Google Workspace, 네덜란드 DPIA/DTIA 승인 및 새로운 기능을 통해 EU 공공 부문 조직에 더 안전한 선택권 제안

* 본 아티클의 원문은 2024년 7월 3일 Google Workspace 블로그(영문)에 게재되었습니다.

Google에서는 사용자 개인 정보 보호와 보안에 대한 변함없는 노력을 가장 중요하게 여깁니다. 기술, 규제 환경, 사용자의 기대는 변화할 수 있지만 사용자 데이터를 지키고자 하는 Google의 노력은 변하지 않습니다. Google은 Gemini를 통해 AI의 새로운 시대를 열면서 사용자들이 자신의 개인 정보가 안전하게 보호되고 있다고 안심할 수 있도록 그 어느 때보다도 큰 노력을 기울이고 있습니다. 사이버 보안 위협에 선제적으로 대응하는 동시에 전 세계 고객, 개인 정보 보호 규제 기관, 정책 입안자들과 적극적으로 협력해 온 이력이 Google의 노력을 증명합니다. 개인 정보 보호와 보안은 여전히 Google이 하는 모든 일의 중심이 되며, 여러 조직이 Google Workspace와 Google Workspace for Education을 선택하는 한 가지 주요 이유이기도 합니다. 다음은 최근 발표된 내용으로, Google이 고객과 사용자를 위해 어떤 노력을 계속해서 기울이고 있는지 보여줍니다.

1. Google Meet의 네덜란드 DTIA: 네덜란드 법무부와 네덜란드 교육부는 엄격한 데이터 전송 영향 평가(DTIA)를 수행한 후 Google Meet의 성공적인 완료 사실을 네덜란드 의회에 공식 발표했습니다. 네덜란드의 공공 부문 및 교육 기관에서 Meet을 허용함으로써 Workspace에 대한 신뢰를 다시 확인한 것입니다. 이로써 고객들은 커뮤니케이션이 비공개로 안전하게 유지된다고 안심할 수 있습니다. 

2. Workspace의 네덜란드 DPIA 완료: 작년 Workspace 및 Workspace for Education의 데이터 보호 영향 평가(DPIA)에서 네덜란드 기관 및 협동 조직인 SLM, SURF, SIVON과 긴밀히 협력하여 승인 도장을 받으면서 DTIA를 무사히 완료했습니다. 이는 고객 개인 정보 보호 및 GDPR 규정 준수에 대한 Google의 노력을 강조합니다. DPIA의 마지막 단계였던 DTIA가 완료됨에 따라 고객은 더욱 안심하고 Workspace를 사용할 수 있게 되었습니다. 

• “SURF는 SIVON과 함께 이룬 성과를 자랑스럽게 생각합니다. Google은 네덜란드 교육에서 학생들의 개인 정보를 보호하는 데 관심이 있다는 사실을 보여주었습니다.” SURF의 CEO이자 이사회 의장인 제트 드 라니츠는 이렇게 말했습니다. 

• 네덜란드 법무부는 의회에 보낸 서한에서 “따라서 GDPR을 준수하는 Google Workspace의 이용이 가능하다”라고 결론을 내렸습니다.1

Google은 네덜란드 정부와 교육 부문의 협력에 감사하며, 앞으로 네덜란드를 넘어 유럽과 전 세계 조직의 규정 준수 여정에서 지원을 이어 나갈 것입니다.

규정 준수 여정에서 고객을 지원하는 방법

1. 모든 고객을 위한 DPIA 지원: Google은 경험을 통해 DPIA를 수행하기가 어렵다는 것을 잘 알고 있으며 종합적인 DPIA 클라우드 리소스 센터와 같은 리소스를 강화하여 모든 고객이 DPIA를 완료할 수 있도록 계속해서 열심히 노력하고 있습니다. 또한 북유럽 국가에서 진행한 오프라인 워크숍에서 많은 고객을 만나 Workspace DPIA를 수행하는 역량을 강화하도록 지원했습니다.

2. 데이터 프로세서 역할에 투자: Google은 고객의 데이터 보호를 위한 최고 수준의 표준을 충족하기 위해 보안 내재화 인프라에 많은 투자를 이어 나가고 있습니다. 4개의 ISO 인증(27001, 27017, 27018, 27701)을 확장했으며 Workspace(Workspace를 위한 Gemini 포함)의 프로세서로서 서비스 데이터를 처리할 수 있는 새로운 데이터 프로세서를 출시하고 있습니다. 또한 관리형 ChromeOS 기기와 여기서 실행되는 Chrome 브라우저를 위한 데이터 프로세서 모드를 개발했습니다. 이 모드는 현재 여러 유럽 국가에서 사용할 수 있으며 올해 안에 더 많은 시장으로 확장될 예정입니다.

3. 향상된 개인 정보 보호 및 보안 제어: 데이터가 저장되는 위치와 데이터에 액세스할 수 있는 사람을 보다 효과적으로 제어하고 싶어하는 조직을 위해 Google은 고급 데이터 상주 및 보호 제어 기능을 제공합니다.

• 데이터 리전 및 액세스 관리를 통해 고객은 데이터가 저장되고 처리되는 리전을 선택할 수 있을 뿐만 아니라, 지원을 제공하기 위해 데이터에 액세스할 수 있는 Google 지원팀의 물리적 위치도 선택할 수 있습니다. 이를 통해 기존의 '업무 시차를 따르는' 지원 모델에서 데이터 전송 위험을 완화할 수 있습니다.

• 또한 고객은 클라이언트 측 암호화(CSE)를 사용 설정하여 공급업체 또는 외국 정부가 Gmail을 포함한 Workspace에서 '특수한 개인 정보 범주'에 액세스하지 못하도록 방지할 수 있습니다.

이러한 향상된 기능은 Workspace를 사용할 때 본인의 민감한 정보를 직접 제어할 수 있다는 점에서 고객에게 신뢰를 주기 위한 Google의 노력을 입증합니다.

안전한 기반인 Workspace

Google은 사용자 개인 정보 보호가 신뢰를 기반으로 구축되며, 그렇게 구축된 신뢰는 사용자 데이터를 보호하기 위한 보안 조치만큼 강력하다고 믿습니다. 최근 사이버 보안 트렌드는 최신 Cyber Safety Review Board(CSRB) 보고서에서 언급된 국가 배후의 위협 행위자들이 일으키는 보안 침해 현황을 포함한 위협 환경의 진화에 대해 경고합니다.

2023년에 성공한 공격의 65%는 소프트웨어 익스플로잇, 피싱 또는 사용자 인증 정보 도용에서 시작되었습니다. 네트워크 액세스 권한을 얻은 공격자는 일반적으로 기밀 데이터를 도용하고 장애를 초래하는 랜섬웨어를 배포하고 심지어 전체 시스템을 제어하여 시스템의 개인 정보 보호에 문제를 일으키기도 합니다. 이러한 위협은 고객의 데이터를 위험에 노출시키고 비즈니스, 정부, 사회 전반에 지대한 영향을 미칠 수 있습니다. 조직에서 이러한 문제를 해결하는 데 도움을 주기 위해 Workspace의 몇 가지 최신 개선 사항을 소개합니다. 

1. 안전한 대안 프로그램: 기존 제공업체의 중대한 사이버 보안 이슈를 고려할 때 Google은 비즈니스와 정부 조직을 위한 더 안전한 대안을 제공할 수 있습니다. 실제로 Cyber Safety Review Board(CSRB)의 최근 보고서에서는 다양한 공격에 대비해 시스템과 제품을 보호하는 Google의 노력을 높이 평가했습니다.2

• 'Google은 모든 사용자 인증 정보를 발급할 때 고유 식별자를 할당하고 데이터베이스에 기록하여 Google이 받은 사용자 인증 정보가 Google이 발급한 사용자 인증 정보임을 되돌릴 수 없는 증거로 사용하는 스테이트풀(Stateful) 토큰에 최대한 의존하도록 ID 시스템을 재작업했습니다. 또한 Google은 가능한 경우 완전 자동 키 순환을 구현하고 스테이트리스(Stateless) 토큰의 유효성 검사 기간을 강화하였고, 이로 인해 위협 행위자가 활성 키를 찾아 획득할 수 있는 제한 시간이 짧아졌습니다. 또한 Google은 이러한 ID 시스템을 보호하기 위해 제로 트러스트 네트워크와 하드웨어 지원, Fast Identity Online(FIDO) 호환 2단계 인증(2FA)을 구현하는 등 인프라 보안에 대한 포괄적인 점검을 실시했습니다.'

• 또한 Google은 제로 트러스트 네트워크(BeyondCorp 및 BeyondProd)와 하드웨어 지원, FIDO 호환 2단계 인증(2FA)을 구현하여 인프라 보안을 강화하고 있다고 인정받았습니다. Workspace를 사용하는 조직은 평균적으로 보안 사고를 40% 줄이고 보험료를 최대 50% 절감할 수 있습니다.3. 현재 Google은 안전한 대안 프로그램을 통해 보다 안전한 이메일 및 협업 플랫폼으로 전환하고자 하는 조직에 특별 가격 및 마이그레이션 지원을 제공하고 있습니다. 

2. AI로 보안 혁신: Gmail의 고급 AI 방어 기능은 스팸, 피싱 시도, 멀웨어의 99.9% 이상이 사용자의 받은편지함에 도달하지 못하도록 자동 차단합니다. 대규모 언어 모델의 구현으로 모든 사용자의 Gmail에서 스팸이 20% 추가로 감소했습니다. 이러한 AI의 발전을 통해 매일 1,000배 더 많은 사용자 신고 스팸을 평가할 수 있게 되었습니다. 사용자를 대신해 스팸과 싸워줄 수 있는 사람이 1,000배 더 많아지는 것과 같습니다.

• 또한 고객은 AI 분류를 통해 문서를 분류하는 대규모 언어 모델의 강력한 기능을 활용할 수 있습니다. 이를 통해 고객은 맞춤형 개인 정보 보호 모델을 사용하여 민감한 정보를 자동으로 식별, 분류, 보호할 수 있습니다. 

생성형 AI가 계속 발전함에 따라 개인 정보 보호 및 보안에 대한 Google의 노력은 변치 않을 것입니다. 지금까지 Google이 해왔고, 앞으로도 계속할 이러한 기반 작업은 업무 방식을 혁신하면서 최고 수준의 데이터 보호 및 개인 정보 보호 표준을 충족하는 AI 도구를 개발하는 데 도움이 될 것입니다.

¹ 출처: ‘Stand van zaken Google Workspace’라는 제목의 네덜란드 의회에 보내는 서한, 네덜란드 법무 및 치안부 장관을 대신하여 Tweedekamer.nl에 게시됨(인용문은 네덜란드어에서 영어로 번역된 후 다시 한국어로 번역됨)

²출처: CSRB, Review of the Summer 2023 Microsoft Exchange Online Intrusion, 20페이지, (CSRB, 2024)

³ 출처: At-Bay - 'Ranking Email Security Solutions: A Data Analysis of Cyber Insurance Claims', 2023년 2월