뿐 아니라 RDP를 통해 특정 원격 서버에 접근하고 있다는 정보도 확인할 수 있었으며 이는 일반적으로 보호되어야 할 정보입니다.
2025년 6월 18일에 출시된 ExpressVPN 버전 12.101.0.45를 통해 패치가 제공되었습니다.

ExpressVPN

개인정보 보호 업체는 이 보안 취약점이 터널의 암호화를 침해하지 않았으며 유출 시나리오는 Remote Desktop Protocol (RDP)을 사용하는 사용자들에게만 영향을 미쳤다고 밝혔습니다.
이들은 고객에게 낮은 위험도로 간주
실제로 해당 문제는 주로 RDP를 적극적으로 사용하는 사용자들에게 영향을 미쳤을 것입니다.
RDP는 일반 소비자들이 일반적으로 사용하지 않는 프로토콜입니다 라고 ExpressVPN의 안내문은 설명
ExpressVPN의 사용자 기반이 기업 고객보다는 개인 사용자로 주로 구성되어 있다는 점을 고려하면 영향을 받는 사용자 수는 적을 것으로 보입니다.

[소프트웨어 팁/보안 및 분석] - 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료 할인)

노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료 할인)

 

RDP는 마이크로소프트의 네트워크 프로토콜로 네트워크를 통해 Windows 시스템을 원격에서 제어할 수 있도록 하며 IT 관리자, 원격 근무자, 기업에서 사용
그러나 사용자는 최상의 보호를 위해 Windows 클라이언트를 버전 12.101.0.45로 업그레이드하는 것이 권장
ExpressVPN은 앞으로 생산 환경에 유사한 버그가 도입되지 않도록 내부 빌드 검사를 강화할 것이라고 밝혔으며 개발 테스트에서의 자동화 강화도 포함
지난해 ExpressVPN은 Windows 클라이언트에서 스플릿 터널링 기능을 활성화할 때 DNS 요청 유출 문제가 발생
해당 기능은 앞으로 릴리스에서 수정 사항이 적용될 때까지 일시적으로 비활성화되었습니다.
ExpressVPN 사용자는 반드시 최신 업데이트 해서 사용을 하는 것을 권장합니다.