Google에서는 관리되는 사용자 계정과 일반 사용자 계정이라는 두 가지 유형의 사용자 계정을 지원합니다. 관리되는 사용자 계정은 Cloud ID 또는 Google Workspace 관리자가 관리합니다. 반면 일반 계정은 해당 계정을 만든 사용자가 전적으로 소유하고 관리합니다.
ID 관리의 핵심 원칙은 조직의 ID를 한곳에서 관리하는 것입니다.
Google을 ID 공급업체(IdP)로 사용하는 경우 Cloud ID 또는 Google Workspace에서 ID를 관리해야 합니다. 직원들은 Cloud ID 또는 Google Workspace에서 관리되는 사용자 계정만 사용해야 합니다.
외부 IdP를 사용하는 경우 이 공급업체가 ID를 관리하는 단일 장소여야 합니다. 외부 IdP는 Cloud ID 또는 Google Workspace에 사용자 계정을 프로비저닝하고 관리해야 하며 직원들은 Google 서비스를 사용할 때 관리되는 이 사용자 계정만 사용해야 합니다.
직원들이 일반 사용자 계정을 사용하는 경우 한곳에서 ID를 관리한다는 전제가 깨집니다. 일반 계정은 Cloud ID, Google Workspace 또는 외부 IdP에서 관리하지 않습니다. 따라서 인증 개요에 설명된 것처럼 관리 계정으로 전환할 일반 사용자 계정을 식별해야 합니다.
이 문서의 뒷부분에 설명된 이전 도구를 사용하여 일반 계정을 관리 계정으로 변환하려면 최고 관리자 역할이 있는 Cloud ID 또는 Google Workspace ID가 있어야 합니다.
이 문서를 통해 다음을 이해하고 평가할 수 있습니다.
- 조직의 직원들이 사용 중인 기존 사용자 계정과 이러한 계정을 식별하는 방법
- 이러한 기존 사용자 계정에 수반되는 위험
예시 시나리오
이 문서에서는 직원들이 사용 중인 다양한 사용자 계정 집합을 보여주기 위해 예시 조직이라는 회사의 예시 시나리오를 사용합니다. 예시 조직에는 Google Docs 및 Google Ads와 같은 Google 서비스를 사용해 온 전현직 직원이 모두 여섯 명 있습니다. 이제 예시 조직은 ID 관리를 통합하여 ID를 관리할 단일 장소로 외부 IdP를 설정하려고 합니다. 각 직원은 외부 IdP에 ID가 있으며, 이 ID는 직원의 이메일 주소와 일치합니다.
example.com
이메일 주소를 사용하는 두 개의 일반 사용자 계정 Carol과 Chuck이 있습니다.
- Carol은 회사 이메일 주소(
carol@example.com
)를 사용하여 일반 계정을 만들었습니다. - 전 직원인 Chuck도 회사 이메일 주소(
chuck@example.com
)를 사용하여 일반 계정을 만들었습니다.
다른 두 직원, Glen과 Grace는 Gmail 계정을 사용하기로 결정했습니다.
- Glen은 가입한 Gmail 계정(
glen@gmail.com)
)을 사용하여 비공개 문서와 회사 문서 및 기타 Google 서비스에 액세스합니다. - Grace도 Gmail 계정(
grace@gmail.com
)을 사용하지만 회사 이메일 주소(grace@example.com
)를 보조 이메일 주소로 추가했습니다.
마지막으로 나머지 두 직원, Mary와 Mike는 이미 Cloud ID를 사용하고 있습니다.
- Mary는 Cloud ID 사용자 계정(
mary@example.com
)을 갖고 있습니다. - Mike는 Cloud ID 계정의 관리자이며 사용자(
admin@example.com
)를 직접 만들었습니다.
다음 다이어그램은 다양한 사용자 계정 집합을 보여줍니다.
ID를 관리할 단일 장소로 외부 IdP를 설정하려면 기존 Google 사용자 계정의 ID를 외부 IdP에 있는 ID에 연결해야 합니다. 따라서 다음 다이어그램은 외부 IdP에 있는 ID를 나타내는 계정 집합을 추가합니다.
직원들이 ID를 관리할 단일 장소로 외부 IdP를 설정할 경우 관리되는 사용자 계정만 사용해야 하고 외부 IdP가 해당 사용자 계정을 제어해야 합니다.
이 시나리오에서 이 요구사항을 충족하는 직원은 Mary뿐입니다. Mary는 관리되는 사용자 계정인 Cloud ID 사용자를 사용하며 사용자 계정의 ID가 외부 IdP의 ID와 일치합니다. 다른 직원은 모두 일반 계정을 사용하거나 계정의 ID가 외부 IdP의 ID와 일치하지 않습니다. 요구사항을 충족하지 않을 경우의 위험과 영향은 사용자마다 다릅니다. 각 사용자는 추가 조사가 필요할 수 있는 서로 다른 사용자 계정 집합을 나타냅니다.
조사할 사용자 계정 집합
다음 섹션에서는 문제가 될 수 있는 사용자 계정 집합을 살펴봅니다.
일반 계정
이 사용자 계정 집합은 다음 중 하나에 해당하는 계정으로 구성됩니다.
- 여러 Google 서비스에서 제공하는 가입 기능을 사용하여 직원이 만들었습니다.
- 회사 이메일 주소를 ID로 사용합니다.
예시 시나리오에서 이 설명은 Carol과 Chuck에 해당합니다.
비즈니스 용도로 사용되고 회사 이메일 주소를 사용하는 일반 계정은 비즈니스에 다음과 같은 위험을 초래할 수 있습니다.
일반 계정의 수명 주기를 제어할 수 없습니다. 퇴사하는 직원도 계속 사용자 계정을 사용하여 회사 리소스에 액세스하거나 회사 비용을 생성할 수 있습니다.
모든 리소스에 대한 액세스 권한을 취소하더라도 이 계정은 여전히 소셜 엔지니어링 위험을 초래할 수 있습니다. 이 사용자 계정은
chuck@example.com
과 같이 신뢰할 수 있는 것처럼 보이는 ID를 사용하므로 전 직원은 리소스에 대한 액세스 권한을 다시 부여하도록 현재 직원이나 비즈니스 파트너를 설득할 수 있습니다.마찬가지로 전 직원은 사용자 계정을 사용하여 조직의 정책에 부합하지 않는 활동을 수행하여 회사의 평판을 위험에 빠뜨릴 수 있습니다.
계정에 MFA 인증 또는 비밀번호 복잡성 규칙과 같은 보안 정책을 적용할 수 없습니다.
Google Docs 및 Google Drive 데이터가 저장되는 지리적 위치를 제한할 수 없어 규정 준수 위험이 발생할 수 있습니다.
이 사용자 계정을 사용하여 액세스할 수 있는 Google 서비스를 제한할 수 없습니다.
예시 조직에서 Google을 IdP로 사용하기로 결정한 경우 일반 계정을 처리하는 가장 좋은 방법은 Cloud ID 또는 Google Workspace로 마이그레이션하거나 소유자가 사용자 계정의 이름을 변경하도록 강제하여 삭제하는 것입니다.
예시 조직에서 외부 IdP를 사용하기로 결정한 경우 다음을 추가로 구분해야 합니다.
- 외부 IdP에 일치하는 ID가 있는 일반 계정
- 외부 IdP에 일치하는 ID가 없는 일반 계정
다음 두 섹션에서는 이 두 가지 하위 클래스를 자세히 살펴봅니다.
외부 IdP에 일치하는 ID가 있는 일반 계정
이 사용자 계정 집합은 다음 모두와 일치하는 계정으로 구성됩니다.
- 직원이 만들었습니다.
- 회사 이메일 주소를 기본 이메일 주소로 사용합니다.
- ID가 외부 IdP의 ID와 일치합니다.
예시 시나리오에서 이 설명은 Carol에 해당합니다.
이러한 일반 계정이 외부 IdP에 일치하는 ID를 갖고 있다는 것은 해당 사용자 계정이 현재 직원에 속하며 유지되어야 함을 의미합니다. 따라서 이 계정을 Cloud ID 또는 Google Workspace로 마이그레이션하는 것이 좋습니다.
외부 IdP에 일치하는 ID가 있는 일반 계정은 다음과 같이 식별할 수 있습니다.
- 일반 계정 가입에 사용되었을 것으로 의심되는 모든 도메인을 Cloud ID 또는 Google Workspace에 추가합니다. 특히 Cloud ID 또는 Google Workspace의 도메인 목록에는 조직의 이메일 시스템이 지원하는 모든 도메인이 포함되어야 합니다.
- 비관리 사용자를 위한 이전 도구를 사용하여 Cloud ID 또는 Google Workspace에 추가한 도메인 중 하나와 일치하는 이메일 주소를 사용하는 일반 계정을 식별합니다. 이 도구를 사용하면 영향을 받는 사용자 목록을 CSV 파일로 내보낼 수도 있습니다.
- 일반 계정 목록을 외부 IdP의 ID와 비교하고 일치하는 ID가 있는 일반 계정을 찾습니다.
외부 IdP에 일치하는 ID가 없는 일반 계정
이 사용자 계정 집합은 다음 모두와 일치하는 계정으로 구성됩니다.
- 직원이 만들었습니다.
- 회사 이메일 주소를 ID로 사용합니다.
- ID가 외부 IdP의 어느 ID와도 일치하지 않습니다.
예시 시나리오에서 이 설명은 Chuck에 해당합니다.
외부 IdP에 일치하는 ID가 없는 일반 계정의 몇 가지 원인은 다음과 같습니다.
- 계정을 만든 직원이 퇴사했다면 해당 ID가 더 이상 외부 IdP에 존재하지 않을 수 있습니다.
일반 계정 가입에 사용된 이메일 주소와 외부 IdP에 알려진 ID가 일치하지 않을 수 있습니다. 이메일 시스템에서 다음과 같은 이메일 주소 변형을 허용하는 경우 이러한 불일치가 발생할 수 있습니다.
- 대체 도메인 사용. 예를 들어
johndoe@example.org
와johndoe@example.com
은 동일한 편지함의 별칭일 수 있지만 사용자는 IdP에서johndoe@example.com
으로만 인식될 수 있습니다. - 대체 핸들 사용. 예를 들어
johndoe@example.com
와john.doe@example.com
은 동일한 편지함을 의미할 수도 있지만 IdP는 한 가지 맞춤법만 인식할 수 있습니다. - 다른 대소문자 표기 사용. 예를 들어
johndoe@example.com
과JohnDoe@example.com
이 동일한 사용자로 인식되지 않을 수 있습니다.
- 대체 도메인 사용. 예를 들어
외부 IdP에 일치하는 ID가 없는 일반 계정은 다음과 같은 방법으로 처리할 수 있습니다.
일반 계정을 Cloud ID 또는 Google Workspace로 마이그레이션한 다음 대체 도메인, 핸들 또는 대소문자 표기로 인한 불일치를 조정할 수 있습니다.
사용자 계정이 불법이거나 더 이상 사용되어서는 안 된다고 생각하면 소유자가 계정 이름을 변경하도록 강제하여 일반 계정을 삭제할 수 있습니다.
외부 IdP에 일치하는 ID가 없는 일반 계정은 다음과 같이 식별할 수 있습니다.
- 일반 계정 가입에 사용되었을 것으로 의심되는 모든 도메인을 Cloud ID 또는 Google Workspace에 추가합니다. 특히 Cloud ID 또는 Google Workspace의 도메인 목록에는 이메일 시스템이 별칭으로 지원하는 모든 도메인이 포함되어야 합니다.
- 비관리 사용자를 위한 이전 도구를 사용하여 Cloud ID 또는 Google Workspace에 추가한 도메인 중 하나와 일치하는 이메일 주소를 사용하는 일반 계정을 식별합니다. 이 도구를 사용하면 영향을 받는 사용자 목록을 CSV 파일로 내보낼 수도 있습니다.
- 일반 계정 목록을 외부 IdP의 ID와 비교하고 일치하는 ID가 없는 일반 계정을 찾습니다.
외부 IdP에 일치하는 ID가 없는 관리 계정
이 사용자 계정 집합은 다음 모두와 일치하는 계정으로 구성됩니다.
- Cloud ID 또는 Google Workspace 관리자가 수동으로 만들었습니다.
- ID가 외부 IdP의 어느 ID와도 일치하지 않습니다.
예시 시나리오에서 이 설명은 관리 계정에 ID admin@example.com
을 사용하는 Mike에 해당합니다.
외부 IdP에 일치하는 ID가 없는 관리 계정의 가능한 원인은 외부 IdP에 일치하는 ID가 없는 일반 계정의 경우와 유사합니다.
- 계정이 생성된 직원이 퇴사했다면 해당 ID가 더 이상 외부 IdP에 존재하지 않을 수 있습니다.
- 외부 IdP의 ID와 일치하는 회사 이메일 주소가 기본 이메일 주소가 아닌 별칭 또는 보조 이메일 주소로 설정되었을 수 있습니다.
- Cloud ID 또는 Google Workspace의 사용자 계정에 사용되는 이메일 주소가 외부 IdP에 알려진 ID와 일치하지 않을 수 있습니다. Cloud ID와 Google Workspace 모두 ID로 사용되는 이메일 주소가 있는지 확인하지 않습니다. 따라서 대체 도메인, 대체 핸들 또는 다른 대소문자 표기뿐 아니라 오타나 기타 인적 오류로 인해 불일치가 발생할 수 있습니다.
원인에 관계없이 외부 IdP에 일치하는 ID가 없는 관리 계정은 부적절한 재사용 및 네임 스퀏팅(name squatting)이 발생할 수 있으므로 위험합니다. 이러한 계정을 조정하는 것이 좋습니다.
외부 IdP에 일치하는 ID가 없는 일반 계정은 다음과 같이 식별할 수 있습니다.
- 관리 콘솔 또는 Directory API를 사용하여 Cloud ID 또는 Google Workspace의 사용자 계정 목록을 내보냅니다.
- 계정 목록을 외부 IdP의 ID와 비교하고 일치하는 ID가 없는 계정을 찾습니다.
회사 용도로 사용되는 Gmail 계정
이 사용자 계정 집합은 다음과 일치하는 계정으로 구성됩니다.
- 직원이 만들었습니다.
gmail.com
이메일 주소를 ID로 사용합니다.- ID가 외부 IdP의 어느 ID와도 일치하지 않습니다.
예시 시나리오에서 이 설명은 Grace와 Glen에 해당합니다.
회사 용도로 사용되는 Gmail 계정에는 외부 IdP에 일치하는 ID가 없는 일반 계정과 유사한 위험이 있습니다.
- 일반 계정의 수명 주기를 제어할 수 없습니다. 퇴사하는 직원도 계속 사용자 계정을 사용하여 회사 리소스에 액세스하거나 회사 비용을 생성할 수 있습니다.
- 계정에 MFA 인증 또는 비밀번호 복잡성 규칙과 같은 보안 정책을 적용할 수 없습니다.
따라서 Gmail 계정을 처리하는 가장 좋은 방법은 해당 사용자 계정의 모든 회사 리소스 액세스 권한을 취소하고 영향을 받는 직원에게 새 관리되는 사용자 계정을 대신 제공하는 것입니다.
Gmail 계정은 gmail.com
을 도메인으로 사용하기 때문에 조직과의 명확한 제휴 관계가 없습니다. 제휴 관계가 명확하지 않다는 것은 기존 액세스 제어 정책을 삭제하는 것 외에는 회사 용도로 사용된 Gmail 계정을 식별할 체계적 방법이 없음을 의미합니다.
회사 이메일 주소를 보조 이메일로 사용하는 Gmail 계정
이 사용자 계정 집합은 다음 모두와 일치하는 계정으로 구성됩니다.
- 직원이 만들었습니다.
gmail.com
이메일 주소를 ID로 사용합니다.- 회사 이메일 주소를 보조 이메일 주소로 사용합니다.
- ID가 외부 IdP의 어느 ID와도 일치하지 않습니다.
예시 시나리오에서 이 설명은 Grace에 해당합니다.
위험 측면에서 볼 때 회사 이메일 주소를 보조 이메일 주소로 사용하는 Gmail 계정은 외부 IdP에 일치하는 ID가 없는 일반 계정과 같습니다. 이러한 계정은 신뢰할 수 있는 것처럼 보이는 회사 이메일 주소를 보조 ID로 사용하기 때문에 소셜 엔지니어링의 위험이 있습니다.
액세스 권한 및 Gmail 계정과 연결된 일부 데이터를 유지하려면 소유자에게 사용자 계정에서 Gmail을 삭제해 달라고 요청하세요. 그런 다음 Cloud ID 또는 Google Workspace로 마이그레이션할 수 있습니다.
회사 이메일 주소를 보조 이메일 주소로 사용하는 Gmail 계정을 처리하는 가장 좋은 방법은 계정을 삭제하는 것입니다. 계정을 삭제하면 소유자는 회사 이메일 주소를 포기하고 동일한 회사 이메일 주소로 관리되는 사용자 계정을 만들어야 합니다. 또한 모든 회사 리소스에 대한 액세스 권한을 취소하고 영향을 받는 직원에게 새 관리되는 사용자 계정을 대신 제공하는 것이 좋습니다.
다음 단계
- Google Cloud의 여러 사용자 계정 유형 자세히 알아보기
- 일반 계정 마이그레이션 프로세스 작동 방식 알아보기
- Google Cloud와 외부 ID 공급업체의 페더레이션을 위한 권장사항 검토