클라우드 파일 스토리지 서비스인 드롭박스가 지난 일요일 인증 오류로 어떤 계정, 아무 비밀번호로나 접속 가능했던 것으로 밝혀졌다.
이같은 사실은 21일(현지시각) 드롭박스의 공동 창업자이자 최고기술책임자(CTO)인 아라시 페르도시가 자신의 블로그에 올린 포스트에서 공개되었다.
이 포스트에 따르면 지난 일요일 약 4시간 동안 드롭박스의 모든 파일(문서)들이 전체 공개나 다름없는 상황이었던 것으로 보인다. 페르도시에 따르면 드롭박스 인증체계의 소프트웨어 버그로 인해 계정, 비밀번호를 아무것이나 입력해도 로그인할 수 있었다.
따라서 남의 아이디에 아무 키나 입력해도 로그인 가능한 상태여서 파일들도 외부 공개될 수 있는 상황이었다. 페르도시는 이 시간 동안 극히 일부의 사용자가 접속했으며 예방 조치의 일환으로 모든 로그인된 세션을 종료시켰다고 밝혔다.
드롭박스는 아직 보고된 사용자 피해는 없으나 철저히 조사 중이라고 전했다. 또한 이번 사고에 대해 전 사용자에게 자세히 공개할 예정이라고 밝혔다. 현재 드롭박스 서비스를 이용하고 있는 사용자는 약 2500만명이다.
이번 사고는 특히 지난달 보안 연구원인 크리스토퍼 소그호이안이 드롭박스의 보안 취약점을 공개하며 FTC에 고소장을 제출한 이후 일어난 것이어서 주목된다.
소호이안은 드롭박스의 암호화 키가 최고 수준의 보안 정책을 따르지 않고 있으며 드롭박스 직원들이 사용자의 암호화되지 않은 데이터에 접근할 수 있다고 주장했다.
한편 이번 사고에 더해 또다른 클라우드 스토리지 서비스인 왈라(Wuala)는 “드롭박스와 같은 사고가 터지더라도 사용자의 파일이 암호화되어 있을 경우에는 피해를 막을 수 있다”며 “클라우드 스토리지 서비스에 파일을 전송하기 전에 꼭 문서를 암호화 할 것”을 당부했다.
박현선기자 hspark@etenws.co.kr
▶기사원문
http://www.pcmag.com/article2/0,2817,2387343,00.asp
http://techcrunch.com/2011/06/20/dropbox-security-bug-made-passwords-optional-for-four-hours/
http://www.eweek.com/c/a/Security/Dropbox-Accidentally-Turned-Off-Passwords-on-File-Storage-Service-655206/
http://www.informationweek.com/news/security/vulnerabilities/231000111