Dropbox 보안 문제 타임라인

Dropbox는 최초로 이용 가능한 주류 클라우드 저장공간 서비스였으며 업계의 많은 길을 개척해 왔습니다. 안타깝게도 수년 동안 많은 실수를 저질렀는데, 그중 최악은 업계 최대 규모였던 2012년 Dropbox 보안 사고였습니다. 귀하가 여전히 이곳을 제공업체로 선택할지 스스로 결정할 수 있도록 Dropbox 보안 문제에 대한 타임라인을 정리했습니다.

이 글을 읽고 이동할 준비가 되셨다면, Dropbox 계정 삭제에 관한 빠른 가이드를 확인해 보십시오. 마지막으로 Dropbox 대안을 고려하고 계신다면, 훨씬 더 안전한 Proton Drive에 대한 정보도 아래에서 공유해 드립니다.

• Dropbox 보안 사고: 타임라인
  • 2011년
  • 2012년
  • 2013년
  • 2017년
  • 2018년
  • 2022년
• Dropbox 대신 무엇을 사용할 수 있나요?

Dropbox 보안 사고: 타임라인

Dropbox는 2008년에 시작되었으며 2011년부터는 거의 매년 어떤 형태로든 보안 사고를 겪었으나, 최근에는 그 속도가 다소 느려졌습니다. 그래도 귀하의 파일을 신뢰하고 맡길 클라우드 저장공간 서비스를 결정할 때는 그들의 과거 기록을 살펴보는 것이 중요합니다.

2011년: Dropbox 비밀번호 버그

Dropbox의 첫 번째 스캔들은 설립 3년 만인 2011년 6월에 발생했습니다. 버그 때문에 약 4시간 동안 Dropbox 시스템은 어떤 비밀번호든 수용(새 창)했으며, 이는 사용자 이름이나 이메일만 알면 누구나 어떤 계정이든 접근할 수 있음을 의미했습니다. 이는 안전한 사용자 이름을 사용해야 하는 좋은 사례입니다.

그럼에도 불구하고, 문제를 통지받은 후 실제로 수정하는 데 Dropbox 팀이 소요한 시간은 5분에 불과했다는 점은 주목할 만합니다. 하지만 그 4시간 동안 모든 Dropbox 계정은 활짝 열려 있었습니다. 그 시간 동안 어떤 공격자도 취약점을 발견하지 못한 것은 순전히 운이 좋았기 때문입니다.

2012년: Dropbox 보안 사고, 6,800만 개의 비밀번호 유출

2012년 7월, Dropbox는 일부 사용자 이름과 비밀번호가 다른 사이트에서 도난당한 뒤 Dropbox에 접근하는 데 사용되었다고 보고(새 창)했습니다(각 사이트별로 강력한 비밀번호를 생성해야 하는 좋은 이유입니다). Dropbox는 무단 접근을 더 어렵게 만들기 위해 보안 조치를 배포하여 대응했습니다.

여기까지는 괜찮았으나, 2016년에 Dropbox가 전체 사실을 밝히지 않았다(새 창)는 점이 드러났습니다. 2012년에 해킹당한 대상 중에는 LinkedIn에서도 회사 비밀번호를 동일하게 사용했던 Dropbox 직원도 포함되어 있었습니다. 이로 인해 공격자가 Dropbox 시스템에 접근할 수 있게 되었습니다.

2016년, 최초 보안 사고 발생 4년 만에 해당 소식이 전해지면서 약 6,800만 명의 사용자가 유출 피해를 입었다는 사실이 빠르게 밝혀졌습니다. 이는 클라우드 저장공간 역사상 최대 규모의 해킹이었으며, 인터넷 역사 전체를 통틀어도 손꼽히는 큰 사건이었습니다. 게다가 대기업인 Dropbox가 입은 피해의 전체 규모를 인정하는 데 4년이나 걸렸다는 점은 커다란 스캔들이었습니다.

2013년: PRISM 의혹

2013년 에드워드 스노든이 The Guardian지를 통해 미국 정부가 PRISM 프로그램을 통해 전 세계 사람들을 감시하고 있다고 폭로했을 때, 거론된 이름 중 하나(새 창)가 바로 Dropbox였습니다. 스노든에 따르면, Dropbox는 미국 당국과 적극적으로 협력하고자 했으며, 그를 가리켜 “PRISM 파트너 지망생(새 창)”이라고 불렀습니다.

Dropbox가 실제로 PRISM 프로젝트에 참여했는지는 불분명하지만(회사는 항상 이를 부인해 왔습니다), 어떤 클라우드 저장공간 서비스가 대규모 감시 음모에 열성적으로 참여하려 했다고 묘사되었다는 사실만으로도 사람들은 재고해 보아야 할 것입니다.

2017년: 부활한 데이터

2017년 1월, 일부 Dropbox 사용자들은 매우 이상한 일을 겪었습니다. 수년 전에 삭제했던 파일들이 갑자기 Dropbox 계정에 다시 나타난 것입니다. 조사 결과, Dropbox는 파일과 폴더가 영구적으로 삭제되지 않도록 하는 버그가 코드에 잠입해 있었다는 사실을 발견했습니다(새 창).

처음에는 무해해 보일 수 있지만, 우리가 파일을 삭제하는 데는 보통 이유가 있으며, 파기된 후에도 민감한 데이터가 유령처럼 남아 있었을 수 있다는 사실은 매우 심각한 문제입니다. 이 역시 Dropbox와 같은 회사에 기대하는 모습은 아닙니다.

2018년: 동의 없이 공유된 데이터

2018년 7월, 수천 명의 협업 노력을 데이터 포인트로 활용해 팀이 어떻게 협력할 수 있는지 결정하는 흥미로운 하버드 연구(새 창)가 발표되었습니다. 매우 독창적인 발견을 담은 흥미로운 내용이었습니다. 하지만 사용된 데이터는 Dropbox의 데이터였으며, 관련자들은 이 데이터가 이러한 방식으로 사용될 수 있는지에 대해 질문을 받은 적이 없습니다(새 창).

연구원들에게 보내기 전 데이터가 익명화되었다 하더라도(기사의 첫 버전에서는 명확히 밝혀지지 않았던 사실입니다), 귀하가 데이터를 믿고 맡긴 서비스가 귀하의 동의 없이 익명성 여부와 상관없이 제3자와 데이터를 공유했다는 사실은 여전히 불쾌함을 주기에 충분합니다.

게다가 디지털 서류에서 이름이 제거되더라도 누군가의 신원을 재구성할 수 있는 방법이 있기 때문에, 익명 데이터가 완전히 익명인 것은 아니다라고 주장할 수도 있습니다.

2022년: 피싱 공격의 재발

가장 최근의 Dropbox 스캔들은 2022년 11월에 발생했으며, 이때 다시 한번 피싱 공격 중에 Dropbox 직원의 자격 증명을 도난당했습니다(새 창).

이번에 공격자들은 개발자들이 코드를 저장하는 사이트인 GitHub를 사칭했습니다. 이 사건으로 절도범들은 Dropbox 직원뿐만 아니라 고객의 이메일과 비밀번호까지 탈취했습니다. 또한 이 공격을 감지한 것은 Dropbox가 아니라 GitHub 자체였다는 점도 주목해야 합니다.

이에 대해 Dropbox는 고객 파일이 위험에 처한 적은 없었으며, 노출될 경우 전체 시스템을 위협할 수 있는 Dropbox의 핵심 모듈 역시 안전했다고 밝혔습니다. 그들에게는 다행스러운 일이지만, 이메일이 사이버 범죄자들에게 이용된 사람들에게는 전혀 위로가 되지 않는 말입니다.

Dropbox 대신 무엇을 사용할 수 있나요?

위의 타임라인이 보여주듯이, Dropbox는 현재보다 훨씬 더 잘할 수 있었고, 그랬어야 했습니다. LastPass 수준으로 나쁜 것은 아닐지라도, 여러 차례 실수를 범했습니다. 종종 사건의 범위와 심각성이 Dropbox에 의해 보고되지 않았는데, 이는 인식이나 투명성이 부족함을 시사합니다. 그리고 대부분의 보안 사고는 미흡한 보안 관행으로 인해 발생했습니다.

특히 Dropbox의 종단 간 암호화 부족은 우려스러운 부분입니다. 클라우드 저장공간 서비스가 종단 간 암호화로 파일을 보호한다는 것은, 데이터가 클라우드로 전송되기 전에 귀하의 기기에서 암호화됨을 의미합니다. 이후 클라우드 서버에서 보안 사고가 발생하더라도 어떠한 데이터도 노출되지 않습니다. 이에 대한 자세한 내용과 그 이상의 정보는 Dropbox 보안에 관한 문서에서 확인할 수 있습니다.

저희는 기존 주요 클라우드 저장공간 제공업체들의 이러한 결함을 염두에 두고, 최상의 보안과 쾌적한 사용자 경험을 동시에 제공하는 안전한 종단 간 암호화 대안인 Proton Drive를 개발했습니다. 설령 저희가 귀하의 데이터를 보고 싶어 한다 하더라도(실제로는 저희의 비즈니스 모델이 귀하의 개인정보를 보호하는 것이기에 그렇지 않습니다), 저희는 기술적으로 데이터에 접근할 수 없습니다.

개인정보 보호에 대한 이러한 약속은 Proton이 설립된 이래 항상 핵심 가치였으며, 지지자 여러분 덕분에 외부 자금 지원 없이도 이를 유지할 수 있었습니다. 따라서 저희의 유일한 의무는 귀하, 즉 저희 커뮤니티에 있습니다.

안전하고 사적인 클라우드 저장공간 옵션을 사용하는 것이 매력적으로 느껴진다면, Proton Drive에 무료로 가입하여 개인정보가 보호되는 웹을 직접 경험해 보세요.