구글 독스, 또 다시 보안 결함 문제로 “웅성웅성”

가 +
가 -

한 보안 전문가가 구글 독스(Google Docs)에 개인 데이터가 노출될 수 있는 결함이 있다고 주장한 데 반해, 구글 측은 보안 위험성이 없는 문제라고 이런 주장을 반박했다.

구글 독스는 온라인 오피스 프로그램으로, 사용자가 일반 문서나 스프레드시트 문서를 생성, 공유할 수 있는 것이 특징이다. 구글 독스는 일반 사용자에게는 무료로 제공되며, 기업용으로 기능이 추가된 엔터프라이즈 버전인 구글 앱스가 별도로 있다.

기업 애플리케이션 컨설팅 전문업체인 블루왁스(BlueWax)의 설립자인 에이드 바카는 문서가 삭제되거나 공유 권한이 무효화된 이후에도 관련 이미지에 액세스할 수 있는 결함이 있다고 지적했다. 누군가 이미지에 액세스할 수 있는 정확한 URL을 가지고 있다면, 구글 독스는 공유 컨트롤을 통해 이미지를 보호하지 않는다는 것.

바카는 “만약 사용자가 임베디드 이미지를 포함한 문서를 다른 사람과 공유했다면, 이 사람은 항상 이들 이미지를 볼 수 있다는 것”이라며, “보통 보호된 문서에 이미지를 포함시키면, 그 이미지도 같이 보호될 것이라고 생각하기 마련이다. 하지만 구글 독스는 그렇지 못하다”고 설명했다.

두 번째 결함은 사용자가 수정된 이미지의 모든 버전을 볼 수 있다는 것이다. 예를 들어 사용자가 이미지의 일부를 편집한 다음에 공유했다고 해도, 이 이미지에 액세스할 수 있는 사용자라면 URL을 수정해 편집하기 전의 이미지도 볼 수 있다는 것.

대표적인 것이 도표인데, 도표는 보통 .png 파일로 저장된다. 구성도가 수정되면 구글 독스가 새로운 .png 파일을 생성하면서 이전 파일도 URL을 그대로 가지고 보존된다는 것. 따라서 URL에서 숫자 몇 개만 바꾸면, 이전 그림도 볼 수 있게 된다.

바카는 마지막으로 한 번 다른 사람의 구글 독스에 액세스할 수 있었던 사람이 권한이 변경된 뒤에도 계속 액세스할 수 있다고 지적했다. 하지만 자세한 방법은 밝히지 않았다.

>> 구글의 보안 믿을 수 없다” 사회단체가 FTC에 조사 요청

바카는 이런 문제를 지난 3월 18일 구글에 알려줬으며, 구글의 보안팀과도 접촉했다고 밝혔다. 구글측은 이 문제에 대해 조사를 진행하고 있지만, “구글 독스에 심각한 보안 문제가 있다고 생각하지 않는다”는 입장을 밝혔다.

만약 바카의 발견이 사실이라면, 이는 구글의 클라우드 기반 애플리케이션의 보안에 대한 전면적인 재검토로 이어질 수 있는 상황. 지난 주 EPIC(Electronic Privacy Information Center)는 연방통상위원회에 개인의 프라이버시 정보를 수집하는 구글의 서비스를 중지하고 이에 대해 조사를 실시할 것을 청원하기도 했다.

또한 3월 초에는 구글 독스가 적절한 권한이 없는 사용자에게 문서가 노출되는 문제가 발견되기도 했다. 이 문제도 이전에 문서를 공유한 적이 있는 사용자에게 관련 권한이 변경된 뒤에도 문서가 계속 노출되는 문제였다. 구글이 이런 문서가 전체의 0.05%에 불과하다고 밝혔다.

원문보기 :www.idg.co.kr/newscenter/common/newCommonView.do?newsId=54717

네티즌의견(총 0개)