質問内容がよくわからないのですが、どちらが質問内容でしょうか？ またはこれらとは別でしょうか？

###バグかどうか？

静的ファイルのURLパスがログアウト後も閲覧できるwebサービスはバグではないのでしょうか？？

バグかもしれないしバグでないかもしれない。
サービス内容や利用規約、ヘルプ、マニュアル、使用方法説明などで明確に記載されていないのであればバグの可能性はあります。が記載されているのであればそういうサービスです。

###技術的な質問？

＜パス１＞はログイン後のHTTPリクエストのヘッダのユーザー情報がある限り閲覧できるようにして、＜パス２＞はURLを知っている人誰でも閲覧可能というふうにしたいと思っています。

全ての静的ファイルへのアクセスにログイン認証を行う方法がわからない？
単純に全てのアクセスに対して

• ログイン認証(または認証済みであることの確認）
• アクセス制御（ログインしていればOK？ 特定のユーザーのみ？）

を実施後、適切なものを返せばいいだけです(http status:200, 401, 403)

弊害としては、全てのアクセスに対して認証・アクセス制御処理が入るので、必要なサーバーリソースは増える。またレスポンスタイムが遅くなります。

静的ファイルへのアクセスに関するサイト方針（規約）の妥当性を問いたい?

今まで、ユーザーとして下書き保存したコンテンツなどは、各種サイトで公開されていないものと考えて利用していたので、実は静的ファイルだけは、公開されていたというのはちょっとショックなのですが、これは例外的なものなのでしょうか？？それとも、現状のインターネットの仕組み上やむを得ないものがあり、利用規約などでご理解いただくという方針のほうが妥当なのでしょうか？？

これはサービスの要件次第です。
サービスを提供する側がどういうサービスを提供するか決めるだけです。
「全てのアクセスに認証・アクセス制御を行う」というサービスを提供するのであれば、そのようにする。
そこまでする必要はない要件であれば利用規約など利用者に同意を得たうえでそういう作りにする。

Webサービスの開発言語や使用フレームワークにもよりますが、多くのフレームワークでは
静的コンテンツでも基本は制限が掛けられています。
→URLのディスパッチャなどを使用してWebサイト全体のどのフォルダへ直接アクセスしても
接続することが出来ない。
認証のプログラムをオーバーライドや継承して、特定のフォルダ配下は認証が必要なくても
閲覧可能という処理を加えれば実現可能かと思います。

bin_300K様の疑問を答えるのであれば、バグというよりも設計ミスと思います。
仮に公開したくない物がURL直接アクセスで見えてしまうような状態は個人情報の漏えいや
ディレクトリトラバーサルなどのセキュリティホールの疑いもあります。
製造のミスではなく、そもそもの設計時点で考慮が足りなかったのではと思います。

基本設計はすべてのフォルダを未公開としておき、公開したいフォルダ配下だけを例外として
認証系から外しておく、として設計を進めればいいかと思います。
昨今の個人情報漏えい事故などを見ると、まずは非公開、そこから公開、という設計、製造をするのは
いかがでしょうか？