개인용 클라우드 백업 서비스로 잘 알려진 드롭박스가 최근에 있었던 해킹 사실에 대해 공식적으로 인정했다.
드롭박스는 8월1일(현지기준) 자사 공식 블로그를 통해 해커가 일반 웹사이트에서 찾아낸 사용자 계정과 비밀번호로 드롭박스에 침입했으며, 드롭박스 직원들 계정도 함께 해킹당하면서 사용자 이메일 명단을 포함한 문서가 유출됐다고 발표했다.
테크크런치를 비롯한 외신들과 드롭박스 사용자들은 지난 7월16일(현지기준) 드롭박스 이용을 위해 입력한 이메일 주소로 스팸 메일이 전송되고 있다며, 드롭박스 이메일 계정이 해킹된 게 아니냐는 의혹을 제기했다.
당시 드롭박스는 고객 개인정보와 관련한 그 어떤 불법적인 일도 하지 않았다며, 외부 전문가를 투입해 스팸이 전송된 원인을 조사중이라고 밝힌 바 있다. 조 쥐(Joe G.) 드롭박스 관계자는 사용자 게시판을 통해 "드롭박스는 지금까지 단 한 번도 사용자 계정을 무단으로 활용한 적이 없으며, 사용자 계정에 접근하려면 복잡한 보안절차를 통과해야 한다"라며 개인정보 유출 의혹에 대해 부정했다. 그러나 해커는 유출된 이메일 명단으로 스팸을 전송된 셈이다.
해킹이 사실로 드러나면서 드롭박스는 사용자들에게 피해 사실을 이메일로 공지했다. 또 블로그를 통해 각 사이트마다 서로 다른 비밀번호를 설정할 것을 당부했다. 똑같은 비밀번호로 여러 사이트를 이용하지 말란 얘기다. 드롭박스를 해킹한 해커가 타 사이트 비밀번호로 드롭박스에 로그인 했다는 점을 이유로 들면서 이번 해킹의 원인을 사용자에게도 있다고 회피한 셈이다. 물론 드롭박스는 이번 사건을 계기로 암호를 휴대전화로 전송해서 일치하는지 확인하는 방식을 도입해 보안을 강화하겠다고 밝혔다.
드롭박스는 전세계 5천만명 이상의 사용자를 확보하고 있는 서비스로 웹에 이미지, 동영상, 파일 등 콘텐츠를 저장할 수 있는 클라우드 스토리지 서비스를 제공한다. 드롭박스는 올해 들어 개인용 서비스 외에도 기업용 서비스를 출시하며 클라우드 스토리지 사업을 확대하겠다고 발표했다. 그러나 이번에 드롭박스가 해킹 사실을 공식적으로 인정하면서 자사 서비스 보안 신뢰도에 구멍이 생겼다.
이번 해킹 사고로 기업용 서비스 출시는 어려울 듯 하다. 공교롭게도 지난 6월 링크드인의 보안문제와 함께 이번 드롭박스까지 개인정보 소식까지 전해지면서 클라우드 서비스의 보안 안정성이 도마위에 올라왔기 때문이다. 일부 사용자들은 드롭박스 사용자 게시판을 통해 드롭박스를 믿을 수 없다고 성토했다. 또 다른 사용자는 드롭박스 사용자 이메일 계정을 왜 직원이 문서로 갖고 있는지 의문을 제기했다.
올 한해 구글 '드라이브', 마이크로소프트 '스카이드라이브', 아마존 '클라우드 드라이브' 등 다양한 클라우드 스토리지 서비스가 나왔다. 특히 드롭박스는 여타 클라우드 서비스와 비교했을 때 가장 활발하게 사업을 전개했다. 드롭박스가 어떻게 신뢰를 다시 회복할 지 지켜 볼 일이다.