바이두 넷디스크를 사용하는 것이 안전할까?

<바이두 넷디스크, 과연 '보안'은 어느 정도일까?>

바이두 넷디스크, 두 가지 심각한 보안 위험

오늘은 바이두 넷디스크 사용자에게 찬물을 끼얹는 글을 좀 쓸려고 한다. 만반의 준비까지는 아니더라도 약간의 충격에는 대비해야 할 것이다.

조금 오래된 문서지만, 「网警提醒：你以为把文件放云盘里就安全了？(클라우드 디스크에 파일을 저장하는 것이 안전하다고 생각하십니까?)」는 바이두 넷디스크의 심각한 보안 위험을 기술한 글이다. 요약하면 다음과 같다.

1. 전송 과정이 암호화되지 않음.
2. 클라우드 디스크에 저장된 데이터는 암호화되지 않음.

싼 게 비지떡이라고 데이터 암호화 저장까지는 바라진 않았지만, 전송(업로드) 트래픽이 암호화되지 않는다는 것은 대기업이라는 명성에 걸맞지 않은 추태에 가까운 결함이다(여담이지만 2000년대 초까지 한국 온라인 게임의 로그인 정보도 대부분 암호화되지 않고 전송되었으며, 당시 피시방을 운영하던 난 시험 삼아 온라인 게임 A3의 로그인 트래픽을 캡처해 손님의 아이디와 비밀번호를 알아내는 데 성공하기도 했다. 물론 이 테스트는 손님의 동의하에 진행되었다).

이것은 바이두 넷디스크를 메인 백업 클라우드로 사용하는 내가 지나가는 아가씨의 뭔가를 보여줄 듯 말 듯 묘기에 가까운 펄럭임을 보여주는 치맛자락을 하릴없이 쳐다보듯 그냥 넘길 일이 아니다. 그래서 테스트했다. 네트워크 패킷 분석/모니터링 프로그램의 대명사인 WireShark (와이어샤크)로 바이두 넷디스크 PC 클라이언트(v7.2.8)의 패킷을 분석해봤다.

로그인 정보는 암호화되지 않는다!

<1M 이하 파일은 평문으로 전송된다>

테스트 결과 ‘전송 과정이 암호화되지 않음’은 반은 맞고 반은 틀렸다.

어떻게 이런 결과가 나올 수 있었느냐 하면 대략 1M 이하의 파일은 HTTP(80번 포트)를 통해 암호화되지 않고 전송되었으며(테스트에 사용한 파일은 텍스트 문서와 JPG 이미지 파일), 1M 이상의 파일은 암호화되어 전송되었다. 참고로 테스트에 사용한 1M 이하의 파일을 에어익스플로러(Air Explorer)를 사용해 구글 드라이브와 원드라이브와 메가로 업로드했을 땐 암호화되어 전송되었다.

<PC 클라이언트 로그인 정보도 평문으로 전송된다>

<바이두 넷디스크 안드로이드 앱도 사정은 마찬가지>

1M 이하의 파일이 암호화되지 않고 전송된다는 보안 결함은 지금 말할 또 다른 사실에 비하면 약과다. 기가 막힌 것은 로그인 정보 중 쿠키 정보가 암호화되지 않고 전송된다는 것이다. 이것은 안드로이드 앱(테스트 앱 v11.14.6)도 마찬가지다.

<BaiduPCS-Web 버전은 BDUSS 값만으로 바이두 로그인 가능>

BDUSS 정보 등의 쿠키 정보가 캡처한 패킷에 노출되어 있었고, BDUSS 값(어디서 많이 들어봤지 않은가!)은 「바이두를 좀 더 편하게 효율적으로 사용하자 | BaiduPCS-Web」에서 소개한 BaiduPCS-Web 로그인에 사용할 수 있었다!!!

<80번 포트를 차단하면 보안을 향상시킬 수 있다>

바이두 넷디스크 PC 클라이언트 트래픽을 강제로 암호화하는 방법은 방화벽 프로그램으로 BaiduNetdisk.exe의 원격 80번 포트 접근을 차단하면 된다. 차단 후에는 모든 트래픽은 443번 포트를 통해 암호화되어 전송된다. 단, 80번 포트 연결을 차단하면, 시스템 트레이의 바이두 넷디스크 아이콘은 ‘네트워크 연결 실패’라고 뜨고 업로드에 문제가 생길 수 있다. 안드로이드 같은 경우는 아직 해결법을 찾지 못했다. 고로 공개 와이파이를 사용하는 장소나 피씨방에선 바이두 넷디스크 사용은 유의해야 한다.

아마 80번 포트를 사용하는 이유는 광고 수신 때문일 테지만 그렇다고는 해도 계정 로그인 정보인 쿠키값이 평문으로 전송된다는 것은 할 말을 잃게 만든다. 이래서 ‘중국’, ‘중국’ 하는가 보다.

사용할 것인가 말 것인가, 그것이 문제로다!

<남이 보길 원치 않는 파일은 我的卡包(금고)에 저장하자>

기업용 클라우드 디스크인 Baidu Cloud Server BCC 같은 경우 저장된 데이터를 암호화한다고 명시되어 있지만, ‘百度网盘’에 대한 바이두 백과 설명 어디에도 '암호화'에 대한 말은 없다. 저렴한 이유가 여기에 있었다.

바이두 넷디스크에 누가 볼까 불안한 자료를 저장하고자 한다면, 我的卡包(나의 카드팩, 개인 금고 같은 것)을 이용하던가, 「바이두 무료 동기화 백업 프로그램 | FileGee」에서 소개한 FileGee를 이용해 내 디스크와 바이두 넷디스크 간의 동기화 • 백업 기능을 사용하면서 암호화 옵션을 사용하자. 파일 내용뿐만 아니라 파일 이름도 암호화할 수 있다.

바이두 넷디스크에 저장된 파일은 암호화되어 있지 않으므로 관리자가 마음만 먹으면 열어볼 수 있다. 하지만, 현실적으론 거의 불가능하지 않을까 싶다. 거의 10억 명에 가까운 사용자가 보유한 거의 무한에 가까운 파일들을 관리자가 일일이 확인하고자 한다면 평생을 다 바쳐도 어렵다. 하물며 파일 탐색기 같은 프로그램으로 수억 사용자의 수백억 파일을 펼쳐본다? 아마 사용자 목록을 펼치는 순간 그 엄청난 트래픽 때문에 감시인(그런 것이 있다면)에게 걸리지 않을까 싶다. 하물며 5억7천6백3십2만9천3백5십2번째 사용자가 오늘 무슨 파일을 저장했는지 한 번 볼까? 하고 책상에 앉아 노닥거리는 한가한 관리자가 존재하기나 할까? 존재한다고 해도 금방 짤리고 말 것이다.

참고로 바이두 넷디스크는 클라우드 개인 정보 보호를 위한 최초의 국제 규약인 ISO/IEC 27001과 클라우드 내 개인 데이터 보호를 위한 ISO/IEC 27018 규약 등 두 가지 권위 있는 정보 보안 인증을 통과했다(마이크로소프트도 마찬가지). 이 사실을 액면 그대로 받아들인다면 높은 수준의 사용자 데이터 보안 및 개인 정보 보호가 이루어진다는 말이다.

오늘 테스트의 결론은 없다. 난 지금까지 하던 대로 바이두 넷디스크를 메인 백업 클라우드로 사용할 것이다. 알다시피 가성비는 바이두만 한 것이 없고, 무료 사용자에겐 바이두 외엔 선택의 여지가 거의 없다. 바이두에 보관한 (성인물, 저작권 파일이 아닌) 지극히 개인적인 파일에 문제가 있었던 적도 없었다. 내가 바이두를 ‘선택’한 것은 누군가의 추천 때문이 아니라 전적으로 내 의지였듯, (무책임하게 들리겠지만) 바이두 넷디스크를 사용할지 사용하지 않을지에 대한 최종 선택은 당신의 몫이다(인생은 선택의 연속이라 하지 않았던가).

바이두 넷디스크를 신뢰할지, 울며 겨자 먹기로라도 사용해야 할지(아마 지금의 내가 이 경우가 아닐까 싶어 찝찌름하다), 아니면 암호화 같은 대비책으로 보안을 강화해서 사용할지, 신뢰하지 않고 지금 당장 탈퇴를 진행할지는 당신의 선택이다.

반면에 TeraBox는 모든 전송 정보가 암호화되므로 바이두보다 안전하다

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다