에버노트 강제리셋, 옳은 판단이었나?

 이제 사람들에게 웹서비스를 이용하는 것은 '일상'입니다. 하지만 이런 일상과 함꼐 빈번히 맞닥들이는 것이 해킹입니다. 한주만에 몇번이나 내가 사용하는 서비스가 해킹당했다는 뉴스를 접하거나 어떻게 대응했다거나 하는 뉴스도 일상이 되버린 것입니다. 가장 잘나가는 웹노트 서비스인 에버노트 또한 이 해킹의 피해자가 되었습니다.

---

에버노트 강제리셋, 옳은 판단이었나?

 필자는 에버노트 사용자입니다. 거의 대부분의 아이디어나 정보의 정리를 에버노트로 하고 있으며, 이를 통해 일을 하는 것에 매우 큰 만족을 느끼고 있습니다. 그러나 아침에 일어나 접속을 하니 '비밀번호가 변경되었을 수 있으니 새 비밀번호를 입력하라'는 메세지가 뜨는 것입니다. 이게 무슨일인가 생각했지만 금방 알 수 있었습니다. 에버노트는 외부로 부터 공격을 받았으며, 이로 인해 모든 계정의 비밀번호를 강제로 리셋하는 결정을 내린 것입니다.

---

강제리셋

보안에 관한 중요 공지: Evernote 비밀번호 변경 요청

Evernote 운영 보안팀은 Evernote 네트워크 상에서 Evernote 서비스의 보안영역으로 접근하려는 시도를 감지하여 이를 차단했습니다. 여러분의 데이터를 보호하기 위한 예방책으로서, 저희는 사용자 여러분의 비밀번호 초기화를 결정했습니다. 아래 자세한 사항과 지침을 읽어주시길 바랍니다.

저희 보안팀의 보안조사 결과, 사용자 여러분이 Evernote에 저장한 어떤 내용도 접근 또는 변경, 손실된 흔적은 없었습니다. 또한 Evernote Premium 혹은 Evernote Business 고객의 결제정보에 접근한 흔적 역시 발견되지 않았습니다.

그러나 조사결과에 의하면, Evernote 사용자 정보 즉, Evernote 계정 및 암호화된 비밀번호와 관련된 사용자 아이디와 이메일 주소에 접근 가능성을 확인했습니다. 비밀번호 정보에 접근했다 하더라도 Evernote에 저장된 모든 비밀번호는 단방향 암호화로 보호되어 있기 때문에 사용자 계정에 침입할 수는 없습니다. (기술적으로는, hashed와 salted되어 있다고 합니다.)

사용자의 비밀번호는 암호화되어 있기 때문에 안전하지만, 사용자 개인 데이터의 보안을 더욱 철저하게 보장하기 위한 조치를 취하기로 했습니다. 암호변경 페이지에서 여러분이 Evernote 계정 비밀번호를 변경하도록 요청드립니다. Evernote.com 홈페이지에서 직접 로그인하여 새로운 비밀번호를 설정하십시오.

로그인하면 새로운 비밀번호를 입력하도록 요구됩니다. Evernote.com 홈페이지에서 비밀번호를 변경하게 되면 여러분이 사용하고 있는 모든 Evernote 애플리케이션에서도 새로운 비밀번호를 입력해야 합니다.

최근 다른 많은 서비스에서도 이와 유사한 일들이 점점 잦아지고 있습니다. 저희는 여러분의 데이터를 안전하게 보호하는데 강한 책임감을 갖고 있으며, 이를 위해 서비스 인프라의 보안을 지속적으로 강화하는데 만전을 기하고 있습니다.

Evernote를 포함, 다른 인터넷 사이트에서 여러분의 데이터를 보호하기 위한 중요한 보안 단계입니다.

- 간단한 단어를 비밀번호로 사용하는 것은 피해주세요.

- 같은 비밀번호를 여러 인터넷 서비스에 사용하는 것도 피해주세요.

- 이메일로 발송된 “비밀번호 변경” 요청을 클릭하지 않습니다. 대신 해당 서비스에 직접 들어가서 비밀번호를 변경하십시오.

본 안내문을 읽어주셔서 진심으로 감사합니다. 사용자 여러분께 비밀번호를 변경해야 하는 불편함을 드려 죄송합니다. 이번 비밀번호 재설정으로 통해 Evernote 사용이 안전하게 될 것을 믿습니다. 문의사항이 있으면 언제든지 Evernote 고객지원센터로 연락주십시오.

Evernote 팀 올림

 위는 에버노트가 공식적으로 내놓은 이번 사건에 대한 공지 전문입니다.

 에버노트는 의심스러운 공격을 감지한 뒤 비밀번호를 리셋합니다. 해킹으로 이름, 이메일, 암호화 된 비밀번호가 유출되었으며, 비밀번호가 암호화 되어있긴 하지만 예비 차원에서 리셋이라는 대응을 한 것입니다. 여기서 누가 공격한 것인지, 어떤 방법으로 침투했는지는 중요하지 않습니다.

 필자가 얘기하고픈 것은 바로 비밀번호의 '강제리셋'입니다. 우리는 이런 빈번하게 발생하는 해킹 사건에 대해 '비밀번호를 변경하라'는 메세지를 자주 접하게 됩니다. 에버노트는 그런 차원을 벗어나 강제적으로 대응합니다. 이때문에 일부 사용자들은 '사용자들에게 비밀번호를 변경할 유예시간을 주지 않고 자기들 마음대로 리셋한 것이 제대로 된 것이냐'라거나 '해킹 당한 것은 자기 잘못인데 이를 사용자에게 떠넘기려 하는거냐'고 따졌습니다.

 분명 에버노트의 결정은 사용자의 동의를 구하지 않은 강제적인 것입니다. 이것은 고객을 기만하는 옳지 않은 결정이었던 것일까요?

---

보안대책

 먼저 결론부터 말하자면 에버노트의 강제리셋은 정말 훌륭한 보안대책이었습니다.

 암호화 된 비밀번호라고는 하나 이로 인한 2차 피해 우려가 사라진 것은 아닙니다. 사용자들은 자신들의 불편에 대해서 이야기하고 있지만, 정작 에버노트의 선택은 고객을 위한 것입니다. 만약 에버노트에서 사용하는 것과 똑같은 비밀번호를 다른 곳에서 사용한다고 해봅시다. 그것만으로 2차 피해를 유발하기에 딱 좋은 것입니다. 에버노트의 공지 마지막 보안 단계 부분은 에버노트 뿐 아니라 다른 서비스들을 포함하는 것으로 에버노트로 인한 이메일 유출 등이 다른 서비스의 비밀번호를 바꾸기 위한 수단으로 작용할 수 있으며, 이 자체를 완전히 없애버리기 위해 에버노트를 강제리셋을 결정하게 된 것입니다.

 에버노트에 가입은 했지만 사용하지 않는 사용자들도 있을테니 그들까지 배려한 것입니다.

 또한 공격에 대한 구체적인 정황과 리셋에 대한 이유를 분명하게 밝힌 것에 있어서 최근 해킹 문제로 곤욕을 치뤘던 회사들과는 분명 다른 대응이었습니다. 오히려 사용자도 보안 문제에 함께 참여해야 된다는 보안 정론에 근접하도록 한 대응은 마땅히 칭찬할만 합니다.

 에버노트의 이런 강제리셋은 단기간에 결정 된 사안은 아니라고 생각합니다. 외부의 접근을 감지했을 때 당장 이런 결정을 내릴 경황이 있으리라고는 생각하지 않기 때문입니다. 분명 오래전부터 보안 문제에 대응하기 위한 대책을 마련해왔을 것이며 이 강제리셋 또한 그 중 하나로신중하게 내린 결정이었을 것이라 필자는 생각합니다.

 이는 보안 문제로 인해 골머리를 앓고 있는 많은 업체들에게 귀감이 될 것이며, 비밀번호를 변경하라는 메세지를 전달하는 것보다 확실하고 우수한 방법으로 사용될지 모릅니다.

---

에버노트

 에버노트의 이번 강제리셋은 신속했으며 마지막까지 피해의 단말을 제공하지 않기 위해 결정한 것입니다. 이것이 비밀번호를 한번 바꾸어야 하는 불편함을 사용자들에게 줬을진 모르지만, 그 한번이 다른 여러번의 2차 피해를 방지 할 수 있는 것이 된다면 사용자 입장에서도 반길만한 것이 되어야 하지 않을까 생각합니다.

 다만, 아쉬운 점이 있다면 이에 대한 통보를 자사의 블로그를 통해서만 했다는 것으로, 메일을 한통쯤은 보내주는 것이 어땠을까 싶습니다. 물론 네이티브 앱들의 신속한 업데이트를 통해 보안에 문제가 있었음을 알리긴 했지만, 이것을 많은 이들이 전달 받기에는 상당히 오랜 시간이 소요될 것이며 빠르게 전달하고 싶었다면 메일을 사용하는 방법을 취하지 않은 것에 대해서는 살짝 미흡하지 않았나하는 생각을 해봅니다.

 필자는 완전히 새로운 비밀번호를 설정했습니다. 그리고 다른 많은 에버노트 사용자들이 비밀번호를 변경했을 것이고, 현재 진행 중이기도 할 것입니다. 하지만 이런 강제성이 조금은 보안에 둔감한 사용자들에게 '주의'라고 하는 메세지를 전달해줄 수 있다고 한다면 1~2분 밖에 걸리지 않는 비밀번호 재설정은 아무것도 아니며, 에버노트의 이번 강제리셋 결정은 옳은 것이었다고 봅니다.

- 추가 : 제보에 따르면 에버노트가 이 문제에 대한 메일을 발송하긴 했다고 합니다. 다만, 아직 메일을 받지 못한 사용자가 많으며, 이로 인한 혼선이 빚어지고 있는 것 같습니다.