이 콘텐츠는 2024년 5월에 마지막으로 업데이트되었으며 작성 당시의 상황을 나타냅니다. Google이 지속적으로 고객 보호를 개선함에 따라 Google의 보안 정책 및 시스템은 향후 변경될 수 있습니다.
이 문서에서는 Google Cloud에서 고객 데이터를 삭제할 때 진행되는 보안 프로세스를 간략히 설명합니다. Google Cloud 서비스 약관의 정의대로 고객 데이터는 고객 또는 최종 사용자가 본인 계정으로 서비스를 통해 Google에 제공하는 데이터입니다.
이 문서에서는 고객 데이터가 Google Cloud에 저장되는 방식, 삭제 파이프라인, Google 플랫폼에 저장된 데이터의 재구성을 방지하는 방법을 설명합니다.
Google의 데이터 삭제 약속에 대한 자세한 내용은 Cloud 데이터 처리 추가 조항(고객)을 참조하세요.
데이터 스토리지 및 복제
Google Cloud는 스토리지 서비스와 데이터베이스 서비스(예: Bigtable 및 Spanner)를 제공합니다. 대부분의 Google Cloud 애플리케이션과 서비스는 이러한 클라우드 서비스를 사용하여 간접적으로 Google 스토리지 인프라에 액세스합니다.
데이터 복제는 지연 시간이 짧고 가용성이 높으며 확장 가능하고 내구성이 우수한 솔루션을 제공하는 데 중요합니다. 구성과 프로젝트 요구사항에 따라 고객 데이터의 중복 사본을 로컬, 리전, 전역적으로 저장할 수 있습니다. Google Cloud의 데이터에서 수행된 작업은 동시에 여러 데이터 센터에 복제되므로 고객 데이터 가용성이 높아집니다. 하드웨어, 소프트웨어 또는 네트워크 환경에서 성능에 영향을 미치는 변경사항이 발생하면 고객 데이터는 고객의 구성 설정에 따라 자동으로 한 시스템이나 시설에서 다른 시스템이나 시설로 이동하므로 고객 프로젝트가 중단 없이 계속 대규모로 수행됩니다.
고객 데이터는 물리적 저장소 수준에서 2가지 유형의 시스템(활성 저장소 시스템 및 백업 저장소 시스템)에 안전하게 저장됩니다. 두 유형의 시스템은 데이터를 처리하는 방식이 다릅니다. 활성 스토리지 시스템은 Google 애플리케이션과 스토리지 레이어를 실행하는 Google Cloud의 프로덕션 서버입니다. 활성 시스템은 새 데이터를 쓰고 여러 복제된 사본에 데이터를 저장하고 검색하는 데 사용되는 디스크와 드라이브의 대규모 배열입니다. 활성 스토리지 시스템은 고객 데이터에서 실시간 읽기 및 쓰기 작업을 빠르고 대규모로 수행할 수 있도록 최적화되어 있습니다.
Google의 백업 스토리지 시스템은 대규모 정전 사태나 재해 발생 시 Google에서 데이터와 시스템을 복구하는 데 도움이 되도록 Google 활성 시스템의 전체 복사본과 증분 복사본을 정의된 기간 동안 보관합니다. 활성 시스템과 달리 백업 시스템은 Google 시스템의 주기적인 스냅샷을 받도록 설계되어 있으며 백업 사본은 제한된 기간이 지난 후 새 백업 사본이 생성되면 사용 중지됩니다.
앞서 설명한 스토리지 시스템 전체에서 저장되는 고객 데이터는 암호화됩니다. 자세한 내용은 기본 저장 데이터 암호화를 참조하세요.
데이터 삭제 파이프라인
고객 데이터가 Google Cloud에 저장되면 Google 시스템은 데이터 삭제 파이프라인에서 삭제 단계를 완료할 때까지 데이터를 안전하게 저장할 수 있도록 설계되어 있습니다. 이 섹션에서는 삭제 단계를 설명합니다.
1단계: 삭제 요청
삭제 요청을 시작하면 고객 데이터 삭제가 시작됩니다. 일반적으로 삭제 요청은 특정 리소스, Google Cloud 프로젝트 또는 Google 계정으로 전달됩니다. 삭제 요청은 요청 범위에 따라 서로 다른 방식으로 처리될 수 있습니다.
- 리소스 삭제: Cloud Storage 버킷과 같이 고객 데이터가 포함된 개별 리소스는 Google Cloud 콘솔에서 다양한 방법으로 또는 API를 통해 삭제될 수 있습니다. 예를 들어 삭제 버킷 또는
gcloud storage rm
명령어를 실행하여 명령줄을 통해 스토리지 버킷을 삭제하거나 스토리지 버킷을 선택하고 Google Cloud 콘솔에서 삭제할 수 있습니다. - 프로젝트 삭제: Google Cloud 프로젝트 소유자는 프로젝트를 종료할 수 있습니다. 프로젝트 삭제는 해당 프로젝트 번호와 연결된 모든 리소스에 대한 일괄 삭제 요청처럼 작동합니다.
- Google 계정 삭제: Google 계정을 삭제하면 조직과 연결되어 있지 않고 개발자가 단독으로 소유하고 있는 모든 프로젝트가 삭제됩니다. 조직 외부 프로젝트의 소유자가 여러 명인 경우 모든 소유자가 프로젝트에서 삭제되거나 모든 소유자가 자신의 Google 계정을 삭제할 때까지 프로젝트는 삭제되지 않습니다. 이 프로세스를 통해 소유자가 있는 한 프로젝트가 계속 유지됩니다.
- Google Workspace 또는 Cloud ID 계정 삭제: Google Workspace 또는 Cloud ID 계정을 삭제하면 Google Workspace 또는 Cloud ID 계정에 바인딩된 조직이 삭제됩니다. 자세한 내용은 조직의 Google 계정 삭제하기를 참조하세요.
삭제 요청은 주로 데이터를 관리하는 데 사용됩니다. 하지만 Google과의 관계를 종료하는 경우와 같이 Google에서 자동으로 삭제 요청을 실행할 수도 있습니다.
2단계: 소프트 삭제
소프트 삭제는 실수나 오류로 삭제 표시된 데이터를 복구할 수 있도록 짧은 내부 스테이징 및 복구 기간을 제공하는 프로세스 지점입니다. 기간이 Google의 전체 삭제 타임라인에 맞는다면 개별 Google Cloud 제품은 기본 스토리지 시스템에서 데이터가 삭제되기 전에 정의된 복구 기간을 적용하고 구성할 수 있습니다.
프로젝트가 삭제되면 Google Cloud는 먼저 고유한 프로젝트 번호를 식별한 후 해당 프로젝트 번호가 포함된 Google Cloud 제품(예: Compute Engine 및 Bigtable)에 정지 신호를 브로드캐스트합니다. 이 경우 Compute Engine은 해당 프로젝트 번호에 키가 지정된 작업을 정지하고 Bigtable의 관련 테이블은 최대 30일의 내부 복구 기간으로 전환됩니다. 복구 기간이 종료되면 Google Cloud에서 신호를 해당 제품에 브로드캐스트하여 고유한 프로젝트 번호와 연결된 리소스의 논리적 삭제를 시작합니다. 그런 다음 해당 제품에서 확인 신호(ACK)를 수집(그리고 필요에 따라 신호를 다시 브로드캐스트)해 프로젝트 삭제가 완료될 때까지 대기합니다.
Google 계정이 해지되면 과거 계정 활동에 따라 Google Cloud에서 최대 30일의 내부 복구 기간을 적용할 수 있습니다. 유예 기간이 만료되면 삭제된 결제 계정 사용자 ID가 포함된 신호가 Google 제품에 브로드캐스트되며 해당 사용자 ID와 단독으로 연결된 Google Cloud 리소스는 삭제 표시됩니다.
3단계: 활성 시스템에서의 논리적 삭제
데이터가 삭제 표시되고 복구 기간이 만료되면 Google의 활성 및 백업 저장소 시스템에서 데이터가 연속적으로 삭제됩니다. 활성 시스템에서는 데이터가 두 가지 방법으로 삭제됩니다.
Cloud Storage를 제외한 Compute, Storage, Database 프로젝트 카테고리의 모든 Google Cloud 제품에서 삭제된 데이터의 사본은 사용 가능한 스토리지로 표시되고 시간이 경과함에 따라 덮어씁니다. Bigtable과 같은 활성 스토리지 시스템에서 삭제된 데이터는 거대한 정형 테이블 내 항목으로 저장됩니다. 삭제된 데이터를 덮어쓰기 위해 기존 테이블을 압축하면 기존(삭제되지 않은) 데이터의 테이블을 다시 써야 하므로 많은 비용이 들 수 있습니다. 따라서 표시-비우기 가비지 컬렉션과 주요 압축 이벤트가 일정한 간격으로 발생하도록 예약하여 저장공간을 재확보하고 삭제된 데이터를 덮어씁니다.
Cloud Storage에서는 암호화 삭제를 통해 고객 데이터도 삭제됩니다. 암호화 삭제는 데이터 복호화에 필요한 암호화 키를 삭제하여 데이터를 읽을 수 없게 렌더링하는 업계 표준 기술입니다. 암호화 삭제 사용 이점 중 하나는 Google 제공 또는 고객 제공 암호화 키에 관계없이 Google Cloud의 활성 및 백업 스토리지 시스템에서 삭제된 모든 데이터 블록을 덮어쓰기 전에 논리적 삭제를 완료할 수 있다는 점입니다.
4단계: 백업 시스템에서의 만료
Google 활성 시스템에서의 삭제와 마찬가지로 덮어쓰기 및 암호화 기술을 사용하여 백업 시스템에서 삭제된 데이터를 제거합니다. 하지만 백업 시스템의 경우 백업 시스템에서 시스템 전체를 복원하는 데 시간과 비용이 들 수 있는 재해(예: 전체 데이터 센터에 영향을 미치는 정전) 발생 시 비즈니스 연속성을 보장하기 위해 정해진 기간 동안 데이터가 보관되는 활성 시스템의 대규모 집계 스냅샷에 고객 데이터가 저장됩니다. 합당한 비즈니스 연속성 관행에 따라 활성 시스템의 전체 스냅샷 및 증분 스냅샷을 일, 주, 월 주기로 생성하고 사전 정의된 기간이 지나면 사용 중지하여 최신 스냅샷을 위한 공간을 확보합니다.
백업이 중단되면 사용 가능한 공간으로 표시되고 새로운 일, 주 또는 월별 백업이 수행되어 백업을 덮어씁니다.
합당한 백업 주기에 따라 백업 시스템을 통해 데이터 삭제 요청 전파 시 사전 정의된 지연이 적용됩니다. 활성 시스템에서 삭제된 고객 데이터는 더 이상 백업 시스템에 복사되지 않습니다. 삭제 전에 수행된 백업은 사전 정의된 백업 주기에 따라 정기적으로 만료됩니다.
마지막으로 고객 데이터를 포함한 백업이 만료되기 전에 삭제된 데이터의 암호화를 삭제할 수 있습니다. 특정 고객 데이터를 암호화하는 데 사용된 암호화 키가 없으면 수명이 남았더라도 Google 백업 시스템에서 고객 데이터를 복구할 수 없습니다.
삭제 타임라인
Google Cloud는 높은 수준의 속도, 가용성, 내구성, 일관성을 제공하도록 설계되어 있습니다. 이러한 성능에 맞춰 시스템 설계를 최적화한 만큼 시기적절한 데이터 삭제가 필요합니다. Google Cloud는 최대 6개월(180일) 내에 고객 데이터를 삭제합니다. 이러한 약속의 일환으로 다음 단계와 함께 앞에서 설명한 Google 삭제 파이프라인 단계가 실행됩니다.
- 2단계: 삭제 요청이 이루어지면 일반적으로 즉시 데이터가 삭제 표시되며 최대 24시간 내에 이 단계를 수행하는 것이 Google의 목표입니다. 데이터가 삭제 표시된 후 서비스 또는 삭제 요청에 따라 내부 복구 기간이 최대 30일까지 적용될 수 있습니다.
- 3단계: 가비지 컬렉션 태스크를 완료하고 활성 시스템에서 논리적 삭제를 수행하는 데 필요한 시간입니다. 데이터 복제 수준과 진행 중인 가비지 컬렉션 주기 타이밍에 따라 삭제 요청을 받은 직후에 이 프로세스가 수행될 수 있습니다. 삭제 요청 후 일반적으로 활성 시스템에서 데이터가 삭제되는 데 약 2개월이 소요됩니다. 이 기간은 주요 가비지 컬렉션 주기를 2회 완료하고 논리적 삭제를 완료할 수 있는 충분한 시간입니다.
- 4단계: Google 백업 주기는 삭제 요청 후 6개월 내에 데이터 센터 백업에서 삭제된 데이터가 만료될 수 있도록 설계되어 있습니다. 데이터 복제 수준과 진행 중인 Google 진행 중인 백업 주기 타이밍에 따라 더 일찍 삭제가 수행될 수 있습니다.
다음 다이어그램에서는 Google Cloud의 삭제 파이프라인 단계와 활성 시스템과 백업 시스템에서 데이터가 삭제되는 시점을 보여줍니다.
안전한 미디어 정리 보장
엄격한 미디어 정리 프로그램은 수명 주기 종료에 도달한 물리적 스토리지 미디어에 대한 포렌식 또는 실험실 공격을 방지하여 삭제 프로세스 보안을 강화합니다.
Google은 Google 애셋 데이터베이스에서 추적되는 바코드와 애셋 태그를 사용하여 획득, 설치, 중단, 폐기를 거치는 Google 데이터 센터 내 모든 스토리지 장비의 위치와 상태를 세심하게 추적합니다. 승인 없이는 장비를 데이터 센터에서 옮기지 못하도록 생체 정보 식별, 금속 탐지, 카메라, 차량 방지 장벽, 레이저 기반의 침입 감지 시스템 등의 다양한 기술을 사용합니다. 자세한 내용은 Google 인프라 보안 설계 개요를 참조하세요.
물리적 스토리지 미디어는 다양한 이유로 사용 중단될 수 있습니다. 수명 주기 중 언제라도 성능 테스트를 통과하지 못한 구성요소는 인벤토리에서 삭제되어 중단됩니다. 또한 Google은 처리 속도와 에너지 효율성을 높이거나 저장용량을 늘리기 위해 사용하지 않는 하드웨어를 업그레이드합니다. 장애, 업그레이드 또는 기타 이유로 인한 하드웨어 중단과 관계없이 적절한 보호 조치를 사용하여 스토리지 미디어를 사용 중단합니다. Google 하드 드라이브는 전체 디스크 암호화(FDE) 및 드라이브 잠금과 같은 기술을 사용하여 사용 중단되는 중에도 저장 데이터를 보호합니다. 하드 드라이브가 중단되면 권한 있는 직원이 드라이브를 0으로 덮어쓰고 드라이브에 데이터가 포함되지 않도록 여러 단계의 확인 프로세스를 수행하여 디스크가 삭제되었는지 확인합니다.
이유를 불문하고 저장소 미디어의 삭제가 불가능한 경우 실제로 폐기될 때까지 안전하게 보관합니다. 사용 가능한 장비에 따라 드라이브를 압착 변형하거나 작은 조각으로 파기합니다. 어떻게 폐기하든 사용 중지된 Google 디스크에서 데이터를 읽을 수 없도록 안전한 시설에서 디스크를 재활용합니다. 각 데이터 센터는 엄격한 폐기 정책을 따르며 NIST SP 800-88 Revision 1 Guidelines for Media Sanitization 및 DoD 5220.22-M National Industrial Security Program Operating Manual 규정을 준수하는 것으로 알려진 기술을 사용합니다.