파일 외부 공유하는 '서명된 URL(Signed URL)' 방식, 사용자 주의 필요

이문규 munch@itdonga.com

[IT동아]

구글 드라이브나 드롭박스, 네이버 마이클라우드 같은 클라우드 저장 서비스를 사용하다 보면, 또는 MS 원노트나 구글닥스, 에버노트, 노션 같은 클라우드 노트/메모 서비스를 사용하다 보면, 자료나 파일 등을 일시적으로 외부에 공유할 수 있는 기능이 있다.

주로 클라우드에 저장된 파일의 링크(URL) 주소를 생성해 이를 다른 사람에게 전달하면, 그는 이 링크 주소를 클릭해 해당 파일을 확인하거나 내려받을 수 있다. 서비스에 따라 보안을 위해, 이 링크에 다운로드 가능 시간제한을 걸어두거나, 특정 계정/암호를 입력해야 확인 또는 내려받을 수 있게 조치한다. 인터넷 주소인 URL로 전달하는 이상, 전달 당사자 외에 다른 사람이 어떠한 방법으로든 접근할 수 있기 때문이다. 요즘처럼 재택/원격근무가 활발하게 도입되는 상황에서는 URL을 통한 파일 공유에 특히 주의해야 한다.

구글 드라이브의 외부 공유 링크 생성
구글 드라이브의 외부 공유 링크 생성

일례로, 글로벌 노트 서비스인 '노션'의 경우, 노션에 첨부된 파일을 URL 주소로 외부 공유하면, 전달 당사자는 물론이고 다른 사용자도 해당 URL 주소만 알아내면 파일을 내려받을 수 있다. 노션의 첨부파일 공유에는 '24시간 제한'만 제공될 뿐, 계정/암호 입력 등의 추가 보안 옵션은 제공되지 않기 때문이다.

물론 24시간이 지나면 파일을 보거나 내려받을 수 없다. 다만 24시간 내에는 URL 주소를 알면 누구라도 접근할 수 있으니 보안에 문제가 생길 수 있다는 지적이 지난 2018년부터 재기됐다. 더구나 URL 주소로 공유한 첨부파일을 소유자가 삭제하더라도, URL 주소에 걸려 있는 파일은 삭제되지 않고 그대로 24시간 유지된다.

노션의 외부 공유 설정
노션의 외부 공유 설정

가령, A사용자가 B사용자에게 첨부파일 URL 주소를 (메일이나 메신저 등으로) 전달했고, B사용자는 URL 주소를 클릭해 웹브라우저로 해당 파일을 내려받았다. 두 사용자 모두 자신의 PC를 사용했다면 별 문제 없겠지만, 만약 B사용자가 PC방 같은 공용PC를 사용했다면, 해당 URL 주소 이력이 남아 다른 사용자가 마음만 먹으면 이 파일에 접근할 수도 있다. 이렇게 제3자가 파일에 접근할 수 있다는 걸 A사용자가 알더라도, 24시간 이내에는 파일 삭제 등의 조치가 반영되지 않는다.

이 같은 '서명된 URL(Signed URL)' 공유 방식은, A, B사용자가 보안 의식을 갖고 주의 깊게 대응한다면, 파일 유출 가능성을 좀더 낮출 수 있다는 점에서 사용자들간이 의견이 분분하다. 즉 '서명된 URL 방식의 기술적 특성과 한계가 원래 그러니 사용자가 주의해야 한다'는 의견과, '시간 제한 외에 계정/암호 제안 등 추가 보안 옵션을 제공해야 된다'는 의견으로 나뉜다.

이에 관해 노션 측은 2018년부터 '24시간 제한' 옵션만을 유지하면서, 24시간이 지나면 URL이 삭제되니 그전까지는 사용자가 주의를 기울이면 큰 문제는 발생하지 않을 것이라는 입장을 고수하고 있다. 참고로, 노션과 유사한 다른 서비스의 경우, 시간 제한 외에도 계정/권한 제한도 제공된다.

노션 사용자들은 보안 이슈와 관련해 노션 측의 적극적인 대응을 원하고 있다(출처=노션)
노션 사용자들은 보안 이슈와 관련해 노션 측의 적극적인 대응을 원하고 있다(출처=노션)

아무리 보안 기능이 강화된 서비스라도 사용자가 부주의하면 보안 문제는 얼마든지 발생할 수 있다. 시간 제한과 계정/권한 제한이 걸린 서명된 URL 방식이라면, 이것만 믿고 대단히 중요한 파일을 서슴없이 공유하다가 더 큰 문제가 발생할 수도 있다. 중요 파일의 외부 공유라면 어떤 보안 옵션이 적용되든 사용자가 각별히 주의해야 하는 게 지당하다. 이런 측면에서 볼 때 노션의 서명된 URL 제공 정책은, '보안성이 높은 공유 방식은 아니니 파일 공유에 신경 써야 한다'는 내용을 전제하는 것이라 유추할 수 있다.

그런데 여기서 사용자들이 지적하는 건, 그러한 전제를 사용자가 얼마나 인지하고 있느냐, 또는 사용자가 인지하도록 얼마나 '적극적으로' 알리고 있느냐는 점이다. 서명된 URL 방식으로 파일 공유 전, 보안 관련 알림이나 경고 등을 띄워 사용자에게 확실히 전달해야 한다고 입을 모은다. '서명된 URL이 원래 그런 것'이라면, 가입할 때나 사용할 때 적극적으로 알려야 사용자가 좀더 주의를 기울일 것이라는 주장은 타당하다. 더구나 전 세계 많은 사용자가 업무/협업 도구로 활용하고 있는 만큼, 그들이 납득, 인정할 수 있는 명확하고 적극적인 대응을 해야 옳다.

노션은 2016년부터 서비스된 글로벌 메모/노트 서비스로, 전 세계 약 400만 명이 사용하고 있다. 작년 하반기에야 한국어 버전이 정식 출시됐는데, 국내 정식 출시 이전부터 적지 않은 한국 사용자가 사용하고 있었다. 노션 측도 한국 시장이 이전에 비해 250% 이상 성장했다고 기자간담회서 발표할 정도니, 이후로는 한국 사용자의 목소리에 관심을 갖고 적극적으로 대응해주길 기대한다.

내부든 외부든, 온라인이든 오프라인이든, 어느 수준의 보안 옵션을 적용했든, 중요 파일/데이터를 공유할 때는 지나치다 싶을 만큼 신중해야 한다.

글 / IT동아 이문규 (munch@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.