인기 협업툴 ‘노션’의 24시간 Signed URL 첨부파일 논란 커지나

2021-02-18 14:12
  • 카카오톡
  • 네이버 블로그
  • url
보안문제다! 측, 첨부파일 URL 노출되면 사용자가 대응할 방법 없어... 24시간 지나기만 기다려야
원래 그런거야! 측, Signed URL이 원래 그런 용도로 쓰려고 만든 것... 사용자가 조심해야


[보안뉴스 원병철 기자] 언택트 환경의 대두로 재택근무를 선택하는 기업들이 늘면서 재택근무를 위한 다양한 솔루션이 시장에 선보이고 있다. 특히, 곳곳에 흩어져 있는 동료들끼리 소통하면서 업무를 볼 수 있는 ‘협업툴’은 높은 인기를 끌고 있다. 예를 들면 화상회의 솔루션 ‘줌(ZOOM)’은 코로나19 이후 주가가 몇 배 상승했으며, 기업용 메신저로 시작한 슬랙은 코로나 이후 매출액이 100% 증가했다. 또한, IBM과 나이키 등 글로벌 기업이 사용하는 협업툴로 잘 알려진 노션(Notion)도 이러한 성장세에 힘입어 지난 2020년 8월 한국어버전 공개와 함께 한국 시장 진출을 공식 선언했다.


[이미지=노션 홈페이지 캡처]

문제는 갑작스레 시작된 재택근무에 사용자나 협업툴 기업들 모두 예상치 못한 이슈들이 등장했다는 것. 실제로 줌은 ‘줌 바밍(Zoom Bombing)’ 등 보안이슈로 인해 한동안 어려움을 겪었고, 결국 2020년 10월 종단간 암호화 기술을 적용하는 등 보안을 강화하겠다고 밝혔다.

최근 한 IT 커뮤니티에서 논란이 된 노션의 ‘첨부파일’ 이슈도 이러한 문제 중 하나다. 커뮤니티에 이슈를 제기한 사용자의 주장은 이렇다. ①노션에 파일을 첨부하고, 해당 파일을 클릭하면 웹 브라우저가 뜨면서 다운로드 된다. ②다운로드할 때마다 웹브라우저 방문내역과 다운로드 내역에 다운로드 링크가 남는다. ③내가 업로드한 원본파일을 노션에서 삭제해도, 실제로 원본파일은 다른 곳에 저장되어 있기 때문에 다운로드 링크만 있으면 다운로드 할 수 있다. ④노션에서 다운로드 링크의 유효시간을 24시간으로 설정했기 때문에 파일을 올린 본인이 원해도 24시간은 삭제가 불가능하다. ⑤이 때문에 다운로드 링크가 유출된 사실을 뒤늦게 사용자가 알아도 24시간동안 손 쓸 방법이 없다는 것이다.

즉, 사용자가 노션에 파일을 첨부할 경우, 이 파일은 실제로 노션이 이용하는 것으로 추정되는 AWS의 클라우드(AWS S3로 추정)에 저장되는데, 이 파일에 접속할 수 있는 링크가 무조건 24시간 살아있다는 것이다. 이 때문에 사용자가 노션에서 첨부파일을 삭제해도, 실제 파일은 다른 곳에 저장되어 있기에 삭제되지 않으며, 노션의 정책상 24시간 동안은 무조건 첨부파일에 접근할 수 있다는 설명이다.

이렇게 사용자 계정(ID 및 패스워드)을 알지 못해도 URL 주소만 알면 첨부파일(리소스)에 접근해 다운로드 받을 수 있는 것을 ‘서명된 URL’, 즉 ‘Signed URL’이라고 부른다. Signed URL은 권한을 제한하고 시간을 설정할 수 있는데, 예를 들면 △접근권한 설정(로그인, 동일 도메인 등) △비밀번호 설정 △다운로드 시간 설정 △다운로드 횟수 설정 등 다양한 조건을 걸 수 있다. 노션은 이 조건들 중 오직 시간설정(24시간)만 선택한 것이다.

해당 글이 이슈가 된 이유는 이에 대한 반응이 두 가지로 갈렸기 때문이다. 우선 처음 문제를 제기한 사용자를 포함한 일부 사용자는 이를 큰 ‘보안 이슈’라고 지적했다. 예를 들면, A사용자가 B사용자에게 파일을 전달하기 위해 링크를 알려주면서 “중요한 파일이니, 꼭 너만 봐”라고 했더라도, B가 이를 C나 D에게도 전달했을 경우 A는 이를 전혀 알 수 없다는 것이다. 혹은 PC방 등 공용 PC에서 노션을 이용해 파일을 다운받았을 때, 노션을 로그아웃해도 다음 사용자가 방문내역이나 다운로드 내역을 뒤져 링크를 찾아낸다면 아무런 문제없이 다운로드 받을 수 있다.

이들은 이번 이슈가 2018년부터 제기됐지만 노션은 “24시간 접근 가능은 노션의 정책”이라며 별다른 대응이 없다고 지적했다. 실제로 한 사용자는 <보안뉴스> 제보를 통해 “이번 이슈를 직접 노션 고객센터에 전달했지만, 24시간만 사용이 가능하기 때문에 걱정하지 않아도 된다는 답변을 받았다”고 알려왔다. 아울러 제보자는 “다른 협업툴 서비스는 다운로드 권한을 제한하므로 URL만으로는 첨부파일에 접근할 수 없었다”면서, “실제 자료 유출 등 보안이슈로 문제가 커질 수도 있기 때문에 이에 대한 적극적인 대처가 아쉽다”고 말했다.

이와는 반대로 일부 사용자들은 ‘Signed URL’이 원래 그런 서비스라며 사용자가 조심해야 한다고 주장한다. URL 문제도 사용자가 조심해야 한다는 것. 대부분의 웹 서비스가 이와 유사하며, 다른 사람에게 링크를 전달하거나 공용PC에서 링크를 볼 수 있는 것도 노션의 문제가 아닌 그 상황 자체가 보안에 취약한 것이라는 설명이다. 즉, 애초에 사용자가 다른 사람에게 URL을 전달하거나, 공용PC에서 파일을 다운로드 받았다는 것 자체가 문제라는 얘기다.

하지만 이러한 상황을 ‘사용자’가 잘 모르고 있다면, 이는 문제가 될 수 있다는 주장도 있다. Signed URL이나 AWS S3 서비스가 원래 그렇다고 할지라도, 사용자가 그러한 내용을 알 수 없다면, 그래서 좀 더 적극적으로 ‘보안’에 신경쓰지 못했다면, 이는 문제의 소지가 있다는 지적이다. 기술적 문제를 모르는 사용자들은 ①노션에서 첨부파일을 삭제할 경우 파일이 없어졌다고 생각할 것이고 ②다운로드 URL이 24시간 살아 있을 것이라고 전혀 생각하지 않을 거란 얘기다. 물론 노션의 정책상 이러한 내용이 가입약관 등에 포함되어 있겠지만, 이를 일일이 확인하고 가입하는 사용자는 거의 없기 때문이다.

그렇다면 이번처럼 사용자가 문제를 제기할 경우, 공지 등 알림을 통해 사용자에게 설명해 주었다면 어땠을까? 이미 온라인에서 2018년부터 해당 이슈를 지적한 사용자가 있었는데, 당시에 사용자에게 이를 알려주었다면 이번과 같은 이슈는 발생하지 않았을지도 모른다. 아울러 최근 보안에 있어 중요한 방향성 중 하나인 제로 트러스트(Zero Trust, 아무것도 믿지 않는다는 의미로 중요한 데이터는 외부는 물론 내부에서도 접근이 어렵게 보호해야 한다는 개념)나, 애초에 보안을 고려한 설계를 강조한 ‘시큐리티 바이 디자인(Security by Design)’과 같이 처음부터 ‘보안’을 고려했다면 어땠을까 하는 아쉬움이 남는다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기