1. 노션(Notion) 필수 설정
노션(Notion, https://notion.so)은 클라우드 기반의 콘텐츠 공유 협업 도구입니다. 좀더 안전한 노션 사용을 위해 다음 사항들을 점검하세요.
노션에 로그인하는 방법에는 여러 가지가 있지만, Google 계정이나 애플 계정을 사용하는 방법과 이메일 주소를 사용하는 방법이 있습니다. Google 계정이나 애플 계정을 사용한다면, 노션 계정의 보안 수준은 Google 계정이나 애플 계정의 보안 수준을 그대로 따라가게 됩니다. <디지털 보안 대책 마련하기> 및 <디지털 보안을 위한 7가지 원칙>에서 설명했듯이, Google 혹은 애플 계정의 디지털 보안이 취약하면 노션 디지털 보안도 마찬가지로 취약해진다는 점을 참고하세요.
비밀번호를 사용하지 않도록 설정하기
이메일 주소로 노션에 로그인한다면, 두 가지 사항을 고려해야 합니다. 하나는 비밀번호를 사용하지 않도록 설정하는 방향입니다. 이렇게 하면 노션에 로그인할 때마다 노션에서 1회성 비밀번호(인증코드)가 담긴 이메일을 보냅니다. 노션 비밀번호가 유출되는 것에 대한 위협을 덜 수 있지만, 반대로 이메일 받은 편지함을 열어볼 수 있는 사람으로부터는 노션 계정을 보호할 수 없습니다.
비밀번호를 삭제하는 방법을 소개합니다. 먼저 노션 화면 왼쪽의 [설정과 멤버] 탭에서 [내 계정] – →[계정 보안] → [비밀번호] → [비밀번호 변경]을 클릭합니다.
이어서, [비밀번호 삭제]를 클릭합니다.
현재의 비밀번호를 입력하고 [계속]을 누릅니다.
이후 노션에 로그인하려면, 이메일 주소를 입력하고, 이메일 주소로 “임시 Notion 코드는 <????-?????-?????-?????>입니다”라는 메일이 오면 이 코드를 사용하면 됩니다.
비밀번호와 함께 2단계 인증(2FA) 사용하기
클라우드 기반 협업 툴 노션의 필수 보안 설정 중 하나로 2단계 인증의 사례를 소개합니다.
비밀번호는 지식 기반 인증 방식입니다. 비밀번호를 모르는 사람은 들여보내지 않고, 비밀번호를 아는 사람은(지식을 가진 사람은) 들여보내는 방식입니다. 따라서 내 노션 계정의 비밀번호를 아는 사람은 설령 나 자신이나 우리 조직의 구성원이 아니더라도 노션에 로그인할 수 있게 됩니다. 이를 막기 위해 비밀번호 이외에 추가로 2단계 인증을 적용할 수 있습니다.
먼저 노션 화면 왼쪽의 [설정과 멤버] 탭에서 [내 계정] → [계정 보안] → [비밀번호] → [2단계 인증] 을 클릭합니다.
이어서 [Authenticator 앱 사용]을 클릭합니다. 화면에 TOTP 앱에 사용할 수 있는 QR 코드가 표시됩니다. 이제 사용중인 TOTP 앱(예를 들어 KeePassDX)을 사용하여 화면에 표시된 QR 코드를 스캔합니다.
스캔이 완료되어 TOTP 앱에 노션 TOTP 설정이 저장되면, 이제 TOTP 앱에서 생성된 6자리 숫자를 입력합니다. 그러면 노션에서 2단계 인증 설정에 대한 ‘백업 코드’를 알려줍니다. ‘백업 코드’를 안전한 장소에 저장하고 TOTP 등록을 완료합니다.
이제 노션에 로그인하려면 이메일 주소와 비밀번호를 아는 것만으로는 불가능합니다. QR 코드를 스캔하여 성공적으로 6자리 숫자를 생성했던 TOTP 앱이 있어야만 합니다.
만일 하나의 노션 계정을 여러 사람이 공유한다면 2단계 인증 수단 또한 여러 사람이 공유해야 합니다. 2단계 인증 수단을 여러 사람이 안전하게 공유하는 건 쉽지 않은 일일 수 있습니다. 만일 하나의 노션 계정을 여러 사람이 공유하면서 동시에 2단계 인증을 사용해야만 한다면, 권장하지 않는 방법이지만 2단계 인증을 위한 TOTP 앱을 등록하는 날을 정하고, 그 날 하루에 계정을 공유하는 모든 사람이 모여서 각자의 기기의 TOTP 앱에 일제히 코드 등록을 하는 방법을 사용할 수 있습니다. 또한 어떠한 경우에도 TOTP 앱에 등록된 QR코드가 유출되었다면 TOTP를 비활성화해야 합니다.
노션에서는 TOTP 이외에도 휴대전화의 문자메시지를 받는 방식을 제공합니다. 이 방식은 TOTP 처럼 처음에는 다소 사용법이 어려운 프로그램을 사용하지 않아도 된다는 장점이 있지만, 동시에 노션 계정에 휴대전화 번호를 연결해야 하는 점, 결국은 문자메시지를 경유하기 때문에 통신사 등에는 노션 사용에 대한 이력이 남을 수밖에 없는 점 등의 단점도 존재합니다.
정기적인 권한 관리 일정 마련하기
여러 사람이 함께 사용하는 노션 워크스페이스의 경우 일정한 주기마다 정기적으로 각종 권한을 관리하는 것이 좋습니다. 다음과 같은 항목들을 중점적으로 점검하세요.
✅ 워크스페이스 멤버 / 게스트 / 그룹 명단 확인
- 퇴사, 탈퇴 등의 이유로 더 이상 워크스페이스에 접근할 필요가 없는, 혹은 접근해서는 안 되는 계정에게 워크스페이스 접근 권한이 있는지 확인합니다.
- 노션 무료버전이 아닌 경우, 각각의 계정에게 ‘관리자’가 아닌 다른 권한을 부여하는 것이 바람직합니다. ‘관리자’ 권한이 있으면 실수로 외부에 공유하면 안 되는 페이지를 공유하는 등의 위협이 발생할 수 있습니다.
✅ 페이지 수준 권한 확인
- 모든 멤버가 노션 워크스페이스 내의 모든 페이지에 대해 같은 수준의 권한을 가질 필요는 없습니다. 모든 멤버가 ‘편집 가능’ 권한을 가질 필요가 있는지 검토하고, 가능한 한 작은 수준의 권한을 부여합니다.
- 특히 조직 외부 사람이 볼 수 있도록 홈페이지 용도나 공지 용도로 활용되는 노션 페이지의 경우 조직 내부의 누구나 편집할 수 있는 상황은 바람직하지 않습니다. ‘읽기 전용’이나 ‘댓글 허용’같은 축소된 권한을 부여하도록 합니다.
✅ 게시된 사이트 목록 확인
- 조직 외부 사람이 볼 수 있도록 공지할 목적으로 게시된 노션 페이지의 목록을 점검하고, 더 이상 게시되어 있을 필요가 없거나 게시되어서는 안 될 페이지가 게시되었다면 ‘게시 취소’를 진행합니다.
- 가능하면 조직 외부 사람이 볼 수 있도록 인터넷에 공유하는 페이지는 일정 기간 동안만 노출되도록 기간을 설정합니다.
2. 구글 드라이브(Google Drive) 필수 설정
구글 드라이브(Google Drive)는 구글에서 제공하는 파일, 문서 공유 협업 클라우드 서비스입니다. 구글 독스(Google Docs)등을 아우르는 개념입니다. 좀더 안전한 구글 드라이브 사용을 위해 아래의 내용을 꼭 확인하세요.
꼭 필요하지 않다면 [링크가 있는 인터넷상의 모든 사용자가 열 수 있음]으로 공유하지 않기
구글 문서를 사용하여 여러 사람, 조직에 회의록을 공유하는 경우가 많습니다. 아래 사진과 같이 [링크가 있는 모든 사용자]가 볼 수 있도록 설정하면 별다른 절차 없이 ‘링크’ 주소만 있다면 문서의 내용을 자유롭게 열람할 수 있습니다.
문서의 ‘링크’를 메신저에 공유하면, 메신저의 종류에 따라 ‘링크’된 문서의 내용을 그림파일(썸네일)로 만들어 ‘미리보기’라는 형태로 서버에 저장하는 경우가 있습니다. 뒤늦게 문서의 권한을 변경하여도 메신저의 서버에는 문서의 내용이 그대로 남아있게 됩니다.
아무나 볼 수 없도록 공유 설정을 변경하면 위의 링크는 [액세스 권한 필요]라는 화면으로 연결됩니다.
하지만 위의 링크를 메신저에서 전달하면 메신저 대화창에는 해당 문서의 내용이 여전히 아래와 같이 ‘미리보기’가 남아있게 됩니다.
또한 과거 카카오톡에서는 카카오톡 대화창을 통해 누구나 열람할 수 있는 링크의 형태로 전달된 페이지를 다음 검색엔진에 노출하는 경우가 있었습니다. 따라서 구글 드라이브를 통해 문서나 자료를 공유할 때에는 외부의 누구나 열람해도 되는 내용이 아니라면 [링크가 있는 모든 사용자]로 공유하지 말고, 반드시 열람할 수 있는 사람의 Google 계정 목록을 정하여 공유해야 합니다.
폴더 단위로 공유할 경우 폴더의 공유 권한 및 ‘활동’ 로그 확인하기
구글 드라이브를 사용해 여러 개의 문서를 하나의 폴더로 묶어서 공유하는 경우가 많습니다. 이 때 폴더의 권한을 [링크가 있는 모든 사용자]에게 [편집 가능]으로 공유하였다면, 이 폴더를 통해 회의록 등이 유출되는 상황을 만날 수 있습니다.
가급적 정해진 사람 이외에는 열람해서는 안 되는 문서는 [링크가 있는 모든 사용자]가 볼 수 있는 폴더에는 공유해서는 안 되며, 혹시라도 이러한 상황이 벌어졌는지 확인하기 위해서는 [활동] 탭을 주의깊게 살펴야 합니다.
3. 구글(Google) 계정의 ‘활성 세션’ 검토
잠시 다른 사람의 컴퓨터를 빌려서 사용하는 등의 이유로 나 혹은 우리 단체의 Google 계정을 다른 사람의 기기에서 로그인해야 하는 경우가 있습니다. 이럴 때 실수로 로그아웃을 하지 않고 장소를 떠나거나 하는 실수는 치명적인 보안 사로고 이어집니다. [Google 계정] → [보안] → [모든 기기 관리] 메뉴를 사용하여, 현재 로그인이 유지되고 있는 ‘활성 세션’의 목록을 살펴보고 검토하세요. 필요하면 이 화면에서 특정 기기를 로그아웃시킬 수 있습니다.