Google은 정보 처리 수명 주기 전체에 걸쳐 최고 수준의 보안을 제공하도록 설계된 글로벌 인프라를 운영합니다. 이 인프라는 서비스의 안전한 배포, 최종 사용자 개인정보 보호 수단이 적용된 안전한 데이터 저장, 서비스 간의 안전한 통신, 고객과의 안전한 비공개 인터넷 통신, 관리자에 의한 안전한 운영을 제공하도록 설계되었습니다. Google Workspace 및 Google Cloud는 이 인프라에서 실행됩니다.
Google에서는 데이터 센터의 물리적 보안부터 하드웨어 및 소프트웨어의 보안 보호 및 운영 보안 지원에 사용되는 프로세스에 이르기까지 자사의 인프라 보안 체계를 멀티 레이어로 설계했습니다. 이 멀티 레이어의 보안 덕분에 모든 요소에 견고한 보안 기반이 마련됩니다. 인프라 보안에 대한 자세한 내용은 Google 인프라 보안 설계 개요 백서를 참조하세요.
가용성, 무결성, 복원력
Google은 자사 플랫폼의 구성요소가 높은 중복성을 갖도록 설계합니다. Google의 데이터 센터는 지리적으로 분산되어 있어 자연재해 및 국지적 절전과 같은 지역적 장애 요인이 글로벌 제품에 미치는 영향을 최소화합니다. 하드웨어, 소프트웨어, 네트워크 장애가 발생하는 경우 해당 시설의 서비스가 즉각적으로 다른 시설로 옮겨가기 때문에 아무런 지장 없이 작업을 지속할 수 있습니다. Google의 중복성 높은 인프라는 고객의 데이터 손실을 방지합니다.
장비 테스트 및 보안
Google은 바코드와 애셋 태그를 활용해 데이터 센터 장비의 인수부터 설치, 사용 중지, 폐기에 이르기까지 상태와 위치를 추적합니다. 수명 주기 중 언제라도 성능 테스트를 통과하지 못한 구성요소는 인벤토리에서 삭제되어 사용 중지됩니다. Google 하드 드라이브에서는 전체 디스크 암호화(FDE)와 드라이브 잠금과 같은 기술을 활용해 저장 데이터를 보호합니다.
재해 복구 테스트
Google에서는 매년 재해 복구 테스트를 실시하여 인프라 및 애플리케이션팀이 통신 계획, 장애 조치 시나리오, 운영 전환, 기타 응급상황 대응을 테스트할 수 있도록 인프라 및 애플리케이션팀에 협력 플랫폼을 제공합니다. 재해 복구 모의 훈련에 참여하는 모든 팀은 테스트 계획을 개발하고 테스트를 통해 얻은 결과와 교훈을 문서화하는 사후 평가도 시행합니다.
암호화
Google은 암호화를 사용하여 전송 중인 데이터와 저장 데이터를 보호합니다. Google Workspace에서 리전 간에 전송 중인 데이터는 모든 사용자에게 기본적으로 활성화되어 있는 HTTPS로 보호됩니다. Google Workspace 및 Google Cloud 서비스는 고객 측에서 어떠한 조치를 취하지 않아도 암호화 메커니즘을 하나 이상 사용하여 비활성 상태로 저장된 고객 콘텐츠를 암호화합니다.
액세스 제어
Google 직원의 액세스 권한 및 수준은 최소 권한 및 알 권리를 바탕으로, 규정된 책임에 적합한 접근 권한을 부여하는 방식으로 직무와 역할에 맞게 할당됩니다. 추가 액세스 권한을 요청하려면 Google의 보안 정책에 명시된 대로 데이터나 시스템 소유자, 관리자 또는 기타 책임자의 승인과 요청을 포함하는 공식 프로세스를 따라야 합니다. Google Cloud 시스템과 인프라 구성요소를 수용하는 데이터 센터에는 물리적 접근 제한이 적용되며 연중무휴 24시간 체제로 현장 보안 담당자, 보안 경비, 출입 배지, 생체 인식 메커니즘, 물리적 잠금 장치, 비디오 카메라를 통해 시설 내부 및 외부를 감시하고 있습니다.
사고 관리
Google은 전 세계에 고객 데이터의 보안 및 개인정보 보호와 보안 관리를 담당하는 전담 보안팀을 연중무휴 24시간 체제로 운영하고 있습니다. 개별 팀원은 연중무휴 24시간 사고 관련 알림을 받고 긴급 상황을 해결할 수 있도록 지원합니다. 사고 대응 정책이 마련되어 있으며 중요한 사고를 해결하기 위한 절차도 문서화되어 있습니다. 이러한 이벤트를 통해 얻은 정보는 향후 사고를 예방하는 데 활용되며 정보 보안 교육에서 예시로 사용될 수 있습니다. Google 사고 관리 프로세스 및 대응 워크플로도 문서화되어 있습니다. Google의 사고 관리 프로세스는 ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS, SOC 2, FedRAMP 프로그램의 일환으로 정기적으로 테스트되어 고객과 규제 기관에 Google의 보안, 개인 정보 보호, 규정 준수 관리에 대한 독립적 검증 결과를 제공합니다. Google의 이슈 대응 프로세스에 대한 자세한 정보는 데이터 이슈 대응 프로세스 백서를 참조하세요.
취약점 관리
Google에서는 상용화 도구, 목적에 맞게 제작된 사내 도구, 집중적인 자동/수동 침투 시험, 품질 보증 프로세스, 소프트웨어 보안 검토, 외부 감사를 조합한 방식으로 소프트웨어 취약점을 검사합니다. 또한 더욱 광범위한 보안 연구 커뮤니티에 의뢰하여 Google Workspace, Google Cloud, 기타 Google 제품의 취약점을 파악하는 데 많은 도움을 받고 있습니다. Google의 취약점 발견 보상 프로그램은 연구자들로 하여금 고객 데이터에 해를 끼칠 수 있는 설계 및 구현 문제를 알리도록 유도하는 효과가 있습니다.
제품 보안 - Google Workspace: 자세한 내용은 https://workspace.google.com/security를 참조하세요.
제품 보안 - Google Cloud: 자세한 내용은 https://cloud.google.com/security/를 참조하세요.
전체 약관은 다음을 참조하세요.
- Google Cloud 및 Google Workspace - Cloud 데이터 처리 추가 조항(CDPA)
- 데이터 보안 | 7항
- 보안 조치 | 부록 2
- 관련 콘텐츠: Google 보안 백서
