보안

드롭박스, 4시간 동안 보안 구멍 뚫려

Jeremy Kirk  | IDG News Service 2011.06.22
온라인 스토리지 서비스인 드롭박스(Dropbox) 사용자의 비밀번호 인증이 지난 월요일 4시간 동안 2,500만 비활성화 된 사고가 있었다. 회사는 이 계정 중 1% 미만만 접속됐다고 밝혔지만, 비정상적으로 접근된 다른 계정이 없는지 조사하고 있는 중이다.
 
드롭박스 CTO인 아라시 페르도시는 월요일 태평양시로 오후 1시 54분 인증 매커니즘의 코드를 변경하는 과정에서 문제가 발생했다고 설명했다. 4시간 후에 이 문제가 발견되어 오후 5시 46분 조치를 취했다.
페르도시는 “다른 계정에 비정상적으로 접근되었는지 여부를 살펴보기 위해서 관련된 활동을 모두 조사하고 있는 중”이라면서, “다시는 일어나지 말아야 할 사고이다. 정밀 조사를 진행할 것이며 사고 방지를 위해 추가적인 보안 조치를 취할 것”이라고 말했다.
 
사고 당시 로그인을 했던 모든 사용자들은 계정의 활동 내역을 살펴보는 것이 좋으며, 문제가 있을 경우 support@dropbox.com을 통해 문의하면 된다. 
 
드롭박스의 보안 문제는 인디애나 대학교의 보안 연구원인 크리스토퍼 소고이안이 지난 5월 FTC에 드롭박스의 암호화 보안 수준이 낮다고 지적하는 서한을 보냈을 때부터 도마 위에 올랐다.
 
여러 드롭박스 사용자들은 이번 사고에 대해서 불만을 나타냈다. 토니 웹스터라는 사용자는 “이 사건에 대해서 블로그로 해명할 것이 아니라, 고객에게 일일이 이메일을 보냈어야 한다”라면서, “드롭박스는 사고가 일어난 직후 24시간 동안 이에 대한 트윗도 올리지 않았다. 누가 이 4시간 동안 내 계정에 접속을 했었는지, 필요한 조치는 무엇인지 당장 더 많은 정보가 필요하다”라고 말했다.
 
하지만 일부에서는 “드롭박스 계정에 놀라운 암이나 에이즈 치료법이 들어가 있는가? 실수가 일어났고 고쳐졌다. 최소한 이런 사고에 대해서 밝히고 설명했다 이런 회사는 많지 않다”라고 드롭박스를 옹호하는 발언도 있었다. jeremy_kirk@idg.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.