{"en":"This page is not currently available in your language.","id":"Halaman ini sekarang belum tersedia dalam bahasa Anda.","ms":"Laman ini kini belum boleh didapati dalam bahasa anda.","es_ES":"Esta página no está disponible en tu idioma en este momento.","da_DK":"Denne side er i øjeblikket ikke tilgængelig på dit sprog.","fr":"Cette page n'est actuellement pas disponible dans votre langue.","de":"Diese Seite ist zurzeit nicht in Ihrer Sprache verfügbar.","en_GB":"This page is not currently available in your language.","pl":"Ta strona aktualnie nie jest dostępna w Twoim języku.","it":"Al momento questa pagina non è disponibile nella tua lingua.","nl_NL":"Deze pagina is momenteel niet beschikbaar in je taal.","nb_NO":"Denne siden er for øyeblikket ikke tilgjengelig på språket ditt.","ru":"На данный момент эта страница недоступна на вашем языке.","zh_TW":"此頁面目前沒有您語言的版本。","sv_SE":"Denna sida är för närvarande inte tillgänglig på ditt språk.","th_TH":"หน้านี้ยังไม่มีให้บริการในภาษาของคุณในขณะนี้","zh_CN":"本页面暂无您所需的语言版本。","ja":"申し訳ありませんが、このページは選択した言語ではご利用になれません。","pt_BR":"Esta página não está disponível no momento em seu idioma.","ko":"현재 이 페이지는 한국어 번역이 제공되지 않습니다.","es":"Esta página aún no está disponible en tu idioma.","uk_UA":"На даний момент ця сторінка недоступна на вашій мові.","en_AU":"This page is not currently available in your language."}

정보 보안

Dropbox는 고객과의 신뢰를 유지하기 위해 정보 보안 관리의 목적과 방향, 원칙, 기본 규칙에 대한 프레임워크를 마련했습니다. 고객과의 신뢰를 유지하려면 위험 요소를 평가하고 지속적으로 보안, 기밀성, 무결성, 가용성, Dropbox Business 시스템의 개인정보 보호 정책을 향상해야 합니다. Dropbox는 정기적으로 보안 정책을 업데이트·검토하고, 보안 관련 교육을 제공하며, 침투 테스트를 비롯해 애플리케이션과 네트워크 보안에 대한 테스트를 시행합니다. 또한, 보안 정책 준수 현황을 감사하고 내외부적으로 위험성 평가를 시행합니다.

보안 정책

  • 정보 보안. 장치 보안, 인증 요건, 데이터 및 시스템 보안, 사용자 정보 보호, 직원들의 자료 사용에 관한 지침 및 제한, 잠재적 문제 처리 등 사용자와 Dropbox 정보에 관련된 정책
  • 개인정보 보호. 개인정보 보호 정책 준수를 위해 Dropbox가 개인정보를 보호하고 처리할 때 따라야 할 요건
  • 물리적 보안. 인력과 시설의 보호를 위해 Dropbox가 안전한 환경을 유지하는 방식
  • 사고 대응. 평가, 소통, 조사 절차 등 잠재적인 보안 사고에 대응할 때 따라야 할 요건
  • 논리적 액세스. 기업 환경, 생산 환경에 대한 액세스 등 Dropbox의 시스템, 사용자 정보, Dropbox 정보의 보안을 유지하기 위한 정책
  • 물리적 생산 액세스. 직원 경영 감사, 해고된 직원의 승인 철회 등 물리적 생산 네트워크 액세스를 제한하는 절차
  • 변경 관리. 승인된 개발자들이 시행하는 애플리케이션 소스 코드, 시스템 구성, 제품 릴리스 등 보안에 영향을 주는 코드 검토 및 변경 사항 관리에 관한 정책
  • 영업 및 고객 경험. 계정 보기, 지원 제공, 조치 시행과 관련된 지원팀의 사용자 메타데이터 액세스 정책
  • 업무 연속성. 계획에서부터 기록, 집행에 이르기까지 운영 중단 시 주요 업무 기능을 유지하고 복구하는 것에 관한 정책과 절차
  • 위기 관리. 주요 운영 기능이 중단되거나 전략 목표를 위협하는 전방위적 이벤트가 발생했을 때 Dropbox가 이를 처리하는 방법에 관한 정책과 절차
액세스 제어

Dropbox 직원들의 Dropbox 시스템에 대한 액세스 활동은 통합 디렉토리를 통해 관리되며, 강력한 비밀번호, 비밀번호로 보호된 SSH 키, 2단계 인증, OTP 토큰을 사용하여 인증됩니다. 직원들이 Dropbox 시스템 및 운영 환경에 액세스할 경우에는 Dropbox 내부 정책에 따라 적절한 SSH 개인 키 생성 및 보관 방식을 준수해야 합니다. 원격으로 액세스할 경우에는 2단계 인증으로 보호되는 VPN을 사용해야 하며, 특별한 액세스의 경우 Dropbox 보안팀이 이를 검토 및 조사합니다.

Dropbox는 기술적 액세스 제어와 내부 정책을 적용해 직원들이 임의로 사용자 파일에 액세스하는 것을 금지하고, 사용자 계정에 관한 메타데이터와 기타 정보에 액세스하는 것을 제한합니다. 기존의 인프라를 Dropbox와 통합하면 Dropbox가 데이터를 책임지고 보호한다는 점에서 안심할 수 있습니다.

네트워크 보안

Dropbox는 백엔드 네트워크의 보안을 유지하기 위해 최선을 다합니다. Dropbox의 내부 전담 보안팀 및 외부 보안 전문가가 애플리케이션, 네트워크 및 기타 보안 방식을 정기적으로 테스트하고 감사하여 위험을 파악하고 이를 해결합니다.

Dropbox의 네트워크 보안 및 모니터링 기술은 여러 계층에 걸쳐 Dropbox 이용 환경을 보호 및 방어할 수 있도록 설계되었습니다. Dropbox는 방화벽, 네트워크 보안 모니터링, 침입 감지 시스템 등 업계 표준 보호 기술을 사용하여 적합한 트래픽만 Dropbox 인프라에 접근할 수 있도록 합니다. 허용된 IP 주소만 Dropbox 운영 환경에 액세스할 수 있으며, 안전한 운영 환경을 보장하기 위해 이를 분기별로 검토합니다.

변경 관리

모든 애플리케이션 변경 사항은 먼저 승인을 거친 후에 운영 환경에 구현할 수 있도록 Dropbox 엔지니어링팀에서 변경 관리 정책(Change Management Policy)을 공식적으로 규정하였습니다. 모든 변경 사항은 버전 관리 시스템에 저장되며, 보안 요구사항을 충족하는지 검증하기 위해 자동화된 QA(품질 관리) 테스트 절차를 거쳐야 합니다. Dropbox의 SDLC(소프트웨어 개발 생명 주기)는 보안 코딩 지침을 준수하고, 코드 변경 시 잠재적인 보안 문제를 파악하기 위해 Dropbox의 자동 QA 과정을 거치고 사람이 직접 검토하도록 요구합니다. Dropbox 보안팀은 인프라 보안을 유지관리하고, 서버, 방화벽 등의 보안 설정을 최신 업계 표준에 맞춥니다.

 

Dropbox Business 보안 백서에서 Dropbox의 보안 아키텍처에 관한 더욱 자세한 내용을 확인할 수 있습니다.