Google Cloud의 권한이 있는 액세스

이 콘텐츠는 2025년 2월에 마지막으로 업데이트되었으며 작성된 당시의 상황을 나타냅니다. Google이 지속적으로 고객 보호를 개선함에 따라 Google의 보안 정책 및 시스템은 향후 변경될 수 있습니다.

이 문서에서는 Google 직원의 고객 데이터 액세스를 제어하는 데 도움이 되는 기능과 제품을 설명합니다. Google Cloud 서비스 약관에 정의된 대로 고객 데이터는 고객 또는 최종 사용자가 본인 계정으로 서비스를 통해 Google에 제공하는 데이터입니다.

권한 있는 액세스 개요

일반적으로 고객 데이터는 광고주와 광고주가 사용 설정한 서비스에서만 액세스할 수 있습니다. Google Cloud 경우에 따라 Google 직원이 계약 서비스를 제공하는 데 도움이 되도록 사용자의 데이터에 액세스해야 할 수 있습니다 (예: 지원이 필요하거나 서비스 중단에서 복구해야 하는 경우). 이러한 유형의 액세스를 관리 액세스라고 합니다.

일시적으로 승인되거나 승격된 권한을 획득한 고급 권한을 가진 직원은 내부자 위험이 더 높습니다. Google의 특권 액세스 접근 방식은 가능한 공격 벡터의 수를 줄이는 데 중점을 둡니다. 예를 들어 다음과 같은 보안 제어를 사용합니다.

• 중복 인증 스키마
• 제한된 데이터 액세스 경로
• 시스템 전반에서 작업 로깅 및 알림
• 규제된 권한

이 접근 방식을 통해 내부 공격을 제어하고 감지하고, 사고의 영향을 제한하고, 데이터에 대한 위험을 줄일 수 있습니다.

Google Cloud 의 액세스 권한 관리 전략은 Google 직원이 고객 데이터를 보거나 수정할 수 있는 기능을 제한합니다.Google Cloud에서 권한 액세스 제한은 제품의 설계된 작동 방식에서 필수적인 부분입니다.

Google 직원이 내 데이터에 액세스할 수 있는 상황에 대한 자세한 내용은 Cloud 데이터 처리 추가 조항을 참고하세요.

액세스 권한 관리 철학

Google의 액세스 권한 관리 철학은 다음과 같은 원칙을 따릅니다.

• 액세스 제한은 역할 및 다자간 승인을 기반으로 해야 함: 기본적으로 Google 직원은 시스템 액세스가 거부됩니다. 액세스 권한이 부여되는 경우 이는 일시적이며 역할을 수행하는 데 필요한 수준 이상을 넘지 않습니다. 고객 데이터 액세스, 프로덕션 시스템의 중요한 작업, 소스 코드 수정은 수동 및 자동 확인 시스템에 의해 제어됩니다. Google 직원은 다른 사용자가 요청을 승인하지 않으면 고객 데이터에 액세스할 수 없습니다. 직원은 업무 수행에 필요한 리소스에만 액세스할 수 있으며 고객 데이터에 액세스하기 위해 유효한 근거를 제공해야 합니다. 자세한 내용은 Google에서 프로덕션 서비스를 보호하는 방법을 참고하세요.

• 워크로드에 엔드 투 엔드 보호가 적용되어야 함: 전송 중 암호화, 저장 중 암호화, 사용 중 암호화를 위한 컨피덴셜 컴퓨팅을 통해 Google Cloud 은 고객 워크로드의 엔드 투 엔드 암호화를 제공할 수 있습니다.

• 로깅 및 감사는 연속적으로 진행됨: Google 직원이 고객 데이터에 액세스하면 로그가 기록되고 위협 감지 시스템이 실시간 감사를 실시하여 로그 항목이 위협 지표와 일치하면 보안팀에 알립니다. 내부 보안팀은 알림과 로그를 평가하여 이상 활동을 식별하고 조사하여 사고의 범위와 영향을 제한합니다. 이슈 대응에 관한 자세한 내용은 데이터 이슈 대응 절차를 참고하세요.

• 액세스가 투명하고 고객 관리 기능을 포함해야 함: 고객 관리 암호화 키(CMEK)를 사용하여 자체 암호화 키를 관리하고 액세스를 제어할 수 있습니다. 또한 액세스 투명성은 모든 권한이 있는 액세스에 로깅된 비즈니스 근거가 있는지 확인합니다. 액세스 승인을 사용하면 Google 직원이 특정 데이터 세트에 대한 액세스 권한을 요청할 때 이를 승인하거나 거부할 수 있습니다.

Google 직원의 고객 데이터 액세스

기본적으로 Google 직원은 고객 데이터에 액세스할 수 없습니다. Google Cloud

Google 직원이 액세스 권한을 얻으려면 다음 조건을 충족해야 합니다.

• 관련 액세스 제어 목록 (ACL)의 구성원입니다.
• Google의 데이터 액세스 정책을 정기적으로 읽고 확인합니다.
• 신뢰할 수 있는 기기를 사용합니다.
• Titan 보안 키를 사용하여 다중 인증으로 로그인하면 사용자 인증 정보가 피싱될 위험이 최소화됩니다.
• 제공된 사유 (예: 지원 티켓 또는 문제 ID), 사용자 역할, 컨텍스트를 평가하는 도구에 액세스합니다.
• 도구에서 요구하는 경우 다른 자격을 갖춘 Google 직원의 승인 승인을 받습니다.
• Access Approval에 등록한 경우 승인을 받습니다.

인력 역할마다 액세스 수준이 다릅니다. 예를 들어 지원 역할은 고객 지원 티켓과 직접 관련된 고객 데이터에만 제한적으로 액세스할 수 있습니다. 엔지니어링 역할의 경우 서비스 안정성 또는 서비스 배포와 관련된 더 복잡한 문제를 해결하기 위해 추가 시스템 권한이 필요할 수 있습니다.

Google은 Google 서비스를 제공하기 위해 서드 파티 (예: 고객 지원 공급업체)와 협력할 때 서드 파티가 적절한 수준의 보안 및 개인 정보 보호를 제공하는지 평가합니다. Google Cloud 는 서비스 제공을 지원하는 데 사용되는 모든 하위 프로세서 목록을 게시합니다.

Google 직원이 고객 데이터에 액세스하는 이유

Google Cloud 는 Google 직원이 고객 데이터에 액세스할 필요성을 자동화, 최소화 또는 제거하도록 설계되었지만 Google 직원이 고객 데이터에 액세스해야 하는 경우가 여전히 있습니다. 이러한 케이스에는 고객이 시작한 지원, 서비스 중단 또는 도구 오류, 서드 파티 법적 요청, Google에서 시작한 검토가 포함됩니다.

고객이 시작한 지원

액세스 투명성을 사용하는 서비스에서 Google 직원이 고객 데이터에 액세스하는 경우는 일반적으로 고객이 시작한 이벤트(예: 고객 지원팀에 문의)의 결과입니다. 문제를 해결하기 위해 고객 지원 담당자에게 문의하면 고객 지원 담당자는 민감도가 낮은 데이터에만 액세스할 수 있습니다. 예를 들어 버킷에 대한 액세스 권한을 상실한 경우 고객 지원 담당자는 버킷 이름과 같이 민감도가 낮은 데이터에만 액세스할 수 있습니다.

서비스 중단 또는 도구 오류

서비스 중단 또는 도구 오류가 발생하면 Google 직원이 고객 데이터에 액세스하여 필요에 따라 백업 또는 복구를 실행할 수 있습니다. 이 경우 Google 직원은 고객 데이터에 직접 액세스할 수 있는 도구를 사용하여 효율성을 극대화하고 문제를 적시에 해결합니다. 이러한 도구는 이 액세스와 엔지니어가 제공한 사유를 기록합니다. Google 보안 대응팀에서도 액세스를 감사하고 로깅합니다. 지원되는 Google Cloud서비스는 서비스 중단 중에 사용자에게 표시되는 액세스 투명성 로그를 생성합니다. 서비스 중단이 발생하면 엔지니어가 리소스의 허용 목록을 우회할 수 없지만, 개발자의 승인 없이 데이터에 액세스할 수 있습니다.

서드 파티 법적 요청

서드 파티 법적 요청은 드물게 발생하며 법무팀만 유효한 법적 액세스 근거를 생성할 수 있습니다. 법무팀은 요청이 법적 요건과 Google 정책을 충족하는지 검토하고, 법적으로 허용되는 경우 사용자에게 알림을 제공하며, 법에서 허용하는 범위 내에서 데이터 공개에 대한 이의 제기를 고려합니다. 자세한 내용은 클라우드 고객 데이터에 대한 정부 요청(PDF)을 참고하세요.

Google에서 시작한 검토

Google에서 시작한 검토도 드뭅니다. 이러한 사고가 발생하면 고객 데이터가 안전하고 보안이 유지되며 손상되지 않았는지 확인해야 합니다. 이러한 검토의 주요 이유는 보안 문제, 사기, 악용 또는 규정 준수 감사입니다. 예를 들어 자동 비트코인 채굴 감지기가 VM이 비트코인 채굴에 사용되고 있음을 감지하면 Google에서 문제를 검토하고 VM 기기의 멀웨어가 VM의 용량을 소모하고 있는지 확인합니다. Google에서 멀웨어를 삭제하여 VM 사용량이 정상으로 돌아갑니다.

Google에서 고객 데이터에 대한 액세스를 제어하고 모니터링하는 방법

Google의 내부 통제에는 다음이 포함됩니다.

• 승인되지 않은 액세스를 방지하기 위한 광범위한 인프라 전반의 제어 시스템
• 지속적인 제어를 통한 무단 액세스 감지 및 해결
• 내부 감사팀 및 독립적인 서드 파티 감사인의 모니터링, 위반 알림, 정기 감사

Google이 물리적 인프라를 보호하는 방법에 대한 자세한 내용은 Google 인프라 보안 설계 개요를 참고하세요.

인프라 전체에 적용되는 관리 기능

Google은 보안을 핵심으로 인프라를 구축했습니다. Google의 글로벌 인프라는 상당히 균질하므로 Google은 자동화된 인프라를 사용하여 제어를 구현하고 권한이 있는 액세스를 제한할 수 있습니다. 다음 섹션에서는 권한 액세스 원칙을 구현하는 데 도움이 되는 몇 가지 제어 기능을 설명합니다.

모든 액세스에 강력한 인증

Google은 사용자 (예: 직원) 및 역할 (예: 서비스)의 데이터 액세스에 강력한 인증 요구사항을 적용합니다. 프로덕션 환경에서 실행되는 작업은 이러한 ID를 사용하여 다른 서비스의 데이터 저장소 또는 원격 프로시저 호출(RPC) 메서드에 액세스합니다. 여러 작업을 동일한 ID로 실행할 수 있습니다. Google 인프라는 특정 ID를 사용하는 작업을 배포하거나 수정하는 권한을 서비스 실행 책임자(일반적으로 사이트 안정성 엔지니어(SRE))로 제한합니다. 작업이 시작되면 암호화 사용자 인증 정보로 프로비저닝됩니다. 작업은 이러한 사용자 인증 정보를 사용해 다른 서비스의 요청을 실행할 때 ID를 증명합니다 (애플리케이션 레이어 전송 보안(ALTS) 사용).

컨텍스트 인식 액세스

제로 트러스트 보안을 달성하기 위해 Google의 인프라는 컨텍스트를 사용하여 사용자와 기기를 인증하고 승인합니다. 액세스 결정은 정적 사용자 인증 정보 또는 기업 인트라넷에서 생성된 것인지 여부에만 기반하지 않습니다. 요청의 전체 컨텍스트 (예: 사용자 ID, 위치, 기기 소유권 및 구성, 세분화된 액세스 정책)를 평가하여 요청의 유효성을 확인하고 피싱 시도 및 사용자 인증 정보를 도용하는 멀웨어로부터 보호합니다.

컨텍스트를 사용하면 각 인증 및 승인 요청에서 보안 토큰 또는 기타 2단계 인증 프로토콜과 함께 강력한 비밀번호를 사용해야 합니다. 인증된 사용자와 신뢰할 수 있는 기기에는 필요한 리소스에 대한 제한적이고 임시적인 액세스 권한이 부여됩니다. 머신 인벤토리는 안전하게 유지되며 연결되는 각 기기의 상태 (예: OS 업데이트, 보안 패치, 기기 인증서, 설치된 소프트웨어, 바이러스 검사, 암호화 상태)를 평가하여 잠재적인 보안 위험을 파악합니다.

예를 들어 Chrome Enterprise Premium을 사용하면 직원 사용자 인증 정보가 도난당하거나 오용되지 않고 연결 기기가 손상되지 않도록 할 수 있습니다. Chrome Enterprise Premium은 액세스 제어 기능을 네트워크 경계에서 개별 사용자 및 기기의 컨텍스트로 이전하여 Google 직원이 VPN 없이도 어디서나 더 안전하게 업무를 처리할 수 있도록 지원합니다.

모든 프로덕션 소프트웨어 검토 및 승인

Google 인프라는 Borg라는 클러스터 관리 시스템을 사용하여 컨테이너화되어 있습니다. Borg용 Binary Authorization은 특히 코드가 민감한 정보에 액세스할 수 있는 경우 프로덕션 소프트웨어가 배포되기 전에 검토 및 승인되도록 보장합니다. Borg용 바이너리 승인은 코드 및 구성 배포가 특정 표준을 충족하도록 하며 이러한 요구사항이 충족되지 않으면 서비스 소유자에게 알립니다. Borg용 Binary Authorization는 사용자 데이터에 액세스하기 전에 코드가 특정 표준 및 변경 관리 권장사항을 충족하도록 요구함으로써 Google 직원 (또는 도용된 계정)이 단독으로 프로그래매틱 방식으로 사용자 데이터에 액세스할 가능성을 줄입니다.

로그 파일 액세스

Google 인프라는 데이터 액세스 및 코드 변경사항을 로깅합니다. 로깅 유형에는 다음이 포함됩니다.

• 고객 로그: Cloud 감사 로그를 사용하여 사용할 수 있습니다.

• 관리 액세스 로그: 액세스 투명성을 사용하여 사용할 수 있습니다.

• 배포 무결성 로그: 고객 데이터 액세스 감사를 전담하는 중앙 보안팀에서 모니터링하는 예외 관련 내부 로그입니다. 예외 모니터링은 민감한 정보를 보호하고 프로덕션 안정성을 향상하는 데 도움이 됩니다. 예외 모니터링을 사용하면 실수로 또는 의도적인 공격의 결과로 검토되지 않았거나 제출되지 않은 소스 코드가 권한이 있는 환경에서 실행되지 않도록 할 수 있습니다.

이슈 감지 및 대응

Google은 의심스러운 액세스 위반을 감지하고 대응하기 위해 전문 내부 조사팀과 머신러닝, 고급 데이터 처리 파이프라인, 위협 인텔리전스 이슈를 결합한 수동 및 자동 제어를 사용합니다.

신호 개발

Google의 감지 및 대응 기능의 핵심은 위협 인텔리전스이며, 이는 과거 사고, 네트워크 트래픽, 내부 데이터, 시스템 액세스 로그, 비정상적인 동작 패턴, 공격적인 보안 시뮬레이션의 결과, 기타 여러 독점 알림을 지속적으로 분석하여 강화됩니다. 이 데이터는 모든 Google을 포함하는 동적 신호 데이터베이스 또는 위협 지표를 생성하는 전담팀에서 분석합니다. 엔지니어링팀은 위협 지표를 사용하여 악의적인 활동이 있는지 내부 시스템을 모니터링하고, 적절한 직원에게 알리고, 자동화된 응답 (예: 리소스에 대한 액세스 권한 취소)을 구현하는 전문적인 감지 시스템을 개발합니다.

위협 감지

위협은 주로 로그를 스캔하고 로그 항목을 위협 지표와 일치시킴으로써 감지됩니다. 강력한 인증을 통해 Google은 로그에서 사람 이벤트, 서비스 이벤트, 서비스 명의 도용 이벤트를 구분하여 실제 사람 액세스에 대한 조사의 우선순위를 정할 수 있습니다. 사용자 데이터, 소스 코드, 민감한 정보에 대한 액세스가 포함된 활동은 로깅되며 비즈니스 사유 또는 예외가 필요합니다. 위협에는 민감한 시스템에 대해 일방적인 조치를 취하거나 타당한 비즈니스 사유 없이 사용자 데이터에 액세스하려는 개인이 포함될 수 있습니다. 이러한 유형의 활동에는 정의된 알림 절차가 있습니다.

사고 조사

정책 위반이 감지되면 핵심 엔지니어링팀 및 운영팀과 별개인 보안팀이 독립적으로 감독하고 초기 조사를 실시합니다. 보안팀은 다음 작업을 완료합니다.

• 이슈의 세부정보를 검토하고 액세스가 의도적이거나 의도하지 않거나 우발적이거나 버그 또는 구성 오류로 인한 것인지 또는 부적절한 제어 (예: 외부 공격자가 손상된 직원의 사용자 인증 정보를 도용하여 사용하는 경우)의 결과인지 확인합니다.
• 액세스가 의도적이지 않거나 우발적인 경우(예: Google 직원이 액세스 프로토콜을 모르거나 실수로 위반한 경우) 팀에서 지적 재산을 복구하는 등 문제를 해결하기 위한 즉각적인 조치를 취할 수 있습니다.
• 악의적인 행위가 의심되는 경우 보안팀은 이 사고를 에스컬레이션하고 데이터 및 시스템 액세스 로그를 비롯한 추가 정보를 수집하여 사고의 범위와 영향을 판단합니다.
• 문의 결과에 따라 보안팀은 추가 조사, 문서화, 해결을 위해 이슈를 제출하거나, 심각한 경우에는 외부 기관 또는 법 집행 기관에 이슈를 에스컬레이션합니다.

해결

보안팀은 과거 이슈를 사용하여 취약점을 식별하고 해결하며 감지 기능을 개선합니다. 모든 이슈가 문서화되고 메타데이터가 추출되어 각 악용에 대한 구체적인 전술, 기법, 절차를 식별합니다. 이 팀은 이 데이터를 사용하여 새로운 위협 지표를 개발하거나 기존 보호 기능을 강화하거나 보안 개선을 위한 기능 요청을 합니다.

Google의 데이터 액세스를 모니터링하고 제어하는 서비스

다음 Google Cloud 서비스는 Google의 데이터 액세스에 대한 가시성과 제어를 달성할 수 있는 옵션을 제공합니다.

Google Cloud 서비스	설명
액세스 승인	민감하거나 제한된 데이터가 있는 경우 액세스 승인을 사용하면 승인된 Google 관리자가 지원을 위해 데이터에 액세스하기 전에 승인을 받도록 요구할 수 있습니다. 승인된 액세스 요청은 승인 요청에 연결된 액세스 투명성 로그와 함께 로깅됩니다. 요청을 승인한 후에는 Google 내에서 적절한 액세스 권한이 부여되어야 액세스가 허용됩니다. 액세스 승인을 지원하는Google Cloud 서비스 목록은 지원되는 서비스를 참고하세요.
액세스 투명성	액세스 투명성은 Google 공인 직원이 조직을 지원하거나 서비스 가용성을 유지할 때의 관리 액세스를 로깅합니다. 액세스 투명성을 지원하는 Google Cloud 서비스 목록은 지원되는 서비스를 참고하세요.
Assured Workloads	기업에 전담 지역 지원, 인증된 규제 프로그램 (예: FedRAMP 또는 ITAR), EU 주권 통제와 같은 프로그램이 필요한 경우 Assured Workloads를 사용하세요. Assured Workloads는 Google Cloud 사용자에게 필요한 제어 패키지의 전체 기간을 만들고 모니터링하는 사용 설정 워크플로를 제공합니다.
Cloud KMS	Cloud EKM과 함께 Cloud KMS를 사용하여 암호화 키를 제어합니다. Cloud EKM을 사용하는 Cloud KMS를 사용하면 Google 인프라 외부에 배포된 서드 파티 키 관리 시스템에 저장되고 관리되는 암호화 키로 데이터를 암호화할 수 있습니다. Cloud EKM을 사용하면 저장 데이터와 암호화 키 간 분리를 유지하면서 클라우드 컴퓨팅 및 분석 기능을 활용할 수 있습니다.
컨피덴셜 컴퓨팅	컨피덴셜 컴퓨팅을 사용하여 사용 중인 데이터를 암호화합니다.Google Cloud 에는 컨피덴셜 컴퓨팅을 사용 설정하는 다음 서비스가 포함됩니다. 컨피덴셜 VM: VM을 사용하는 워크로드에 사용 중인 데이터 암호화 사용 설정 Confidential Google Kubernetes Engine 노드: 컨테이너를 사용하는 워크로드에 사용 중인 데이터 암호화 사용 설정 Confidential Dataflow: 스트리밍 분석 및 머신러닝에 사용 중인 데이터의 암호화를 사용 설정합니다. 컨피덴셜 Dataproc: 데이터 처리에 사용 중인 데이터의 암호화 사용 설정 Confidential Space: 공동 데이터 분석 및 머신러닝에 사용 중인 데이터의 암호화를 사용 설정합니다. 이러한 서비스를 사용하면 신뢰 경계를 줄여 기밀 데이터에 액세스할 수 있는 리소스를 줄일 수 있습니다. 자세한 내용은 Google Cloud에서 컨피덴셜 컴퓨팅 구현을 참고하세요.
키 액세스 근거	데이터 주권 및 검색에는 키 액세스 근거를 사용하세요. 키 액세스 근거는 외부 호스팅 키가 데이터 복호화에 사용될 때마다 근거를 제공합니다. 키 액세스 근거를 사용하려면 Cloud HSM을 사용하는 Cloud KMS 또는 Cloud EKM을 사용하는 Cloud KMS가 있어야 데이터에 대한 제어 권한을 강화할 수 있습니다. Google 직원이 휴면 데이터를 복호화하려면 먼저 액세스를 승인해야 합니다.

다음 단계

• 고객 데이터의 개인 정보 보호를 위한 Google의 노력에 대한 자세한 내용은 Google Cloud 및 일반적인 개인 정보 보호 원칙을 참고하세요.

• 승인되지 않은 관리 액세스를 방지하는 제어의 핵심 원칙에 대해 알아보려면 관리 액세스 제어 개요를 참고하세요.

• Google 직원이 고객 데이터 액세스를 요청할 수 있는 비즈니스 근거 목록을 확인하려면 정당성 이유 코드를 참고하세요.