Google 제품 전반에 걸쳐, 특히 Google Cloud와 관련하여 가장 많이 들어오는 질문 주제 중 두 가지는 보안과 개인 정보 보호입니다. Google은 두 가지 모두를 매우 중요하게 여기며 Google에서 조직의 데이터 처리하는 과정을 통제할 수 있는 도구를 제공합니다. Google은 고객의 신뢰, 즉 Google이 고객의 데이터를 안전하게 지킬 능력이 있고 고객이 Google 시스템에 입력하는 개인정보의 보호를 중시하며, Google에서 제공하는 도구를 통해 고객이 자신의 정보를 통제할 수 있다는 신뢰에 기반을 두고 있습니다.
신뢰성, 개인 정보 보호, 보안에 대한 Google의 입장을 자세히 알아보려면 Google에서 사용자 데이터를 처리하는 방식을 참고하세요. 특히 Google Cloud와 관련된 질문은 다음의 FAQ를 참고하세요.
Google이 연관된 악용사례를 발견한 경우 Google팀에 사례를 신고하세요.
자주 묻는 질문(FAQ)
관리자에게 Google Cloud SOC 2/3 감사는 무엇을 의미하나요?Google Cloud는 독립적인 제3자 감사 기관으로부터 적정 서비스 조직 통제(SOC) 2/3 감사 의견을 발급받았습니다. Google에 맡겨진 고객 데이터는 SOC 2/3 감사 업계 표준에 따라 안전하게 보호되므로 Google Cloud 관리자는 안심하셔도 됩니다. SOC3 공개 보고서에 대해 자세히 알아보세요. Cloud 규정 준수 보고서 관리자에서 SOC 2 보고서 사본을 받으실 수 있습니다.
독립적인 제3자 감사 기관에서 Google Cloud가 다음과 같은 관리 조치 및 프로토콜을 적절하게 이행하고 있음을 확인했습니다.
- 논리적 보안: Google Cloud 프로덕션 시스템 및 데이터에 대한 논리적인 액세스가 승인된 개인에게만 허용되도록 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
- 개인정보 보호: Google에서 Google Cloud와 관련된 고객 데이터 및 개인정보를 보호하는 정책 및 절차를 시행하고 있음을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
- 데이터 센터의 물리적 보안: Google Cloud 데이터를 보관하는 데이터 센터와 사무실이 안전하게 보호됨을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
- 사고 관리 및 사용 가능 여부: Google Cloud 시스템은 중복성을 갖추고 있으며, 사고가 적절하게 보고, 대처, 기록됨을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
- 변경 관리: Google Cloud의 개발 및 변경사항을 프로덕션으로 배포하기 전에 테스트 및 독립적인 코드 검토를 이행하는 절차를 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
- 조직 및 관리:경영진이 Google Cloud 관련 회사 내 이니셔티브를 추적하고 필요한 의사소통을 진행할 수 있는 인프라와 기제를 제공함을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
EU의 개인 정보 보호법(GDPR)은 1995년 EU 데이터 보호 지침을 대체합니다. GDPR은 본인과 관련된 개인 정보에 대한 개인의 권한을 강화하고 이러한 데이터가 처리되는 장소와 무관하게 동일한 데이터 보호 법률을 유럽 전역에 적용하는 내용을 담고 있습니다.
Google은 Google Cloud의 GDPR 준수를 매우 중시합니다. 또한 자사 서비스 및 계약에 포함된 강력한 개인 정보 보호 및 보안 기능을 수년간 제공함으로써 고객이 GDPR 규정을 준수하는 데 어려움이 없도록 최선을 다하고 있습니다.
무엇보다도 데이터 컨트롤러는 데이터 처리에 있어 GDPR 요건에 적합한 기술적, 조직적 조치를 이행함을 충분히 보증할 수 있는 데이터 프로세서만 이용해야 할 의무가 있습니다.
Google의 데이터 처리 약관에는 고객에 대한 Google의 개인정보 보호 약속이 명시되어 있습니다. Google에서는 고객과 규제 기관의 피드백을 기반으로 수년에 걸쳐 해당 약관을 개선해 왔으며 GDPR 변경사항을 구체적으로 반영하도록 업데이트했습니다.
자세한 내용은 GDPR 사이트를 참고하세요.
GDPR과 관련된 계약 약정에 관계없이 GDPR은 데이터 프로세서(예: Google과 같은 클라우드 서비스 제공업체)에 직접 적용됩니다. Google에서는 GDPR 규정을 준수하고 Google 고객의 규정 준수도 지원할 수 있도록 최선을 다하고 있습니다. Google Cloud 서비스 사용 시 신속하게 고객의 규정 준수 수준을 평가하고 GDPR에 대비하려면 GDPR을 반영하여 업데이트된 데이터 처리 수정안을 참고하세요.
여기에 설명된 온라인 절차에 따라 데이터 처리 수정안에 동의할 수 있습니다.
Google의 인프라는 전 세계 여러 데이터 센터에 전략적으로 분포되어 있습니다. 투명성 보장을 위해 일부 Google 데이터 저장 시설은 유럽 경제 지역(EEA)에 포함되지 않는 국가에 위치합니다. 또한 Google Cloud의 연중무휴 24시간 지원 서비스를 구현하여 전 세계에 신속하고 효과적인 서비스를 제공하며, 일부 지원 센터는 EEA 외부 지역에 위치합니다. 위와 같은 이유로 Google에서는 사용자의 데이터가 정확히 어느 데이터 센터에 저장되어 있는지 알려드릴 수 없습니다.
새 사용자 계정의 비밀번호 생성에는 기호, 알파벳 대문자와 소문자, 숫자의 다양한 조합이 사용됩니다. 비밀번호의 길이는 최소 8자리 또는 도메인에 직접 정의한 최소 비밀번호 길이보다 길어야 합니다.
관리자 또는 최종 사용자가 Google Cloud에서 데이터를 삭제하면 Google에서는 고객 계약 및 개인정보처리방침에 따라 해당 데이터를 삭제합니다.
관리자가 사용자의 계정을 삭제하면 데이터를 복구할 수 없습니다. 사용자 삭제에 대한 권장사항을 보려면 고객센터를 참고하세요.
이메일 메시지를 복구하려는 경우 Google에서 제공하는 추가 보관처리 제품(Google Vault)을 이용하여 Google Workspace Business 및 Enterprise 버전을 보완할 수 있습니다. Google Vault 복구 솔루션이 적용되지 않는 제품의 경우 Google Workspace Marketplace를 방문하여 사용자의 요구사항에 맞는 솔루션을 제공하는 Google 파트너 업체가 있는지 확인하시기 바랍니다.
스팸 발송자는 이메일 메시지의 '보낸사람' 주소를 위조하여 스팸이 잘 알려진 조직 도메인에서 보낸 것처럼 보이게 할 수 있습니다. 피싱으로 알려진 이 행위는 민감한 정보를 수집하려는 시도일 경우가 많습니다. 피싱을 방지하기 위해 Google은 DMARC(Domain-based Message Authentication, Reporting & Conformance) 프로그램에 참여하고 있으며, 이를 통해 도메인 소유자는 자신의 도메인에서 전송된 인증되지 않은 메일을 처리하는 방법을 이메일 제공업체에 알릴 수 있습니다. Google Cloud 고객은 관리자 설정에서 DMARC 레코드를 만들고, 모든 발신 메일 스트림에서 SPF 레코드 및 DKIM 키를 구현하여 DMARC를 적용할 수 있습니다.
서비스이용 정책에 따라 다음의 조치를 취합니다.
- 스팸을 발송하는 Google Workspace 이메일 사용자가 확인된 경우, Google에서는 해당 사용자를 즉시 정지할 권리를 보유합니다.
- 도메인 차원의 스팸인 경우 Google에서는 계정 전체를 정지하고 모든 Google Cloud 서비스에 대한 관리자 액세스를 거부할 권리를 보유합니다.
도메인 이름의 소유자와 관리자만이 Google Cloud 관리 계정을 만들 수 있습니다. 가입하는 즉시 Google Cloud 관리자는 DNS(도메인 이름 시스템) 레코드를 변경함으로써 도메인 관리 권한을 확인하도록 요구받습니다. 이 확인 과정을 거치지 않으면 Google에서는 관리 계정을 열도록 허용하지 않습니다. 도메인 소유권이 확인되기 전까지는 도메인에 대한 Google 서비스도 적극적으로 관리할 수 없습니다.
관리자가 소유권을 확인한 후에는 관리자의 판단에 따라 해당 계정의 다른 사용자 이름에 관리 권한을 부여할 수 있습니다.
또한 도메인의 관리자가 아닌 사용자는 지원팀에 문의하여 관리 액세스를 요청할 수 있습니다. 일반적인 도메인 확인 절차는 요청자가 도메인 관리 권한을 가지고 있는지 확인하기 위한 것입니다.
마지막으로 등록된 보조 이메일 주소에 액세스할 수 있는 개인은 누구든지 비밀번호를 재설정하고 기본 관리자 계정에 액세스할 수 있습니다.