구글 워크스페이스(GWS) 보안 사고, 책임은 누구에게 있을까?

 

Shared responsibilities and shared fate on Google Cloud

클라우드 서비스 도입을 망설이는 가장 큰 이유 중 하나는 바로 '보안' 문제일 것이다. 만약 해킹이나 데이터 유출 사고가 발생했을 때, 그 책임은 구글에게 있을까, 아니면 서비스를 사용하는 우리 회사에 있을까? 이 질문에 대한 명확한 답을 모른다면 불안할 수밖에 없다. 이 글에서는 구글 워크스페이스(GWS)의 정보 보안 사고 발생 시 구글과 사용자 간의 역할과 책임이 어떻게 나뉘는지, **'책임 공유 모델'**을 통해 명확하게 파헤쳐 본다. 더 이상 막연한 불안감에 떨지 않도록, 당신이 알아야 할 모든 것을 알려주겠다.

---

구글과 사용자, 명확하게 나뉜 역할과 책임 (책임 공유 모델)

결론부터 말하자면, GWS의 보안 책임은 구글과 사용자 모두에게 있다. 이를 '책임 공유 모델(Shared Responsibility Model)'이라고 부른다. 쉽게 말해 구글은 클라우드 인프라 자체의 보안을 책임지고, 사용자는 그 인프라 위에서 자신의 데이터와 계정을 안전하게 사용할 책임을 지는 것이다.
이러한 역할과 책임은 단순히 구글이 임의로 정한 것이 아니다. Google Cloud 데이터 처리 추가 조항(CDPA)을 포함한 서비스 약관 및 서비스 수준 계약(SLA)에 명확히 정의되어 있다.

---

정보 보안 사고 발생 시 '구글(Google)'의 책임 영역

구글은 GWS를 구성하는 글로벌 네트워크, 서버, 데이터센터 등 핵심 인프라의 보안을 전적으로 책임진다. 사고 발생 시 구글의 책임은 다음과 같다.

• 전문 팀의 즉각적인 대응: Google은 24시간 연중무휴로 활동하는 전문 보안팀을 통해 보안 위협을 모니터링하고, 사고 발생 시 즉각적인 대응에 나선다.
• 신속한 통보와 투명한 보고: 고객 데이터에 영향을 미치는 보안 사고를 인지하면, 지체 없이 고객에게 해당 사실을 알리고 관련 정보를 투명하게 보고할 의무가 있다.
• 재위탁업체(Sub-processors) 감독: Google이 서비스를 위해 사용하는 하위 서비스 제공업체(재위탁업체)에서 보안 문제가 발생하더라도, 그 관리 감독의 책임은 Google에 있다.

---

그렇다면 '사용자'는 무엇을 책임져야 할까?

구글이 아무리 인프라를 철통같이 지켜도, 사용자가 문을 열어두면 소용이 없다. 사용자는 GWS 내에서 자신의 데이터를 안전하게 관리하고 접근을 통제할 책임을 진다.

1단계: 계정 및 접근 권한 관리

가장 기본적이면서도 중요한 책임이다. 예를 들어, 직원이 퇴사했음에도 GWS 계정을 즉시 비활성화하지 않는다면 이는 전적으로 사용자의 과실이다.

• 강력한 비밀번호 정책 수립 및 적용
• 모든 사용자에게 2단계 인증(MFA) 설정 강력 권고
• 직무에 따른 최소 권한 부여 원칙 준수

2단계: 데이터 설정 및 공유 관리

**"중요한 기밀문서가 담긴 구글 드라이브 파일을 '링크가 있는 모든 사용자에게 공개'로 설정"**하여 정보가 유출되었다면, 이는 구글이 아닌 사용자의 책임이다. 각 데이터의 중요도에 따라 접근 권한을 세밀하게 설정하고 주기적으로 검토해야 한다.

3단계: 비정상 활동 모니터링 및 대응

GWS 관리 콘솔의 감사 로그 등을 통해 의심스러운 로그인 시도, 비정상적인 파일 공유 패턴 등을 주기적으로 확인하고 대응하는 것은 사용자의 몫이다.

---

마무리: 성공적인 보안은 '협력'에서 시작된다.

지금까지 GWS의 보안 사고 시 책임 소재에 대해 알아보았다. 요약하자면, GWS의 보안은 구글과 사용자 간의 **'협력'**이 핵심이다. 구글은 견고하고 안전한 놀이터(인프라)를 제공하고, 사용자는 그 안에서 자신의 아이들(데이터)을 잘 돌볼 책임을 진다. 이 책임 공유 모델을 명확히 이해하는 것이 안전한 GWS 사용의 첫걸음이다.
단순히 GWS를 도입하는 것에서 그치지 말고, 지금 바로 우리 회사의 보안 설정을 점검하고 직원 교육을 시작해 보는 것은 어떨까? 당신의 소중한 정보 자산을 지키는 가장 확실한 방법이다.

---

출처

• Google Cloud Data Processing Addendum: https://cloud.google.com/terms/data-processing-addendum
• Google Cloud's security framework: https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate