Dropbox는 최초의 주류 클라우드 저장공간 제공업체였으며, 2022년 기준 7억 명의 사용자(새 창)를 보유한 시장의 최대 강자입니다. 당사는 Dropbox가 수백만 명의 개인정보를 얼마나 잘 보호하는지 확인하기 위해 Dropbox 개인정보 처리방침을 심층 분석해 보았습니다.
분석 결과, 몇 가지 심각한 문제가 있는 것으로 나타났습니다. Dropbox는 귀하에 대한 많은 정보를 수집할 뿐만 아니라, 상업적 파트너 및 법 집행 기관을 포함하여 원하는 누구와도 이를 공유할 수 있습니다. Dropbox 고객이 된다는 것은 회사에 귀하의 데이터에 대한 상당한 통제권을 부여한다는 것을 의미합니다.
이 기사는 Dropbox 개인정보 처리방침을 세부적으로 분석하고, 당사의 비공개 Dropbox 대안인 Proton Drive가 근본적으로 어떻게 다른지 설명합니다.
Dropbox 개인정보 보호 살펴보기
Dropbox의 개인정보취급방침(새 창)은 크게 두 부분으로 나뉩니다. 첫 번째 부분은 서비스가 수집하는 데이터를 설명하고, 이어지는 섹션은 Dropbox가 귀하의 데이터를 공유할 수 있는 모든 주체를 나열합니다. Dropbox는 누구나 이해할 수 있도록 이러한 약관을 명확하게 제시하고 있다는 점은 칭찬할 만합니다. 특정 주제에 대해 조금 더 깊이 있게 설명하는 FAQ(새 창) 페이지도 마련되어 있습니다.
Dropbox가 수집하는 데이터
개인정보취급방침에서 가장 먼저 눈에 띄는 것은 Dropbox가 수집하는 정보의 양입니다. 온라인 신원의 핵심 부분인 이메일 주소 외에도 Dropbox는 귀하의 이름, 전화번호, 실제 주소 및 결제 정보를 수집합니다.
또한 Dropbox는 귀하가 업로드하는 파일과 관련된 데이터(소위 “사용자의 콘텐츠”)를 수집하고 저장합니다. 여기에는 파일 크기, 업로드 시간 및 위치, 공유 대상(Dropbox는 귀하의 연락처 목록에 대한 데이터도 수집함) 및 파일 내 모든 활동이 포함됩니다.
실제로 파일 활동은 개인정보취급방침에서 별도의 하위 섹션으로 다뤄지는데, 그 이유는 명확합니다. Dropbox는 사용자가 파일로 수행하는 거의 모든 작업에 대한 기록을 보관하는 것으로 보입니다. 생성, 편집, 공유 등 모든 활동이 Dropbox의 사용을 위해 어딘가에 로그로 기록됩니다.
마지막으로, Dropbox는 서비스 접근에 사용하는 기기에 대한 많은 정보뿐만 아니라 실제 위치를 파악하는 데 도움이 될 수 있는 고유 식별자인 IP 주소(새 창)도 수집합니다. 이는 문제 해결과 같은 정당한 목적이 있을 수 있지만, Dropbox가 이를 선제적으로 수집하는 것은 이례적으로 보입니다.
그 밖에도 더 있지만, 이것들이 Dropbox가 고객에 대해 수집하는 주요 데이터 포인트로 보입니다. 그렇다면 회사는 이 방대한 데이터를 어디에 사용할까요?
Dropbox는 그 모든 데이터로 무엇을 하나요?
Dropbox는 광고주나 제3자에게 귀하의 데이터를 판매하지 않는다고 명시하고 있습니다.
하지만 그것이 데이터를 공유하지 않는다는 의미는 아닙니다.
가장 놀라운 점은 귀하의 데이터를 제공받는 제3자의 수와 종류입니다. 여기에는 Google, Amazon, OpenAI 등 개인정보 보호와 관련하여 평판이 매우 좋지 않은 기업들이 포함되어 있습니다.
지원 포털인 ZenDesk나 결제 서비스 제공업체인 Stripe, 또는 Dropbox 서버를 호스팅할 가능성이 높은 Amazon Web Services 등 Dropbox가 제공하는 맥락에서 이해가 가는 곳들도 있습니다. 하지만 데이터를 판매하는 것을 비즈니스 모델로 삼는 Google과 같이 누구나 다시 한 번 생각하게 만드는 업체들도 포함되어 있습니다.
비교적 덜 알려진 업체로는 광고주를 위해 데이터를 분석하는 Kissmetrics와 사용자의 개인정보 보호를 소홀히 하는 것으로 알려진 ChatGPT 개발사 OpenAI 등이 있습니다.
이게 전부가 아닙니다. 미국에 본사를 둔 기업으로서 Dropbox는 비밀리에 발부될 수 있고(새 창) 발급받기 쉬운(새 창) 미국 수색 영장 및 기타 명령을 준수해야 합니다. 이는 귀하의 데이터가 빈약한 구실로도 압수될 수 있음을 의미합니다. 결과적으로 Dropbox는 법 집행 기관으로부터 많은 요청(새 창)을 받습니다.
하지만 상황은 더 심각합니다. Dropbox는 자체적인 판단에 따라 당국과 데이터를 기꺼이 공유하겠다는 점을 분명히 하고 있습니다. 영장이 제시될 때 모든 클라우드 서비스가 법 집행에 협조해야 하는 것과 달리, Dropbox는 정보를 자발적으로 제공할 것임을 명확히 하고 있습니다. 에드워드 스노든이 Dropbox를 “PRISM 파트너 지망생(새 창)”이라고 부른 데에는 다 이유가 있습니다.
소비자에게 미치는 영향
Dropbox는 개인정보 보호 서비스를 표방하지는 않지만, 그럼에도 불구하고 수집하는 데이터의 양과 이를 공유하는 대상은 충격적입니다. Dropbox는 귀하에 대해 알 수 있는 거의 모든 것을 알고 있으며, 이를 자체 마케터뿐만 아니라 제3자에게도 기꺼이 공유합니다.
더 나쁜 것은 “공공의 이익”을 위해 경찰과 데이터를 공유할 것임을 명확히 하고 있다는 점입니다. 이 용어는 매우 모호하여 어떤 상황이든 정당화하는 데 사용될 수 있습니다. 우리가 확실히 아는 것은 Dropbox에 따르면 개인정보 보호는 공공의 이익이 아니라는 점입니다.
더 큰 문제는 이러한 데이터를 수집하기 위해 사용자의 보안을 취약하게 만들었다는 점입니다. 플랫폼에서 사용자가 무엇을 하는지 확인하려면 사용자의 파일을 복호화할 수 있어야 합니다. 즉, Dropbox는 가장 안전한 형태의 데이터 보호 방식인 종단 간 암호화를 사용하지 않습니다. 보안에 대한 이러한 취약한 관심은 일련의 긴 Dropbox 보안 사고로 이어졌습니다.
Dropbox가 귀하의 개인 데이터를 파악하는 것이 괜찮더라도(사실 그럴 이유가 없지만), 이러한 관행이 서비스를 안전하지 않게 만든다는 사실은 귀하가 다시 생각해보게 할 것입니다.
개인 정보를 보호하는 Dropbox 대안
Proton은 커뮤니티에 귀하의 개인정보를 소중히 여기는 안전한 클라우드 저장공간 서비스를 제공하기 위해 Proton Drive를 개발했습니다. Dropbox와 달리, Proton에서는 개인정보 보호가 임의로 제거될 수 있는 것이 아니며 기본으로 포함되어 있습니다.
예를 들어, Proton은 고객에 대한 데이터를 많이 수집하지 않습니다. 귀하의 이메일과 요금제 업그레이드 시의 결제 정보 정도가 전부입니다. (당사가 데이터 수집을 어떻게 최소화하는지는 개인정보취급방침에서 확인할 수 있습니다.) 당사의 비즈니스 모델은 고객에게 개인적이고 안전한 서비스를 제공하는 데 기반을 두고 있기 때문에 해당 데이터를 보유하는 데 관심이 없습니다. Proton은 전적으로 커뮤니티의 후원을 받으므로 광고주에게 데이터를 판매할 필요가 없습니다.
또한 Proton은 스위스에 기반을 두고 있으므로 세계에서 가장 엄격한 스위스 개인정보 보호법의 적용을 받으며, 따라서 법 집행 기관의 명령에 노출될 가능성이 적습니다.
당사가 귀하의 데이터에 접근하거나 공유하고 싶어도 할 수 없습니다. Proton은 모든 앱에 종단 간 암호화를 사용합니다. 즉, 귀하의 파일은 서버로 업로드되기 전 기기에서 암호화됩니다. 이는 귀하의 개인정보를 보호할 뿐만 아니라, 보안 침해 사고가 발생하더라도 해커가 훔쳐갈 수 있는 정보가 거의 없게 만듭니다.
이 모든 것은 더 나은 인터넷을 만들고자 하는 당사 사명의 일부입니다. 더 안전하고 개인 정보를 보호하는 클라우드 저장공간 대안을 찾고 계신다면 무료 Proton Drive 계정을 만들고 당사와 함께하세요.
