Evernote Logo
Evernote
앱 받기
다운로드

보안 개요

소개

Evernote 사용자들은 수십억 개에 달하는 노트, 프로젝트, 아이디어를 우리에게 믿고 맡기고 있습니다. 이러한 신뢰는 우리가 해당 데이터를 비공개로 안전하게 유지하는 데 기반합니다. 이 페이지의 정보는 우리가 그 데이터를 어떻게 보호하고 있는지에 대한 투명성을 제공하기 위한 것입니다. 우리는 앞으로도 새로운 보안 기능을 추가하고 제품의 보안을 강화함에 따라, 이 정보를 계속 확장하고 업데이트할 예정입니다.

보안 프로그램

Evernote에는 전담 보안 팀이 있습니다. 이 보안 팀의 주요 임무는 사용자가 당사 서비스에 저장하는 데이터를 보호하는 것입니다.

이 팀은 안전한 기능을 설계하는 데 기여하고, 보안 알림을 모니터링하며 이에 대응하고, 당사의 인프라와 애플리케이션에 대해 정기적으로 취약점 평가를 수행합니다. 보안 엔지니어는 이러한 평가의 범위와 깊이를 확장하고, 사용자 데이터의 보안을 강화하기 위해 지속적으로 새로운 도구를 평가하고 있습니다.

우리는 시스템과 인프라 전반에 걸쳐 의심스러운 활동이나 잠재적 위협의 징후를 상시 모니터링합니다. 다양한 출처로부터 실시간 보안 알림을 수신하고 있으며, 각 알림은 신속히 검토되며 식별된 위험에 대해 즉각적으로 조사, 차단 및 복구 조치를 취합니다.

Evernote는 신규 입사자에게는 입사 후 30일 이내에, 전 직원에게는 매년 강력한 보안 인식 교육 프로그램을 제공합니다. 또한 모든 직원에게 채용 직후 전달되는 정보 보안 정책 세트를 보유하고 있습니다.

모든 직원 계정은 무단 접근을 방지하기 위해 필수 이중 인증(2FA) 또는 패스키(passkey) 를 사용하여 강력하게 보호됩니다.

접근 권한은 최소 권한 원칙에 따라 제한되며, 팀원들은 자신의 업무 수행에 필요한 정보에만 접근할 수 있습니다. 또한, 접근 권한은 제한된 기간 동안 부여되며 필요한 최소 범위의 서비스로 제한됩니다. 권한은 내부 평가, 기술적 제어 및 모니터링을 통해 자주 점검되며, 준수 여부가 지속적으로 확인됩니다.

Evernote는 민감한 시스템에 접근하는 모든 직원 장치가 안전하게 보호되도록 엔드포인트 보안을 매우 중요하게 다룹니다. Evernote 직원이 사용하는 모든 장치는 다음과 같은 보안 조치를 따릅니다:

  • 모바일 디바이스 관리(MDM)를 통해 관리됩니다. 이를 통해 보안 정책을 적용하고, 원격으로 준수 여부를 모니터링하며, 디바이스 구성을 관리할 수 있습니다.
  • 기업용 고급 안티멀웨어로 보호됩니다. 모든 장치는 최신 상태의 안티멀웨어 솔루션을 갖추고 있으며, 실시간으로 위협을 탐지하고 차단합니다.
  • 자동 업데이트됩니다. 운영 체제와 소프트웨어의 자동 업데이트를 강제 적용하여, 항상 최신 보안 패치가 유지되도록 합니다.

진화하는 위협에 앞서기 위해 Evernote는 오픈소스 인텔리전스(OSINT) 도구를 활용하여 인터넷 상의 잠재적인 보안 위험 및 신종 위협을 선제적으로 모니터링합니다. 이러한 실시간 위협 인텔리전스를 통해 위험을 빠르게 식별하고 완화할 수 있으며, 당사 시스템이나 사용자에게 영향을 미치기 전에 조치를 취할 수 있습니다. 자동 경고 및 수동 분석을 결합한 Evernote의 OSINT 중심 접근 방식은 다층 방어 전략의 핵심 요소입니다.

제품 보안

인터넷에 노출되는 당사의 웹 서비스를 보호하는 것은 사용자 데이터를 안전하게 지키는 데 있어 매우 중요합니다. 당사의 보안 팀은 애플리케이션 보안 프로그램을 운영하여 코드 보안 위생을 개선하고, 일반적인 애플리케이션 보안 문제에 대해 서비스를 정기적으로 평가합니다.

이 평가는 외부 업체가 수행하는 연간 침투 테스트와, HackerOne에서 운영되는 공개 버그 바운티 프로그램을 통해 이루어집니다. 평가 결과로 도출된 모든 보안 이슈는 리스크 기반 접근 방식에 따라 추적 및 수정되며, 필요 시 비밀 유지 계약(NDA)을 조건으로 테스트 보고서 제공도 가능합니다.

최고 수준의 보안 표준을 유지하기 위한 노력의 일환으로, 당사는 매년 Google CASA (Cloud Application Security Assessment) Tier 2 평가를 받고 있습니다. 이 평가는 Google이 개발한 강력한 평가 프레임워크로, 업계에서 널리 인정받는 OWASP Application Security Verification Standard (ASVS) 를 기반으로 합니다. 이는 어떤 애플리케이션이든 보안을 강화할 수 있도록 포괄적이고 일관된 요구사항을 제공합니다. 여기에는 DAST (동적 애플리케이션 보안 테스트) 와 같은 고급 보안 테스트도 포함되어 있어, 시스템이 사전에 평가되고 지속적으로 강화될 수 있도록 보장합니다.

우리는 중요 작업을 차단하거나 실행 시 즉시 알림을 받을 수 있는 경보 및 제어 시스템을 설정해두고 있으며, 운영 중인 인프라 리소스(예: 프로덕션 데이터베이스) 에 대해 수행된 모든 작업에 대한 감사 로그가 활성화되어 있습니다.

애플리케이션 시크릿(보안 키 등)은 안전한 중앙 집중형 시스템을 통해 관리되며, 세분화된 접근 제어와 상세한 감사 로깅을 통해 시크릿이 필요한 시점에 인가된 시스템과 직원에게만 접근 가능하도록 보장합니다. 모든 시크릿은 저장 중(rest) 및 전송 중(in transit) 모두 암호화되며, 엄격한 인증 및 권한 정책에 따라 보호됩니다.

Evernote는 개발 과정의 모든 단계에 보안을 내재화하고 있습니다. 소프트웨어 엔지니어링 팀은 모든 코드 변경 사항을 신중하게 검토하고 테스트하여 안정성과 품질을 보장하며, 프로덕션 배포 전에는 코드 리뷰가 필수입니다. 보안에 영향을 미칠 수 있는 기능의 경우, 보안 팀이 초기부터 설계 결정에 참여하여 협력하며, 보안 중심의 집중 코드 리뷰를 수행합니다. 이러한 기능은 엔드투엔드 테스트로 커버되어, 버그나 취약점의 도입을 방지합니다.

당사의 소프트웨어 공급망 보안을 보장하기 위해, Evernote는 신뢰할 수 있는 서드파티 도구를 사용하여 의존성의 취약한 버전을 지속적으로 모니터링하고 감지합니다. 이 도구들은 코드베이스를 스캔하여, 오픈소스 라이브러리 및 프레임워크 내에서 알려진 보안 문제를 식별합니다. 취약점이 발견되면, 엔지니어링 팀에 즉시 알림이 전달되어, 필요한 경우 업데이트 또는 완화 조치를 신속히 우선 처리할 수 있습니다.

테스트, 스테이징, 프로덕션 환경은 논리적으로 완전히 분리되어 있으며, 개발 또는 테스트 환경에는 사용자 데이터가 포함되어 있지 않습니다.

Evernote의 웹 서비스는 모든 서드파티 클라이언트 애플리케이션을 OAuth를 통해 인증합니다. OAuth는 사용자가 로그인 자격 증명을 공유하지 않고도 외부 애플리케이션을 자신의 Evernote 계정에 연결할 수 있도록 지원하는 안전하고 직관적인 방식입니다. 사용자가 Evernote에 로그인하면, 인증 토큰이 클라이언트 애플리케이션에 반환되며, 이후 해당 토큰으로 사용자를 인증하여 액세스를 제공합니다. 이를 통해 서드파티 앱이 Evernote 사용자의 로그인 정보를 저장할 필요가 없어집니다.

Evernote와 연결되는 모든 클라이언트 애플리케이션은 명확하게 정의된 Thrift API를 통해 모든 작업을 수행합니다. 모든 통신은 이 API를 통해 중계되며, 이를 통해 애플리케이션 아키텍처 전반에 걸쳐 인증 및 권한 확인을 핵심 원칙으로 적용할 수 있습니다. 서비스 내에서 직접 객체에 접근하는 방식은 없으며, 각 요청 시 클라이언트의 토큰이 검사되어, 해당 노트 또는 노트북에 접근할 수 있는 적절한 인증과 권한이 있는지 확인됩니다.

자세한 내용은 개발자 문서에서 확인하실 수 있습니다.

네트워크 보안

Evernote 서비스는 전적으로 Google Cloud Platform(GCP) 에서 호스팅되고 있습니다. Evernote는 로드 밸런서, 방화벽, VPN의 조합을 사용하여 네트워크 경계를 정의합니다. 이를 통해 인터넷에 노출되는 서비스 범위를 제어하고, 운영 네트워크를 나머지 컴퓨팅 인프라로부터 분리합니다. 운영 인프라에 대한 접근은 업무상 필요한 인원으로 제한되며, 해당 접근은 강력한 인증 절차를 통해 보호됩니다.

네트워크를 포함한 모든 인프라 리소스는 Terraform을 통해 추적 및 정의되며, 이는 우리가 채택한 인프라스트럭처 코드(Infrastructure-as-Code) 방식입니다.

Evernote는 DDoS(서비스 거부) 공격을 완화하기 위해 여러 계층의 보호 전략과 도구를 사용합니다. Fastly의 고급 CDN(콘텐츠 전송 네트워크)은 DDoS 방어 기능을 내장하고 있으며, GCP의 기본 도구 및 애플리케이션 특화 대응 기술과 함께 활용됩니다. 우리는 네트워크 에지(경계)에서 일반적인 공격 유형을 모니터링하고 차단하여, 악성 트래픽이 서버에 도달하는 것을 사전에 방지합니다.

계정 보안

Evernote는 사용자 비밀번호를 평문(Plaintext) 으로 저장하지 않습니다. 대신, 안전한 방식으로 암호화된 해시 값을 저장하여, 데이터 유출이 발생하더라도 실제 비밀번호는 보호됩니다.

Evernote는 사용자의 계정을 더욱 안전하게 보호하기 위해, 추측하기 쉬운 비밀번호의 사용을 제한합니다. 여기에는 일반적인 단어가 포함된 비밀번호나, Have I Been Pwned 데이터베이스에서 유출 이력이 확인된 비밀번호도 포함됩니다. 비밀번호가 약하거나 손상된 것으로 인식될 경우, 사용자는 비밀번호를 재설정하라는 안내를 받게 됩니다. 또한, 로그인 페이지는 CAPTCHA 기술로 보호되어 있으며, 자동화된 비밀번호 추측 및 무차별 대입 공격(Brute-force Attack) 으로부터 계정을 보호하는 추가 방어 계층을 제공합니다.

Evernote는 모든 계정에 대해 2단계 인증(2SV), 즉 2요소 인증(2FA) 또는 다중 인증(MFA) 기능을 제공합니다. Evernote의 2SV는 TOTP(시간 기반 일회용 비밀번호 알고리즘) 를 기반으로 하며, 사용자는 모바일 기기 내의 애플리케이션을 통해 인증 코드를 직접 생성할 수 있습니다.

이메일 보안

Evernote는 사용자가 고유한 Evernote 이메일 주소로 메일을 전송함으로써 자신의 계정에 노트를 생성할 수 있도록 지원합니다. 악성 콘텐츠로부터 보호하기 위해, 수신하는 모든 이메일은 상용 안티바이러스 엔진을 사용해 스캔됩니다.

Evernote로부터 이메일을 받은 사용자가 해당 이메일이 진짜 Evernote로부터 온 것임을 확신할 수 있도록, 저희는 강제 적용되는 DMARC 정책을 게시하고 있습니다. Evernote가 아래의 도메인에서 발송하는 모든 이메일은 DKIM으로 암호화 서명되며, 당사가 SPF 레코드에 공개한 IP 주소에서 발송됩니다:

  • @evernote.com
  • @account.evernote.com
  • @accounts.evernote.com
  • @comms.evernote.com
  • @mail.privacy.bendingspoons.com
  • @mail.evernote.com
  • @mail-svc.evernote.com
  • @messages.evernote.com
  • @notifications.evernote.com
  • @nsvc.evernote.com

고객 데이터 분리

Evernote 서비스는 멀티테넌트 아키텍처를 기반으로 하며, 한 사용자의 데이터를 다른 사용자의 데이터와 물리적으로 분리하지 않습니다. 그러나 Evernote는 사용자의 데이터를 개인 정보로 간주하며, 데이터 소유자가 명시적으로 공유하지 않는 한 다른 사용자가 접근하는 것을 허용하지 않습니다.

미디어 폐기 및 삭제

Evernote는 Google Cloud Platform(GCP) 내에서 다양한 저장 옵션을 사용합니다. 여기에는 로컬 디스크, 영구 디스크, Google Cloud Storage 버킷이 포함됩니다. 저장소 재사용 시 개인 사용자 데이터가 노출되지 않도록, Google의 암호화 삭제(cryptographic erasure) 프로세스를 활용하고 있습니다.

활동 로그(기록)

Evernote 서비스는 클라이언트가 서비스와 상호작용하는 내용을 서버 측에서 로그로 기록합니다. 여기에는 웹 서버 접근 로그뿐만 아니라, API를 통해 수행된 작업에 대한 활동 로그도 포함됩니다. 또한, 클라이언트 애플리케이션에서 발생하는 이벤트 데이터도 수집합니다. 사용자 계정 설정의 접속 기록(Access History) 섹션에서는, 사용자의 계정에 연결된 각 애플리케이션의 최근 접속 시간 및 IP 주소를 확인할 수 있습니다.

전송 중 데이터 암호화 (Transport Encryption)

Evernote는 사용자 데이터를 전송 중에 보호하기 위해 업계 표준의 암호화 기술을 사용합니다. 모든 서비스에 대해 TLS를 사용하는 HTTPS 연결을 강제하고 있습니다. 암호화는 CDN 제공업체인 Fastly와 경우에 따라 Google Cloud Platform에 의해 관리됩니다.

Evernote는 수신 및 발신 이메일 모두에 대해 STARTTLS를 지원합니다. 사용자의 메일 서비스 공급자가 TLS를 지원하는 경우, 해당 이메일은 Evernote 서비스와의 송수신 중에 암호화됩니다.

저장 중 데이터 암호화 (Encryption at Rest)

Evernote는 Google Cloud의 인프라를 사용하여 데이터 센터를 호스팅합니다. Google Cloud Platform에 저장된 사용자 데이터는 Google이 기본 제공하는 저장 중 암호화 기능을 통해 보호됩니다. 기술적으로는, Evernote는 Google이 관리하는 암호화 키를 사용하는 서버 측 암호화 기능을 활용하여 모든 데이터를 AES-256 알고리즘으로 자동적이고 투명하게 암호화하고 있습니다.

저장 중 암호화(Encryption at Rest)가 데이터를 어떻게 보호하는지에 대한 자세한 정보는 Google Cloud의 공식 문서에서 확인하실 수 있습니다.

복원력 / 가용성

Evernote는 공용 클라우드 인프라스트럭처에서 운영됩니다. 서비스는 고가용성을 위해 여러 가용 영역(zone)에 배포되며, 측정된 및 예상되는 부하에 따라 동적으로 확장되도록 구성되어 있습니다. Evernote는 사용자가 필요할 때 항상 이용할 수 있도록 장애 허용 아키텍처를 운영하고 있습니다.

대규모 지역 장애 발생 시, Evernote는 새로운 호스팅 리전(region)으로 서비스를 재배포할 수 있는 능력을 갖추고 있습니다. 전담 모니터링 시스템을 통해 중단을 탐지하고, 모든 유형의 사고에 신속히 대응할 수 있습니다.

당사의 클라우드 인프라 제공업체는 전력, HVAC(난방·환기·냉방), 화재 억제 시스템을 포함한 장애 허용 기반 시설 서비스를 제공합니다.

Evernote는 서비스 가용성에 대한 실시간 및 과거 상태 업데이트를 서비스 상태 페이지에서 제공합니다.

모든 사용자 콘텐츠는 정기적으로 백업되며, 백업을 위해 휴대용 또는 분리 가능한 저장 매체는 사용하지 않습니다.

물리적 보안

Evernote 서비스는 Google Cloud Platform(GCP)을 통해 운영됩니다. Google은 Evernote 데이터를 물리적으로 안전하게 보호할 수 있는 능력을 증명하는 여러 인증을 취득한 바 있습니다. Google Cloud Platform의 보안에 대해 더 알고 싶으시면, 사이버 보안 개요 페이지를 참고해 주세요.

서드파티(제3자) 보안

Evernote는 부적절한 공급업체 관리로 인한 위험성을 인식하고 있습니다. 모든 공급업체는 계약 전 엄격한 평가와 검증 절차(듀 딜리전스)를 거치며, 보안 수준이 당사의 기준을 충족하는지 확인합니다. 요구 사항을 충족하지 못하는 공급업체는 계약을 진행하지 않습니다.

개인정보 보호 및 컴플라이언스

Evernote의 모든 데이터는 미국 내에 저장되어 있습니다. 자세한 내용은 당사의 개인정보 보호 센터를 참고해 주세요.