Notion 노트앱과 보안 문제

몇 년 전 에버노트 쪽에 보안관련 커다란 이슈가 나왔던 적이있다. 서비스 품질 향상을 위해 동의없이 고객들의 노트를 볼 수 있다는 조항이 신설된다는 이야기였다. 이러한 공지가 우리가 무심코 Agree를 누르는 조항에 포함될 거라는 소식이 나오자마자, 에버노트는 엄청난 비난을 받았다. 고객들의 자료를 함부로 들춰볼 수 있다는 것은 '노트 서비스'에 대한 신뢰도를 완전히 무너뜨리는 일이기 때문이다. 에버노트가 자신들이 서비스하고 있는 노트서비스에 대해 제대로 이해하고 있는 것인지도 의심스러웠다. 에버노트는 그 동안 개인일상에서 어떤 아이디어든 에버노트를 통해 정리하고, 업무적으로는 프로젝트와 할일 목록을 관리하는 Tool로 사용하는 것을 광고했기 때문에 그런 행보는 더 이해되지 않았다. 누구든 내 노트를 들여다볼 수 있는 권한이 주어져 있다면, 아무도 그 노트앱에 자신의 정보를 올리지도 않을 것이고, 치열한 경쟁상황에 있는 프로젝트의 중요한 내용들을 담지 않을 것이 분명하기 때문이다. 노트에 대한 보안이 보장됮 않는다면, 개인 사용자, 비즈니스 사용자 둘 다 놓칠 수 있는데, 그렇다면 어느 층을 타겟 고객으로 삼고 있는지 의심스러울 정도였다. 여론의 많은 질타를 받은 뒤에야, 에버노트는 해당 조항 신설을 철회했다.

얼마 전, 후기를 남긴 Notion 의 경우 아무래도 신생 노트 서비스다보니 보안적인 측면에서 많은 개선이 필요하다. 물론 정말 중요한 데이터 및 자료정리가 필요한 사용자는 많은 risk taking을 하면서까지 노션같은 새로운 서비스를 사용하지는 않을 것이다. 추측하건대, 대부분의 notion 서비스 사용자들은 개인적인 자료 정리를 목적으로 사용하는 사람들이 많기 때문에 민감한 사적인 정보들을 저장하는 사람들이 있을 거 같아 주의해야할 점을 소개하고자 한다. 6개월 넘게 notion을 사용하면서 발견한 보안 문제점 2가지.

1. Notion에 올린 첨부파일이 일반 아마존 AWS 서버에 저장된다는 점. 첨부파일을 누르면 해당 URL로 바로 커넥션이 되서 URL주소가 노출된다. 당연히 Notion에 로그인하지 않아도 해당 아마존 서버 URL만 알고 있으면 자료를 조회하거나 저장할 수 있다는 점이다. 만약 나쁜 의도를 가지고 있다면 무작위 사용자 정보를 뺴내는 방법이 있을 수도 있겠다는 두려움이 들었다.
2. 사용자가 Notion에서 첨부파일이 붙어있는 노트 페이지를 삭제하거나, 첨부파일 자체를 삭제해도 몇 시간동안 지워지지 않는다는 점. 민감한 자료이거나 confidential한 자료일 경우, 업로드 된 자체가 문제가 될 수 있다. 따라서 Notion에 업로드 후 바로 지워야할 경우도 생길 수 있을텐데, Notion에서는 아마존 서버에 바로 자료를 저장하기 때문에 그런지 바로 삭제가 안된다.. 내 Notion 페이지에서는 깔끔하게 삭제된 것으로 보여도 아마존 URL로 바로 접근하면 여전히 잘 보인다. 

사실 일반적으로 사용하는 입장에서는 이 두 가지 문제점이 중요하게 느껴지지 않을 수도 있다. 하지만, notion 자체가 어느 플랫폼에서나 쉽게 접근할 수 있는 노트 서비스라는 게 큰 장점인 서비스이기 때문에 위의 두 가지 문제점이 보완되지 않는다면 민감한 개인자료는 저장하지 않는게 좋을 것으로 보인다. 예를 들어, PC방이나 여러 사람이 사용할 수 있는 공용PC에서 Notion 웹서비스에 로그인해서 업로드 된 자료를 다운 받았던 URL기록만 남아있으면 그 다음 어떤 사용자가 와도 업로드한 자료에 접근할 수 있다는 말이 된다. 연말정산 등을 진행하면서 소득관련 자료를 Notion에 업로드 하였다가 이와 같은 문제점을 발견하고는 그냥 바로 삭제했다. 앞으로도 Notion 서비스를 지속적으로 사용하긴 하겠지만 어느정도 수준의 자료를 업로드할지는 좀 더 고민이 필요할 것 같다.