구글 클라우드 DPA 핵심 정리: 내 고객 데이터는 정말 안전할까?

Cloud Data Processing Addendum

 

구글 클라우드 DPA(Data Processing Addendum) 핵심 정리

구글 클라우드 플랫폼(GCP)이나 워크스페이스 같은 클라우드 서비스를 이용한다는 것은, 우리 비즈니스의 심장과도 같은 고객 데이터를 구글에 맡긴다는 의미다. 이때 "과연 데이터는 안전하게 관리될까?", "GDPR 같은 복잡한 규정은 어떻게 준수해야 하지?" 하는 고민이 자연스럽게 따라온다. 많은 이들이 구글이 제공하는 '데이터 처리 부록(Data Processing Addendum, DPA)' 문서를 보지만, 복잡한 법률 용어에 지레 겁을 먹고 창을 닫곤 한다. 이 글은 바로 그런 분들을 위한 것이다. 구글 클라우드 DPA의 핵심 내용을 알기 쉽게 풀어, 당신과 구글의 역할은 무엇인지, 그리고 우리가 무엇을 해야 하는지 명확하게 짚어본다.

---

구글 클라우드 DPA, 왜 알아야 할까?

DPA는 단순히 형식적인 문서가 아니다. 이것은 구글과 고객(바로 당신) 간의 데이터 처리에 관한 법적 효력을 지닌 계약이다. 이 문서는 구글이 당신의 데이터를 어떻게 처리하고 보호할 것인지에 대한 약속이며, 동시에 데이터 보호에 대한 양측의 책임을 명확히 규정한다.

특히 유럽의 GDPR이나 캘리포니아의 CCPA와 같은 강력한 개인정보보호법규를 준수해야 하는 비즈니스라면 이 DPA의 이해는 선택이 아닌 필수다. DPA는 법적으로 데이터를 처리하는 주체를 다음과 같이 정의한다.

• 데이터 컨트롤러(Controller): 당신(고객). 데이터 처리의 목적과 수단을 결정하는 주체다.
• 데이터 프로세서(Processor): 구글. 컨트롤러의 지시에 따라 데이터를 처리하는 주체다.

즉, 데이터의 주인은 당신이며, 구글은 당신의 지시에 따라 데이터를 안전하게 관리하는 역할을 맡는다.

---

DPA 핵심 요약: 구글과 당신의 책임

DPA의 방대한 내용을 모두 외울 필요는 없다. 하지만 비즈니스 책임자로서 반드시 알아야 할 핵심 조항들이 있다.

1. 데이터 처리와 지침 (Instructions)

구글은 당신의 지시에 따라서만 데이터를 처리한다. 여기서 **'지시'**란 특별한 것이 아니다. 당신이 구글 워크스페이스에 파일을 업로드하거나, GCP에서 서비스를 설정하고 사용하는 모든 행위가 바로 구글에 대한 구체적인 지침이 된다. 구글은 이 지침을 벗어나 임의로 데이터를 사용하지 않는다.

2. 데이터 보안 (Security Measures)

구글은 고객 데이터를 보호하기 위해 다층적인 보안 조치를 이행할 의무가 있다. 이는 DPA의 부록(Appendix 2)에 상세히 명시되어 있다.

• 물리적 보안: 지리적으로 분산된 데이터 센터는 24/7 모니터링, 이중 인증 접근 제어 등 엄격한 물리적 통제하에 운영된다.
• 암호화: 구글은 전송 중인 데이터와 저장된 데이터(at-rest)를 암호화하여 보호한다.
• 접근 제어: 구글 내부 직원이라도 엄격한 '알 필요성(need-to-know)' 원칙에 따라 최소한의 인원만이 데이터에 접근할 수 있으며, 모든 접근은 기록 및 감시된다.

물론 구글의 노력만으로 모든 것이 해결되지는 않는다. 당신 역시 계정의 인증 정보를 안전하게 관리하고, 구글이 제공하는 추가 보안 제어 기능(Additional Security Controls)을 적극적으로 활용하여 데이터 보안 수준을 높일 책임이 있다.

3. 데이터 삭제 (Data Deletion)

서비스 이용 기간 중 당신이 데이터를 삭제하면, 구글은 이 지시에 따라 **합리적으로 가능한 빠른 시일 내(최대 180일 이내)**에 시스템에서 해당 데이터를 삭제한다. 계약이 종료될 때도 마찬가지다. 당신이 데이터를 이전할 수 있도록 최대 30일의 복구 기간을 거친 후, 모든 데이터를 동일한 절차에 따라 삭제한다.

4. 데이터 유출 사고 (Data Incidents)

만약 구글의 보안 시스템이 침해되어 고객 데이터의 유출, 손실, 변경 등 데이터 사고(Data Incident)가 발생하면, 구글은 이를 인지한 후 지체 없이 당신에게 통지할 의무가 있다. 통지에는 사고의 성격, 피해를 최소화하기 위한 구글의 조치, 그리고 당신이 취할 수 있는 권고 사항 등이 포함된다.

5. 하위 처리자 (Subprocessors)

구글은 서비스 제공을 위해 다른 신뢰할 수 있는 제3자 기업을 **하위 처리자(Subprocessor)**로 활용할 수 있다. 구글은 DPA를 통해 모든 하위 처리자의 목록과 그들의 역할, 위치를 투명하게 공개한다. 새로운 하위 처리자를 추가할 경우, 최소 30일 전에 고객에게 통지하며, 고객은 이에 대해 이의를 제기하고 계약을 종료할 권리를 갖는다.

• Google Cloud Platform 하위 처리자 목록: https://cloud.google.com/terms/subprocessors
• Google Workspace 하위 처리자 목록: https://workspace.google.com/intl/en/terms/subprocessors.html

6. 국제 데이터 이전 (International Data Transfers)

구글은 글로벌 기업이므로 데이터는 여러 국가의 데이터 센터에서 처리될 수 있다. GDPR과 같은 법률은 유럽 경제 지역(EEA) 외부로 개인 데이터를 이전할 때 엄격한 조건을 요구한다. 구글은 이러한 **'제한된 이전(Restricted Transfers)'**을 합법적으로 수행하기 위해 유럽연합(EU)이 승인한 **표준 계약 조항(Standard Contractual Clauses, SCCs)**과 같은 법적 장치를 사용한다. 이를 통해 데이터가 어디에서 처리되든 유럽 수준의 보호를 받을 수 있도록 보장한다.

---

그래서, 우리는 무엇을 해야 할까?

DPA는 구글의 의무를 명시하는 동시에, 데이터 컨트롤러로서 당신의 책임도 강조한다.

• 보안 설정 점검: 구글 어드민 콘솔(Admin Console)에서 제공하는 보안 기능을 정기적으로 검토하고, 당신의 비즈니스에 맞게 설정해야 한다.
• 알림 이메일 주소 관리: 데이터 사고 등 중요한 통지를 받을 수 있도록 Notification Email Address를 항상 최신 상태로 유지해야 한다.
• 규정 준수 증명 활용: 구글은 ISO/IEC 27001, SOC 2/3 보고서 등 다양한 제3자 인증을 정기적으로 받는다. 이를 활용하여 당신의 고객이나 규제 기관에 서비스의 보안성을 증명할 수 있다.
• 제품별 특성 이해: DPA는 GCP, Workspace, Looker 등 각 서비스별로 미세한 차이가 있을 수 있다. 당신이 사용하는 서비스에 해당하는 부록(Appendix 4)을 한 번쯤 확인해 보는 것이 좋다.

구글 클라우드 DPA는 복잡한 법률 문서처럼 보이지만, 그 본질은 데이터 보호를 위한 구글과 당신의 파트너십을 정의하는 청사진이다. 구글은 강력하고 안전한 인프라와 프로세스를 제공하고, 당신은 그 위에서 데이터를 책임감 있게 운영하고 관리하는 역할을 맡는다. 이제 막연한 불안감은 떨쳐버리자. 오늘 당신의 구글 클라우드 Admin Console에 접속해 보안 설정을 점검해 보는 것은 어떨까? 이 작은 행동이 당신의 비즈니스와 소중한 고객 데이터를 지키는 위대한 첫걸음이 될 것이다.

---

출처

• Google Cloud Data Processing Addendum (Customers): https://cloud.google.com/terms/data-processing-addendum