인기 노트 앱 에버노트의 해킹공격 대응방안에 대한 논란이 뜨겁다. 최근 발생한 해킹공격에 대해 사용자들의 비밀번호를 강제 리셋한 것이다.
지난 3일 에버노트 운영보안팀은 공식 블로그와 이용자들에게 발송된 이메일을 통해 “네트워크 상에서 에버노트 서비스의 보안영역으로 접근하려는 시도를 감지하여 이를 차단했다”며, “고객 데이터를 보호하기 위한 예방책으로, 사용자들의 비밀번호 초기화를 결정했다”고 해킹당한 사실을 밝혔다.
덧붙여 에버노트 측은 “사용자들이 에버노트에 저장한 어떤 내용도 접근 또는 변경, 손실된 흔적은 없었고, 결제정보 등에 접근한 흔적 역시 발견되지 않았다”며 “다만, 사용자 계정 및 암호화된 비밀번호와 관련한 사용자 아이디와 이메일 주소에 접근했을 가능성을 확인했지만, 에버노트에 저장된 모든 비밀번호는 단방향 암호화로 보호되어 있어 안전하다”고 강조했다.
그러나 사용자 개인 데이터 보안을 더욱 철저히 보장하기 위해 비밀번호 초기화 조치를 취했다는 것이 에버노트 측의 설명이다. 해킹공격에 대한 보안 방침으로 강제적 대응을 선택한 것이다.
일부 사용자들은 이에 대해 비밀번호 변경 유예시간을 주지 않은 에버노트 측의 강제적 리셋에 대한 불만을 토로했다. 자사의 보안 취약점 문제에 대해 사용자들의 동의를 구하지 않은 고객을 기만한 대응이라는 의견이다.
에버노트측은 이에 대해 사용자들을 위한 선택이었다고 입장을 밝혔다. 가입자지만 실제로 서비스를 이용하지 않는 사용자까지 함께 고려한 대응정책이라는 의견이다.
또한 최근 연이은 해킹문제에 휩싸였던 타 글로벌 IT사와는 달리 해킹에 대한 구체적인 정황과 리셋에 대한 이유를 분명히 밝힘으로써 사용자 역시 보안 문제에 적극 참여해야 한다는 보안정론에 가장 근접한 대응이었다는 점이라는 평가도 있다.
다만 강제 비밀번호 변경에 대한 메일 발송이 늦어진 점과 아직 메일을 받지 못한 사용자들로 인한 혼선이 빚어지고 있다는 점이 문제로 지적되고 있다.
현재 에버노트 측은 간단한 단어를 비밀번호로 사용하지 말 것과 같은 비밀번호를 여러 인터넷 서비스에 사용하지 말 것, 그리고 이메일로 발송된 ‘비밀번호 변경 요청’을 클릭하지 말 것을 당부하는 메일을 사용자들에게 송부한 상태이다.