정보 보안


Dropbox는 고객과의 신뢰를 유지하기 위한 목적과 나아갈 방향, 원칙 및 기본 규칙을 기술한 정보 보안 관리 프레임워크를 마련하였습니다. 이 프레임워크는 Dropbox Business 시스템에 위험이 존재하는지 평가하고, 시스템의 보안, 기밀 유지, 무결성 및 가용성을 지속적으로 개선함으로써 달성할 수 있습니다. Dropbox는 정기적으로 보안 정책을 검토 및 업데이트하고, 보안 교육을 실시하며, 침투 테스트 등의 애플리케이션 및 네트워크 보안 테스트를 수행합니다. 또한, 보안 정책을 준수하는지 모니터링하고, 내부 및 외부에서 보안 위험이 존재하는지 평가합니다.

보안 정책

  • 정보 보안. 장치 보안, 인증 요건, 데이터 및 시스템 보안, 직원의 리소스 이용에 관한 지침 및 제한, 잠재적 문제 처리 등 사용자 및 Dropbox 정보에 관한 정책

  • 물리적 보안. Dropbox의 인원 및 시설을 보호하기 위해 안전한 환경을 유지하는 방식

  • 문제 해결. 잠재적인 보안 문제를 해결하기 위해 평가, 의사 소통 및 협조, 조사 절차 등 Dropbox에서 수립한 요건

  • 논리적 액세스. Dropbox 시스템, 사용자 정보, Dropbox 정보의 보안을 유지하기 위해 Dropbox 시스템 및 운영 환경에 대한 액세스를 제어하는 정책

  • 물리적 액세스. 직원 관리 검토, 퇴사 직원에 부여된 권한 해제 등 물리적 운영 네트워크에 대한 액세스를 제한하기 위해 Dropbox에서 수립한 절차

  • 변경 관리. 애플리케이션 소스 코드, 시스템 구성, 제품 출시와 관련하여 담당 개발자가 Dropbox 보안에 영향을 주는 코드를 검토하고 변경 사항을 관리할 때 적용되는 정책

  • 지원. Dropbox 지원팀이 사용자 계정 정보를 확인하고, 지원 서비스를 제공하며, 각종 조치를 수행하기 위한 목적으로 사용자 메타데이터에 액세스할 때 적용되는 정책

액세스 제어

Dropbox 직원들의 Dropbox 시스템에 대한 액세스 활동은 통합 디렉토리를 통해 관리되며, 강력한 비밀번호, 비밀번호로 보호된 SSH 키, 2단계 인증, OTP 토큰을 사용하여 인증됩니다. 직원들이 Dropbox 시스템 및 운영 환경에 액세스할 경우에는 Dropbox 내부 정책에 따라 적절한 SSH 개인 키 생성 및 보관 방식을 준수해야 합니다. 원격으로 액세스할 경우에는 2단계 인증으로 보호되는 VPN을 사용해야 하며, 특별한 액세스의 경우 Dropbox 보안팀이 이를 검토 및 조사합니다.

Dropbox는 기술적 액세스 통제 및 내부 정책을 통해 Dropbox 직원들이 사용자 파일에 임의로 액세스하지 못하도록 하며, 사용자 계정의 메타데이터 및 기타 정보에 액세스하는 것을 제한합니다. Dropbox는 고객의 인프라 기반으로 실행되므로 Dropbox가 고객 데이터를 책임지고 보호한다는 점에서 안심할 수 있습니다.

네트워크 보안

Dropbox는 백엔드 네트워크의 보안을 유지하기 위해 최선을 다합니다. Dropbox의 내부 전담 보안팀 및 외부 보안 전문가가 애플리케이션, 네트워크 및 기타 보안 방식을 정기적으로 테스트하고 감사하여 위험을 파악하고 이를 해결합니다.

Dropbox의 네트워크 보안 및 모니터링 기술은 여러 계층에 걸쳐 Dropbox 이용 환경을 보호 및 방어할 수 있도록 설계되었습니다. Dropbox는 방화벽, 네트워크 보안 모니터링, 침입 감지 시스템 등 업계 표준 보호 기술을 사용하여 적합한 트래픽만 Dropbox 인프라에 접근할 수 있도록 합니다. 허용된 IP 주소만 Dropbox 운영 환경에 액세스할 수 있으며, 안전한 운영 환경을 보장하기 위해 이를 분기별로 검토합니다.

변경 관리

모든 애플리케이션 변경 사항은 먼저 승인을 거친 후에 운영 환경에 구현할 수 있도록 Dropbox 엔지니어링팀에서 변경 관리 정책(Change Management Policy)을 공식적으로 규정하였습니다. 모든 변경 사항은 버전 관리 시스템에 저장되며, 보안 요구사항을 충족하는지 검증하기 위해 자동화된 QA(품질 관리) 테스트 절차를 거쳐야 합니다. Dropbox의 SDLC(소프트웨어 개발 생명 주기)는 보안 코딩 지침을 준수하고, 코드 변경 시 잠재적인 보안 문제를 파악하기 위해 Dropbox의 자동 QA 과정을 거치고 사람이 직접 검토하도록 요구합니다. Dropbox 보안팀은 인프라 보안을 유지관리하고, 서버, 방화벽 등의 보안 설정을 최신 업계 표준에 맞춥니다.

Dropbox의 보안 아키텍처에 대한 자세한 내용은 Dropbox Business 보안 백서(영문)를 참조하시기 바랍니다.