[박춘식 교수의 보안이야기] 클라우드 기반의 스토리지 서비스 Dropbox를 제공하는 미국 Dropbox가 골치 아픈 상황에 직면하고 있다. Dropbox가 허위설명을 해 고객을 속여서 Dropbox가 보존하는 데이터를 실제 이상으로 안전하다고 생각하게 함으로써 Dropbox사에 시정 명령을 요청하는 신청서가 미국연방거래위원회(FTC)에 제기되었다.(사진출처. www.flickr.com / by june29)
 
Dropbox가 고의로 고객을 속인 것은 정책 변경을 명확하게 전하지 않은 것 뿐인지는 정확하지 않지만 신청서에는 온라인·데이터·시큐리티에 관한 불안을 나타내고 있다. 이 신청서에서 문제가 된 것은 Dropbox의 서비스 규약이다.
 
이전 서비스 규약에서는 “Dropbox의 서버에 보존되고 있는 파일은 모두 AES-256 방식으로 암호화되어 있어 이용자의 계정이나 비밀번호 없이는 접근할 수 없다”라고 되어있었다. 그러나 Dropbox는 빈번하게 서비스 규약을 변경하면서 고객 데이터의 안전성을 설명하는 문구도 계속해서 변화하고 있다.
 
그래서 현재, Dropbox의 서비스 규약에는 다음과 같은 취지의 내용이 포함되어 있다. “법 집행 당국이 명령하는 경우, Dropbox는 이용자의 암호화 데이터에 접근하여 내용을 볼 수 있다. 그러나 종업원은 지위를 악용해서 고객 데이터를 보는 것이 금지되어 있다.”　
 
암호화 기술의 전문 기업인 미국 Vormetric에 의하면, 파일 암호화와 복호화에 사용되는 키가 Dropbox가 갖고 있으며 각 이용자의 기계에는 보존되어 있지 않는 점이 중요하다고 말하고 있다. 이러한 점으로 예를 들면 Dropbox의 정책으로 종업원이 파일을 보는 것이 금지되어 있을지라도, Dropbox가 보유하고 있는 키를 종업원이 불법으로 사용해서 고객 데이터를 볼 우려도 있다.
 
Dropbox와 경쟁중인 미국 Box.net의 공동 창업자인 Aaron Levie는 “의심하는 것은 처벌하지 않은다”라는 자세를 보이고 있다. “Dropbox는 이용자의 이익을 제1로 고려하고 있지만 대외적인 메시지의 표현에는 조금 지나침은 없을까. 그들은 수정할 것이다.”
 
또한, Aaron Levie는 데이터 시큐리티의 중요성도 강조했다. 그러나 일반적으로 어떠한 클라우드 서비스일지라도 시큐리티는 극히 중요하다는 의식을 하지 않으면 안 된다. 기업으로써는 자사가 이용하는 클라우드 제공자는 완전히 신뢰할 수 있어야 하며 안심하지 않으면 안 된다. 클라우드를 이용하려는 기업은 클라우드 제공자를 검토할 경우에 SAS 70 Type II 인증이나 데이터 전송 및 보관시의 암호화, 광범위한 사용자 시큐리티 및 IT 시큐리티 대책 등을 염두에 두지 않으면 안 된다.
 
Dropbox는 2,500만명 이상의 이용자를 갖고 있는 인기있는 온라인 데이터 스토리지 서비스다. 나는 Aaron Levie와 비슷한 견해로 Dropbox는 몰래 고객을 속이려거나 악의를 숨기고 있다고 생각하지 않고 있다.
 
Dropbox는 서비스나 기능을 조정하면서 성능을 개선하고 문제에 대처하려는 것이지 이 서비스 규약의 빈번한 개정의 뒷면에 숨기는 것은 없다고 생각하고 있다. 그러나 종업원은 반드시 정책을 준수하리라고는 생각하지 않는다.
 
Dropbox 이용자가 자신의 데이터는 최고로 안전하다고 생각하고 있을지도 모르기 때문에 Dropbox 직원이 실제로 자유롭게 그것을 보는 것이 가능하다는 것은 결코 사소로운 문제는 아니다. [글. 박춘식 서울여자대학교 교수]