형사사법정보부(CJIS)

미국연방수사국(FBI) 형사사법정보부(CJIS)에서는 Google Cloud와 같은 클라우드 서비스 제공업체(CSP)를 사용할 때 연방, 주, 지역, 부족 기관에 형사사법정보(CJI)를 보호하는 방법을 안내합니다.

고객은 Assured Workloads를 통한 데이터 경계Google Workspace용 Assured Controls를 활용하여 Google Cloud에서 CJIS 보안 정책 v6.0을 준수할 수 있습니다.

CJIS 소개

FBI CJIS 부서는 전국의 형사사법기관(CJA)에서 활용하는 많은 국가 데이터베이스를 감독합니다. 이러한 데이터베이스에 유지되는 데이터의 대부분은 형사사법정보(CJI)로 간주되며 무단 사용 및 공개로부터 보호됩니다. FBI CJIS 부서에서 게시한 CJIS 보안 정책('CJISSECPOL')은 CJI 보호 및 보안을 위한 최소 보안 요구사항을 제공합니다.

또한 FBI는 CJIS 보안 정책의 최근 변경사항을 강조 표시하고 CJI에 액세스하는 법인의 보안 역할과 책임을 파악하는 데 도움이 되는 요구사항 동반 문서를 제공합니다. CJI에 액세스하는 CJA는 항상 CJIS 규정 준수를 보장할 책임이 있지만, 요구사항 동반 문서는 CJA가 특정 요구사항이 충족되고 있는지 확인할 수 있는 기술적 역량을 갖춘 주체(예: FBI CJIS 부서, CJA, 서비스 제공업체 등)를 판단하는 데 지침을 제공합니다. 

고객은 Assured Workloads를 통한 데이터 경계Google Workspace용 Assured Controls를 사용해서 CJIS 보안 정책 v6.0의 규정을 준수할 수 있습니다. Google Cloud의 v6.0 규정 준수는 서드 파티 평가 조직(3PAO)인 Coalfire에서 독립적으로 평가하고 검증했습니다. 또한 고객이 CJIS v6.0을 더 쉽게 준수할 수 있도록 CJIS 구현 가이드를 제공하고 있습니다. Google Cloud가 클라우드 서비스 제공업체에 적용되는 CJISS ECPOL 요구사항을 충족하는 방법을 보여주기 위해 요청 시 추가 규정 준수 정보도 제공할 수 있습니다. 

또한 Google Cloud는 CJIS 자문 정책 위원회 회의에 참석하고 새로운 버전의 CJIS 보안 정책 및 요구사항 동반 문서를 검토하여 Google의 정책과 절차가 변경사항을 준수하는지 확인합니다.

Google Cloud와 CJIS 규정 준수

Google Cloud

Google Cloud의 Assured Workloads를 통한 데이터 경계는 고객이 CJIS 보안 정책 v6.0을 준수할 수 있는 최신 접근 방식을 제공하며 FedRAMP High, 미국 국방부 IL2/IL4/IL5와 같은 추가 프레임워크의 규정 준수를 지원합니다.

Assured Workloads를 통한 데이터 경계는 규정 준수를 위해 제로 트러스트, 소프트웨어 중심 접근 방식을 취합니다. 이를 통해 고객은 엄격한 정부 클라우드 규정 준수 요구사항을 충족하면서도 물리적으로 분리된 클라우드 아키텍처를 사용할 때 포기하는 성능, 규모, 서비스 가용성, 비용, 안정성 이점을 누릴 수 있습니다. 공공 부문 고객과 형사사법기관(CJA)은 Assured Workloads를 통해 데이터 경계를 활용하여 Google Cloud 환경에서 CJI를 처리, 저장, 전송할 수 있으며 이 양식을 작성하여 무료 체험판을 요청할 수 있습니다.

Assured Workloads를 통한 데이터 경계는 다음과 같은 방식으로 주, 지역, 부족, 연방 정부의 법 집행 기관(및 CJI의 기타 형사 사법 또는 비형사 사법 사용자)을 위한 보안 및 규정 준수를 간소화합니다.

  • CJIS 워크로드를 미국 전용 리전으로 제한하도록 데이터 위치 제어 설정('데이터 상주')
  • 주 CJIS 시스템 기관(CSA) 또는 CJA에서 지문 기반 백그라운드 확인을 완료한 미국 거주 미국인의 암호화되지 않은 CJI에 대한 무단 액세스 제한
  • Google Cloud에서 호스팅되거나 외부 키 관리자를 사용하여 호스팅되는 고객 관리 암호화 키(CMEK) 사용 지원
  • 고객이 관리 액세스를 제어하고 파악할 수 있도록 지원
  • 규정 준수 위반 여부를 지속적으로 모니터링하는 고객 환경

Google Workspace

Google Workspace를 위한 Assured Controls를 통해 조직은 고객 데이터에 대한 Google 담당자의 액세스를 제한하거나 고객 데이터의 위치가 미국으로 제한되도록 하는 등 조직 및 규정 준수 요구사항을 충족할 수 있습니다.

Google Workspace를 사용하여 CJIS 솔루션을 배포하려는 고객은 Assured Controls를 사용해서 CJIS 보안 정책에 맞게 정책을 설정할 수 있습니다. Google Workspace에서 CJIS 솔루션에 대한 구성 가이드는 여기에서 찾을 수 있습니다.

Google 직원 및 CJIS 심사

50개 주와 워싱턴 D.C.의 고객은 Google Cloud의 고객 구현 지원 능력과 CJIS 보안 정책 준수 입증 능력을 신뢰하고 CJIS 애플리케이션을 Google Cloud에 안전하게 호스팅하거나 마이그레이션할 수 있습니다.

Google Cloud의 CJIS 범위 인력은 중앙 집중식 심사를 지원하는 다음 주에서 심사를 거쳤습니다. 앨라배마, 알래스카, 애리조나, 콜로라도, 델라웨어, 플로리다, 조지아, 하와이, 아이다호, 인디애나, 캔자스, 켄터키, 루이지애나, 메인, 메릴랜드, 매사추세츠, 미시간, 미네소타, 미시시피, 미주리, 몬타나, 네브라스카, 노스캐롤라이나, 노스다코타, 오클라호마, 펜실베이니아, 테네시, 유타, 워싱턴, 웨스트버지니아, 위스콘신, 와이오밍. 

Google Cloud 직원은 다른 모든 주에서 백그라운드 확인을 받을 준비가 되어 있습니다. 위에 나열되지 않은 주에서 Google 직원을 심사하는 방법에 대해 자세히 알아보려면 해당 주의 CSA 또는 cjis@google.com에 문의하세요.

CJIS 범위에 해당하는 Google Cloud 서비스

Access Context Manager

액세스 투명성

Agent Assist

PostgreSQL용 AlloyDB

Apigee

App Hub

Artifact Registry

Backup for GKE

BigQuery

BigQuery Data Transfer Service

Bigtable

Binary Authorization

Certificate Authority Service

Cloud 애셋 인벤토리

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud 외부 키 관리자(Cloud EKM)

Cloud HSM

Cloud ID

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT(네트워크 주소 변환)

Cloud OS Login API

Cloud Router

Cloud Run

Cloud Run Functions

Cloud SQL

Cloud Storage

Cloud Tasks

Cloud Vision API

Cloud VPN

Cloud Workstations

Compute Engine

Connect

대화형 에이전트(Dialogflow CX)

대화형 인사이트

데이터베이스 센터

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

필수 연락처

Eventarc

Filestore

Firebase 보안 규칙

Firestore

Vertex AI의 생성형 AI

GKE 허브

GKE Identity Service

Google 관리 콘솔

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

IAP(Identity-Aware Proxy)

Infrastructure Manager

키 액세스 근거

Looker(Google Cloud 핵심 서비스)

Memorystore for Redis

Model Armor

Network Connectivity Center

조직 정책 서비스

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

서비스 메시

Spanner

Speech-to-Text

Storage Transfer Service

Text-to-Speech

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI Search

Vertex AI Workbench

가상 프라이빗 클라우드(VPC)

VPC 서비스 제어

Web Risk

직원 ID 제휴

FAQ

최근 독립적인 서드 파티 평가 조직에서 Google Cloud의 보안 제어를 평가한 결과 Google Cloud가 CJIS 보안 정책 v6.0을 준수하고 있음을 확인했습니다. 

고객 또는 주 CJIS 시스템 기관(CSA)에서 요청하는 경우 Google Cloud는 관리 계약을 체결하여 Google Cloud가 CJIS 보안 정책을 준수하는 방법, 각 당사자의 책임, 포함된 클라우드 서비스, 기타 여러 중요한 조항에 관한 세부 정보를 고객에게 제공합니다. cjis@google.com으로 이메일을 보내 Google Cloud CJIS 관리 계약 사본을 요청할 수 있습니다.

Google Cloud 규정 준수팀은 Google Cloud가 클라우드 서비스 제공업체에 적용되는 CJISSECPOL 요구사항을 충족하는 방법을 보여주는 자세한 규정 준수 설명도 제공할 수 있습니다.

예. Google Cloud를 사용하면 고객이 Assured WorkloadsAssured Controls를 통해 CJIS 워크로드를 미국 전용 리전으로 제한할 수 있습니다. Google은 서비스별 약관에 따라 저장 데이터를 보관합니다.

Google은 주 CSA(또는 지역 기관)와 협력하여 주의 암호화되지 않은 CJI에 대해 무단으로 액세스할 수 있는 Google 직원이 CJIS 보안 정책에 부합하는 지문 기반 백그라운드 확인을 받도록 합니다. 범위 내 Google 직원은 필요한 서류와 함께 FD-258 지문 카드를 각 CSA 또는 지역 기관에 제출합니다.

이 프로세스를 통해 범위 내 직원은 지문 기반 백그라운드 확인을 완료하고, CJIS 보안 인식 교육을 이수하고, CJIS 보안 추가 조항에 서명한 후에만 암호화되지 않은 CJI에 대한 무단 액세스 권한을 부여받을 수 있습니다.

Google은 서비스와 운영의 핵심에 제로 트러스트를 구현했습니다. Google 인프라는 인프라에서 실행 중인 서비스 간에 신뢰가 있다고 가정하지 않습니다. 즉, 모든 리소스 액세스 요청은 신뢰할 수 없는 네트워크에서 전송된 것처럼 검사, 인증, 검증됩니다.

Google Cloud 내 고객 환경도 논리적으로 분리되어 사용자와 고객이 할당되지 않은 리소스에 액세스하지 못하도록 합니다. 고객 데이터(CJI 포함)는 도메인별로 논리적으로 분리되어 단일 테넌트에 대한 데이터를 생성할 수 있습니다. Google Cloud는 이러한 방식으로 고객 데이터를 보호하는 동시에 기능을 더 빠르게 개발하고 고객 비용을 절감할 수 있는 기능을 제공하므로 정부 고객에게 더 적합한 선택입니다.

예. Google Cloud는 프로덕션 환경에서 BoringCrypto(인증서 4735)라는 FIPS 140-3 검사 암호화 모듈을 사용합니다. Google Cloud는 고객 측에서 어떠한 조치를 취하지 않아도 하나 이상의 암호화 메커니즘을 사용하여 저장 및 시설 간 전송 중인 모든 고객 콘텐츠를 암호화합니다. 

이를 통해 고객은 CJIS 보안 정책을 준수하면서 Google 관리 키, 고객 관리 암호화 키, 외부 키 관리와 같은 다양한 Cloud 키 관리 제품 중에서 선택할 수 있습니다. Google Cloud는 저장 데이터와 전송 중인 데이터에 이 수준의 암호화를 기본적으로 사용하므로 고객이 FIPS 140-3 검사 암호화를 상속하고 FIPS 모드에서 제품 및 서비스를 실행할 필요가 없습니다.

아니요. Google은 고객 관리 암호화 키를 제공하고 적절한 심사를 거친 CJIS 범위 내 인력에 대해서만 암호화되지 않은 CJI에 대한 무단 액세스를 제한하기 때문에 Google Cloud에서 CJIS에 대해서는 컨피덴셜 컴퓨팅이 필요하지 않습니다. 하지만 고객은 보안 및 제한된 CJIS 데이터 경계 외에도 컨피덴셜 컴퓨팅을 활용하도록 선택할 수 있습니다.

CJIS 보안 정책은 정부 클라우드('GovCloud') 사용을 요구하지 않으며 CJIS 보안 정책에 GovCloud의 구성 요소에 대한 정의나 표준이 없습니다. Google Cloud의 CJIS 데이터 경계는 고객이 CJIS 보안 정책을 준수하도록 지원하며, Google Cloud의 규정 준수는 독립적인 서드 파티 평가 조직과 수많은 주 CSA에 의해 검증되었습니다. 

Google은 퍼블릭 클라우드 인프라에 레이어로 구성된 보안 접근 방식에 투자하여 암호화 및 강력한 직원 데이터 액세스 제어와 같은 기능을 제공하고 있습니다. 이는 위에 설명된 제로 트러스트 구현과 함께 고객이 퍼블릭 클라우드의 지속적인 제품 혁신을 활용할 수 있도록 하면서도 CJIS 보안 정책의 엄격한 요구사항을 충족하는 데 필요한 강력한 보안 상황을 제공합니다.

앞서 언급한 제어 기능 등을 비롯한 Google의 구현은 FedRAMP Moderate 및 FedRAMP High 요구사항을 준수하며 합동인증위원회(JAB)의 인정을 받았습니다. 

미국 관리예산국(OMB) 메모 M-24-15('연방 위험 및 인증 관리 프로그램(FedRAMP) 현대화')에서 연방 기관이 격리된 GovCloud 아키텍처에서 벗어나도록 권장하는 내용을 보면 Google의 접근 방식이 타당함을 알 수 있습니다.

“FedRAMP는 연방 보안 프레임워크의 적용이나 기타 프로그램 운영을 통해 연방 정부용으로 별도의 전용 서비스를 만들도록 상업용 클라우드 제공업체에 인센티브를 제공하거나 요구해서는 안 됩니다. 연방 정부는 상업용 클라우드 제공업체가 시장에서 성공하기 위해 핵심 제품에 투자하고 보안을 유지하며 신속하게 기능을 개발하는 혜택을 누리고 있습니다. 상업용 서비스 제공업체 역시 FedRAMP와의 협력을 통해 얻은 개선된 보안 관행을 핵심 서비스에 통합하도록 인센티브를 받게 되므로 모든 고객에게 도움이 됩니다."

예, Google Cloud 고객은 Google Cloud 또는 Google Workspace를 사용할 때 고객 데이터를 소유합니다. 데이터 처리 약정에 대한 자세한 내용은 Cloud 데이터 처리 추가 조항(CDPA) 및 개인 정보 보호 리소스 센터를 참조하세요.

다음 단계 수행

$300의 무료 크레딧과 20여 개의 항상 무료 제품으로 Google Cloud에서 빌드하세요.

Google Cloud
Docs지원
콘솔
로그인
Security
위협 인텔리전스SecOpsCloud 보안컨설팅보안 리소스
  • 디지털 혁신 가속화
  • 디지털 혁신을 이제 막 시작한 기업이든 이미 일정 수준에 도달한 기업이든 Google Cloud를 사용하면 가장 까다로운 도전과제를 해결할 수 있습니다.
  • Google Cloud 제품
  • 100개가 넘는 제품을 살펴보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다. 모든 고객이 월간 사용량 한도까지 25개 이상의 제품을 무료로 사용할 수 있습니다.
  • 투명한 가격 책정 방식으로 비용 절감
  • Google Cloud는 사용한 만큼만 지불하는 가격 책정 방식으로 월별 사용량과 선불 리소스의 할인율을 기준으로 자동 할인을 제공합니다. 지금 Google에 문의하여 견적을 받아보세요.
Google Cloud