이 기능은 Enterprise Plus, Education Standard, Education Plus 버전에서 사용할 수 있습니다. 사용 중인 버전 비교하기
여기에서 Google Workspace 클라이언트 측 암호화(CSE)에 대해 자주 묻는 질문의 답변을 찾을 수 있습니다.
암호화에 대한 정보
Google의 기본 암호화 정보는 어디에서 찾을 수 있나요?
Google의 기본 암호화에 대한 자세한 내용은 Google Cloud 사이트를 참고하세요.
Gmail의 표준 암호화에 대한 자세한 추가 정보는 Gmail 고객센터의 전송 중 암호화를 참고하세요.
CSE와 엔드 투 엔드(e2e) 암호화는 어떻게 다른가요?
엔드 투 엔드 암호화(e2e)를 사용하면 암호화 및 복호화가 소스 기기와 대상 기기(예: 채팅용 휴대전화)에서 항상 수행됩니다. 암호화 키는 클라이언트에서 생성되므로 관리자가 클라이언트의 키와 해당 키를 사용할 수 있는 사용자를 제어할 수 없으며, 사용자가 어떤 콘텐츠를 암호화했는지 확인할 수 없습니다.
클라이언트 측 암호화(CSE)를 사용하는 경우 암호화뿐만 아니라 복호화도 항상 소스 기기와 대상 기기(이 경우에는 클라이언트 브라우저)에서 수행됩니다. 하지만 CSE를 사용하면 클라이언트가 클라우드 기반 키 관리 서비스에 생성되어 저장되는 암호화 키를 사용하므로 키와 해당 키에 액세스할 수 있는 사용자를 제어할 수 있습니다. 예를 들어 사용자가 클라이언트 키를 생성했더라도 관리자가 해당 키에 대한 액세스 권한을 취소할 수 있습니다. 또한 CSE를 사용하여 사용자의 암호화된 파일을 모니터링할 수 있습니다.
CSE 사용자 환경 이해
사용자가 CSE를 사용하여 데이터를 암호화하려면 어떻게 해야 하나요?
사용자는 지원되는 서비스의 옵션을 선택하여 CSE를 사용 설정할 수 있습니다. 사용자가 웹 및 모바일 앱에서 CSE를 사용 설정하는 방법에 관한 자세한 내용은 클라이언트 측 암호화 사용자 환경 개요를 참고하세요.
CSE를 사용할 때 사용자에게 적용되는 제한사항이 있나요?
예. CSE를 사용 설정하면 Google 서비스의 일부 기능을 사용할 수 없습니다. 자세한 내용은 클라이언트 측 암호화 사용자 환경 개요를 참고하세요.
CSE 설정
암호화 키란 무엇이며 어떻게 얻을 수 있나요?
암호화 키는 데이터를 읽을 수 없는 형식으로 변환하여 무작위로 표시되도록 합니다. 이렇게 하면 데이터를 읽도록 승인되지 않은 사람이나 대상으로부터 데이터가 비공개로 유지됩니다. 암호화된 데이터를 읽으려면 개인 또는 애플리케이션에 데이터를 원래 형식으로 다시 변환하는 키가 필요합니다.
암호화 키를 사용하여 조직의 Google Workspace 데이터에 암호화 레이어를 추가하려면 Google과 파트너 관계에 있는 키 관리 서비스를 사용하거나 Google의 CSE API를 사용하여 자체 키 관리 서비스를 만들어야 합니다. 또는 Gmail에 한해서 사용자의 암호화 키가 스마트 카드에 저장되는 하드웨어 키 암호화를 사용할 수 있습니다.
CSE에 사용할 수 있는 파트너 키 관리 서비스는 무엇인가요?
Google은 CSE에 사용할 수 있도록 여러 키 관리 서비스와 제휴하고 있습니다. 서비스 목록은 클라이언트 측 암호화에 필요한 키 관리 서비스 설정하기를 참고하세요.
Google을 키 관리 서비스로 사용할 수 있나요?
아니요. Google Workspace 클라이언트 측 암호화를 설정하려면 외부 키 관리 서비스를 사용해야 합니다. CSE를 사용하면 관리자가 암호화 키를 직접 제어할 수 있지만 Google은 이 키에 액세스하여 데이터 복호화를 수행할 수 없습니다.
여러 개의 키 관리 서비스를 사용할 수 있나요?
예. 두 개 이상의 키 관리 서비스를 사용하고 조직 단위 또는 그룹에 사용할 서비스를 선택하거나 암호화된 콘텐츠를 한 서비스에서 다른 서비스로 이전할 수 있습니다.
참고: 관리 콘솔에서 Gmail 클라이언트 측 암호화에 사용되는 단일 키 관리 서비스를 설정할 수 있습니다. Google Workspace 클라이언트 측 암호화 API에서 키 관리를 위한 다른 옵션에 대해 알아보세요.
CSE에 스마트 카드를 사용할 수 있나요?
예. 조직에서 스마트 카드를 사용하여 시설 및 시스템에 액세스하는 경우 Gmail CSE에 하드웨어 키 암호화를 설정할 수 있습니다. Requires having the Assured Controls add-on. 사용자는 비공개 암호화 키가 포함된 스마트 카드를 사용하여 이메일 메시지를 암호화할 수 있습니다. 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 필요한 하드웨어 키 암호화 설정 및 관리하기를 참고하세요.
Gmail에 키 관리 서비스와 하드웨어 암호화 키를 모두 사용할 수 있나요?
예. Gmail CSE에 키 관리 서비스와 하드웨어 암호화 키를 모두 설정할 수 있습니다. Requires having the Assured Controls add-on. 또한 동일한 사용자에게 키 관리 서비스와 하드웨어 키 암호화를 모두 할당할 수 있습니다. 하지만 사용자는 Gmail에 비공개 암호화 키를 설정한 방법에 따라 Gmail에서 한 가지 암호화 유형만 사용할 수 있습니다. 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 필요한 암호화 키 업로드하기를 참고하세요.
다른 키 관리 서비스로 전환할 수 있나요?
예. 다른 키 관리 서비스로 전환할 수 있습니다. 이 경우 현재 키 관리 서비스로 암호화된 콘텐츠를 새 서비스로 이전하는 것이 좋습니다. 자세한 내용은 새 키 관리 서비스로 전환하려는 경우를 참고하세요.
외부 키 관리 서비스에 액세스할 수 있는 사용자 또는 그룹을 제한하려면 어떻게 해야 하나요?
외부 키 관리 서비스를 통해 암호화 키의 키 액세스 제어 목록(KACL)을 관리합니다. KACL에는 콘텐츠를 암호화하거나 복호화(조회 또는 수정)해야 하는 모든 사용자가 포함되어야 합니다. 자세한 내용은 암호화 제공업체에 문의하세요.
또한 데이터를 암호화해야 하는 모든 사용자에 대해 CSE를 사용 설정해야 합니다. 자세한 내용은 사용자의 클라이언트 측 암호화 사용 또는 사용 중지하기를 참고하세요.
특정 사용자에게 CSE 사용을 시행할 수 있나요?
Gmail, Google Drive, Google Calendar의 경우 특정 조직 단위에 CSE가 기본적으로 사용 설정되도록 지정할 수 있습니다. Requires having the Assured Controls add-on.
CSE가 기본적으로 사용 설정되어 있어도 필요한 경우 사용자는 CSE를 사용 중지할 수 있습니다.
자세한 내용은 사용자의 클라이언트 측 암호화 사용 또는 사용 중지하기를 참고하세요.
공유 드라이브에 CSE를 설정하려면 어떻게 해야 하나요?
공유 드라이브에만 CSE를 설정할 필요는 없습니다. 관리 콘솔에 설정한 외부 키 관리 서비스는 내 드라이브 및 공유 드라이브 파일 모두에 사용할 수 있습니다.
CSE를 설정하는 중에 알림이 표시되면 어떻게 해야 하나요?
CSE 설정에 문제가 있는 경우 자세한 정보는 알림 세부정보 보기를 참고하세요.
CSE를 사용하여 기존 이메일을 가져오고 암호화할 수 있나요?
예. 메일을 클라이언트 측에서 암호화된 이메일로 Gmail로 이전하기를 참고하세요.
조직의 클라이언트 측에서 암호화된 콘텐츠에 외부 사용자가 액세스하도록 허용할 수 있나요?
예. 클라이언트 측에서 암호화된 콘텐츠에 외부 액세스 제공하기를 참고하세요.
클라이언트 측에서 암호화된 콘텐츠로 작업
기존 파일을 다른 암호화 키로 다시 암호화할 수 있나요?
클라이언트 측에서 암호화된 파일을 새 키 관리 서비스로 이전할 수 있습니다. 자세한 내용은 새 키 관리 서비스로 전환하려는 경우를 참고하세요.
파일의 암호화를 Google의 기본 암호화로 전환할 수 있나요?
예. Google 문서, 스프레드시트 또는 프레젠테이션에서 클라이언트 측 암호화를 삭제할 수 있습니다. 자세한 내용은 문서에서 암호화 삭제하기를 참고하세요.
내보낸 Drive 파일 및 이메일을 복호화하려면 어떻게 해야 하나요?
데이터 내보내기 도구 또는 Google Vault를 사용해 내보낸 CSE 파일을 복호화하려면 명령줄 유틸리티인 복호화 유틸리티를 사용하면 됩니다. 자세한 내용은 클라이언트 측에서 암호화하여 내보낸 파일 복호화하기를 참고하세요.
암호화된 파일 및 이메일을 Google Vault에서 보관, 검색하고 내보낼 수 있나요?
예. Google Workspace 버전에 Google Vault가 있는 경우 클라이언트 측에서 암호화된 Drive 파일 및 Gmail 이메일을 Vault에서 보관, 검색하고 내보낼 수 있습니다.
제목 및 소유자와 같은 메타데이터로 클라이언트 측 암호화가 처리된 파일을 검색할 수 있습니다. 하지만 사용자의 콘텐츠를 검색하거나, 파일 형식으로 검색하거나, 콘텐츠를 미리보거나, 미리보기 뷰에서 다운로드할 수는 없습니다.
자세한 내용은 Google Vault 고객센터를 참고하세요.
클라이언트 측에서 암호화된 파일 및 이메일 검사
Drive 및 Gmail에서는 클라이언트 측에서 암호화된 콘텐츠에 보안 위협이 있는지 자동으로 검사하나요?
Google 서버에서는 CSE 콘텐츠에 액세스할 수 없으므로 클라이언트 측에서 암호화된 파일 및 이메일에 대해 피싱 및 멀웨어 검사가 진행되지 않습니다.
클라이언트 측에서 암호화된 파일 또는 이메일의 콘텐츠에 대해 DLP 검사를 실행할 수 있나요?
데이터 손실 방지(DLP) 검사에서는 파일 또는 이메일의 클라이언트 측에서 암호화된 콘텐츠에 액세스할 수 없습니다. 하지만 DLP 규칙을 만들어 다음을 수행할 수 있습니다.
- 파일 제목 및 Drive 라벨과 같이 Drive 파일의 암호화되지 않은 메타데이터를 검사하면 민감한 정보의 유출을 방지하는 데 도움이 될 수 있습니다.
- Drive 파일 검사 시 규칙 조건 파일 암호화 상태 > 일치 > 클라이언트 측에서 암호화됨 또는 클라이언트 측 암호화되지 않음을 선택하여 클라이언트 측 암호화 여부를 확인합니다.
Drive용 DLP 규칙을 만드는 방법에 대한 자세한 내용은 Drive용 DLP 규칙 및 맞춤 콘텐츠 감지기 만들기를 참고하세요.
CSE를 지원하지 않는 Google Workspace 버전으로 전환
사용자 라이선스에 더 이상 CSE가 없는 경우 암호화된 콘텐츠는 어떻게 되나요?
사용자를 CSE가 포함되지 않은 Google Workspace 라이선스로 전환한 경우에도 사용자는 파일 및 이메일과 같은 클라이언트 측에서 암호화된 항목에 계속 액세스하고 수정할 수 있습니다. 하지만 클라이언트 측에서 암호화된 항목을 새로 만들 수 없습니다.
CSE를 더 이상 사용하지 않으려는 경우 콘텐츠에서 암호화를 삭제할 수 있나요?
CSE 사용을 중지하고 파일 및 이메일과 같은 항목을 복호화하려면 먼저 데이터 내보내기 도구를 사용하여 해당 항목을 내보내야 합니다. 그런 다음 복호화 유틸리티를 사용하여 CSE를 삭제합니다.