보안 개요

소개

Evernote 사용자들은 Evernote에 수십 억개의 노트, 프로젝트, 아이디어를 맡깁니다. 이러한 신뢰는 Evernote의 데이터 보안과 안전성을 기반으로 한 것입니다. 이 페이지의 정보는 Evernote의 데이터 보호 방식을 투명하게 공개하기 위한 것입니다. 저희는 새로운 보안 기능이 추가되고 제품에 보안 개선이 이루어질 때마다 이 정보를 계속해서 확장 및 업데이트할 계획입니다.

보안 프로그램

보안은 Evernote 내의 전담 팀이 맡고 있습니다. 보안팀의 사명은 사용자가 서비스에 저장하는 데이터를 보호하는 것입니다. 저희는 다음의 핵심 분야를 포함하는 보안 프로그램을 운영합니다: 제품 보안, 인프라 관리(물리적, 논리적), 정책, 직원 인식, 침입 감지, 평가 활동.

보안팀은 내부 사건 대응(IR) 프로그램을 운영하고 Evernote 직원들에게 의심될 만한 활동을 보고하는 방법에 관한 지침을 제시합니다. IR 팀은 보안 이슈에 대응하기 위한 절차와 도구를 마련해 놓고 새로운 보안 기술을 지속적으로 평가함으로써 인프라, 서비스, 직원에 대한 공격을 감지할 수 있는 역량을 지속적으로 키워나가고 있습니다.

저희는 인프라와 애플리케이션의 취약점을 주기적으로 평가하고 고객 데이터에 영향을 끼칠 수 있는 취약점을 개선합니다. 보안팀은 이러한 평가의 범위와 깊이를 확대하기 위해 새로운 도구를 지속적으로 평가합니다.

네트워크 보안

Evernote는 로드 밸런서, 방화벽, VPN의 조합을 사용해 네트워크 경계를 정의합니다. 그리고 이를 사용해 어느 서비스를 인터넷에 노출시킬지 관리하고 생산 네트워크를 나머지 전산 인프라와 분리합니다. 또한 업무상의 필요를 바탕으로 생산 인프라에 대한 액세스 권한을 제한하고 해당 액세스에 대해 철저히 인증합니다.

저희는 온디맨드 방식의 경감 서비스를 사용해 디도스(DDoS, 분산 서비스 거부) 공격으로부터 서비스를 보호합니다.

계정 보안

Evernote는 절대 사용자의 비밀번호를 일반 텍스트로 보관하지 않습니다. 사용자 인증을 위해 계정 비밀번호를 안전하게 보관해야 할 경우에는 각 자격 증명에 대한 고유의 솔트와 함께 PBKDF2(Password Based Key Derivation Function 2) 함수를 사용합니다. 저희는 사용자 경험과 비밀번호 해독 복잡성 사이에 적절한 균형을 유지할 수 있도록 해시 함수 반복 회수를 선택합니다.

저희는 사용자에게 복잡한 비밀번호를 설정하도록 요구하지는 않지만 비밀번호 강도 측정기는 안전한 비밀번호의 선택을 권장할 것입니다. 비밀번호 추측 공격 속도를 늦추기 위해 단일 계정과 단일 IP 주소 차원에서 로그인 실패 회수를 제한합니다.

Evernote는 모든 계정에 대해 2요소 인증이라고도 알려진 2단계 인증(2SV)을 제공합니다. 저희의 2단계 인증 메커니즘은 TOTP 알고리즘을 바탕으로 합니다. 모든 사용자는 애플리케이션을 사용해 자신의 모바일 장치에서 로컬로 코드를 생성할 수 있으며, 프리미엄과 비즈니스 사용자들은 원하는 경우 문자 메시지로 코드를 전송받을 수도 있습니다.

이메일 보안

Evernote는 사용자가 Evernote 고유 이메일 주소로 이메일을 보내 계정에 노트를 만들 수 있는 기능을 제공합니다. 사용자를 악성 콘텐츠로부터 보호하기 위해 저희는 상용 안티바이러스 검사 엔진을 사용해 저희가 받는 모든 이메일을 검사합니다.

Evernote로부터 이메일을 받은 경우, 정말로 저희가 보낸 이메일인지 반드시 확인하시기 바랍니다. 저희는 Evernote로부터 받은 이메일이 합법적인지에 관한 사용자의 확신을 높이기 위해 강제성 있는 DMARC 정책을 발행합니다. 저희가 @evernote.com 및 @email.evernote.com에서 보내는 모든 이메일은 DKIM을 사용해 암호화 서명이 되어 있으며, SPF 레코드에 게시하는 IP 주소에서 발송됩니다.

제품 보안

인터넷 페이싱 웹 서비스의 보안을 유지하는 일은 사용자의 데이터 보호에 대단히 중요합니다. 저희 보안팀은 CSRF, 주입 공격(XSS, SQLi), 세션 관리, URL 리디렉션, 클릭재킹과 같은 일반적인 애플리케이션 보안 문제에 대비해 코드 보안 청결을 개선하고 주기적으로 서비스 평가를 실시하는 애플리케이션 보안 프로그램을 운영합니다.

저희 웹 서비스는 OAuth를 사용해 모든 제3자 클라이언트 애플리케이션을 인증합니다. OAuth는 사용자가 제3자 애플리케이션에 자신의 로그인 자격 증명을 넘기지 않아도 해당 애플리케이션을 자기 계정과 연결할 수 있게 해주는 편리한 방법입니다. 사용자가 Evernote 인증에 성공하고 나면 저희는 클라이언트에 인증 토큰을 반환해 그 시점 이후의 액세스를 인증합니다. 이로써 제3자 애플리케이션은 사용자 아이디와 비밀번호를 장치에 저장할 필요가 없어집니다.

저희 서비스와 소통하는 각 클라이언트 애플리케이션은 모든 작업에 대해 잘 정의된 Thrift API를 사용합니다. 이 API를 통해 모든 커뮤니케이션을 중개함으로써, 저희는 권한 검사를 애플리케이션 아키텍처의 기본 구성으로 정립할 수 있습니다. 서버 내에서는 직접적인 객체 액세스가 이루어지지 않고, 매번 서비스에 액세스할 때마다 각 클라이언트의 인증 토큰을 점검해 클라이언트가 인증을 거쳤고 특정 노트 또는 노트북에 액세스할 권한이 있는지 확인합니다. 자세한 정보는 dev.evernote.com을 확인하시기 바랍니다.

고객 분리

Evernote 서비스는 멀티 테넌트 환경으로서 다른 사용자의 데이터와 귀하의 데이터를 나누지 않습니다. 귀하의 데이터는 다른 사용자의 데이터와 동일한 서버 상에 위치합니다. 저희는 사용자의 데이터를 비공개 상태로 유지하며 명시적으로 공유한 경우를 제외하고 다른 사용자들이 액세스하는 것을 허용하지 않습니다. 저희가 비공개 및 공유 콘텐츠의 액세스에 대해 어떤 식으로 인증 모델을 적용하고 있는지는 제품 보안 섹션을 참고하시기 바랍니다.

데이터 폐기

Evernote는 사용자가 명시적으로 노트 및/또는 노트북의 삭제 절차를 밟지 않는 한 콘텐츠를 보존합나다. 개인 계정을 비활성하거나 비즈니스 계정 액세스를 취소해도 콘텐츠가 자동으로 제거되지는 않습니다.

개인 노트와 노트북의 경우, 사용자가 노트북 안의 모든 노트를 삭제한 다음 휴지통의 모든 노트를 삭제함으로써 콘텐츠를 제거할 수 있습니다. 노트북을 삭제하면 해당 노트북과 관련된 모든 노트가 자동으로 휴지통으로 옮겨집니다. 노트가 삭제되면 해당 노트 안의 데이터에 연결된 모든 인용과 연결이 Evernote 데이터베이스에서 제거됩니다.

매체의 처리과 폐기

저희는 사용자 데이터를 저장하는데 사용된 저장 매체를 생산 환경 외부에서 절대 재사용하지 않습니다. 저희는 폐기에 앞서 자기소거와 물리적 분쇄를 통해 안전하게 저장 장치를 파괴하는 절차를 진행합니다. 자세한 내용은 Evernote 블로그를 참고하시기 바랍니다.

고객 계정 액세스

대부분의 클라우드 서비스와 마찬가지로 Evernote에는 관리 도구가 있습니다. 고객 서비스와 플랫폼 관리팀은 이 도구를 이용해 고객들의 문제를 해결할 수 있습니다. 저희는 업무상의 필요를 바탕으로 이 관리 도구 내의 고객 데이터에 대한 액세스 권한을 제한하고 해당 액세스에 대해 철저히 인증합니다.

저희는 고객 계정에 대한 직원 액세스를 주기적으로 검토해 관리 권한 남용 여부를 파악하고, 향후 계정 콘텐츠에 액세스해야 할 수도 있는 상황을 최소화시킵니다.

작업 로깅

Evernote 서비스는 클라이언트와 저희 서비스의 상호작용에 대해 서버 측 로깅을 수행합니다. 여기에는 웹 서버 액세스 로깅 뿐만 아니라 API를 통해 이루어지는 동작에 대한 작업 로깅도 포함됩니다. 이러한 로그에는 성공한 로그인 이벤트와 실패한 로그인 이벤트도 포함됩니다. Evernote 클라이언트 / 서버 알고리즘의 특성 상 저희는 동기화된 노트가 열람되었는지의 여부를 확실히 알 수 없습니다. 저희는 소프트웨어 클라이언트로부터 작업 로그를 자동으로 수집하지 않습니다. 사용자 계정에 연결된 각 애플리케이션의 최근 액세스 시간과 IP 주소는 계정 설정의 접근 이력 항목에서 볼 수 있습니다.

전송 암호화

Evernote는 산업 표준 암호화를 사용해 전송 데이터를 보호합니다. 이것은 흔히 TLS(Transport Layer Security) 또는 SSL(Secure Socket Layer) 기술이라고 합니다. 아울러, 저희는 Evernote 서비스(www.evernote.com)에 대해 HSTS(HTTP Strict Transport Security)를 지원합니다. 또한 암호군과 TLS 프로토콜의 조합을 지원해 브라우저와 클라이언트에 대한 강력한 암호화 기능을 제공하는 한편, 레거시 클라이언트를 위한 하위 호환성도 제공합니다. 저희는 사용자 데이터 보호에 대한 신념을 뒷받침할 수 있도록 전송 보안 태세를 지속적으로 개선해 나갈 계획입니다.

저희는 수신 및 발신 이메일에 대해 STARTTLS를 지원합니다. 사용자의 메일 서비스 제공자가 TLS를 지원할 경우, 이메일은 Evernote 서비스로 들어올 때와 나갈 때 모두 전송 중 암호화됩니다.

저희는 미국 내에 두 개의 데이터 센터를 운영하며, 둘 사이의 데이터 전송을 위해 인터넷에 연결되지 않은 전용 네트워크 링크를 사용합니다. 이 링크를 거치는 모든 트래픽은 MACsec 프로토콜을 통한 GCM-AES-128 암호화를 사용해 암호화됩니다.

노트 안의 암호화된 텍스트

Windows 데스크톱과 Mac용 Evernote 같은 Evernote 데스크톱 클라이언트를 사용하시는 경우, 노트 안의 텍스트를 암호화하여 사생활 정보의 보호 수준을 한 단계 높일 수 있습니다. Evernote는 선택하신 텍스트의 암호화를 위해 128비트 키의 AES (Advanced Encryption Standard)를 사용합니다.

사용자가 텍스트를 암호화하면 저희는 암호 구문을 요청합니다. 이 암호 구문은 고유의 솔트와 함께 PBKDF2 방식으로 SHA-256 해시 함수를 50,000번 통과하고, 그 결과 128비트 AES 키가 도출됩니다. 이 키는 초기화 벡터와 함께 CBC(Cipher Block Chaining) 모드에서 사용자의 데이터를 암호화하는데 사용됩니다.

저희는 이 키 또는 암호 구문의 사본을 받아 놓거나 신원 위탁 메커니즘을 사용해 암호화된 데이터를 복원하지 않습니다. 사용자가 암호 구문을 잊어버릴 경우 데이터를 복원할 방법이 없다는 뜻입니다.

회복성 / 가용성

저희는 장애 방지 시스템과 네트워크 아키텍처를 운영해 사용자가 언제 어디서든 Evernote를 사용할 수 있도록 보장합니다. 여기에는 다음과 같은 항목이 포함됩니다:

  • 다양하고 중복적인 인터넷 연결.
  • 스위치, 라우터, 로드 밸런서, 방화벽을 포함하는 중복 네트워크 인프라.
  • 독립적으로 운영되는 대규모 Shard를 사용하여 구축된 확장성 있는 시스템 아키텍처(각 Shard는 소규모의 사용자 층을 서비스).
  • 이중 서버 쌍으로 구성된 Shard는 하나의 서버 고장 시 상시 대기 기능 제공.
  • 이중 전원, 이중 네트워크 하드웨어로 제작된 서버와 RAID 구성으로 배치된 저장 공간.

저희가 이용하는 콜로케이션 업체는 전원, HVAC, 화재 진압 등 장애 방지 시설 서비스를 제공합니다.

저희는 다음 사이트에 실시간 및 과거의 상태 업데이트를 제공합니다: https://twitter.com/evernotestatus and http://status.evernote.com.

저희는 모든 고객 콘텐츠를 최소한 매일 한 번씩 백업하고 비공개 네트워크 링크를 통해 그 백업 내용을 보조 데이터 센터에 복제합니다. 이 절차 덕분에, 주 데이터 센터에 완전한 사이트 장애가 발생하더라도 복구가 가능합니다. 저희는 백업에 휴대형 또는 분리형 매체를 사용하지 않습니다.

물리적 보안

사용자가 노트를 서버에 동기화하면 노트는 저희 데이터 센터 중 한 곳에 있는 비공개, 잠금 케이지 안에 저장됩니다. 이 데이터 센터는 직원이 상주하며 항시(24x7x365) 모니터됩니다. 데이터 센터 액세스에는 최소한 2단계 인증이 필요하지만 3번째 요소로서 생체 정보를 포함할 수 있습니다.

각 데이터 센터는 SOC-1 Type 2 감사를 통해 물리적으로 인프라를 보호할 수 있는 그 역량을 증명해오고 있습니다. 오직 Evernote의 운영 인력과 데이터 센터 직원들만이 이 인프라에 물리적으로 접근할 수 있고, 누군가 케이지에 접근할 때마다 운영팀 직원들에게 경고 신호와 함께 해당 장면의 동영상 녹화분이 전달됩니다.

Evernote의 모든 데이터는 미국에 소재합니다. 저희의 주 데이터 센터와 백업 데이터 센터들은 모두 서부 해안의 다양한 지역에 위치해 있습니다.

개인정보 보호와 준법감시

Evernote의 세이프 하버 준수에 관한 정보는 개인정보 보호정책을 참고하세요. 저희는 SOC(Service Organization Control) 보고서를 발행하지 않습니다.