메일 암호화에 호스팅된 S/MIME 사용 설정하기

이 기능이 지원되는 버전: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard, Education Plus 사용 중인 버전 비교하기

Google 관리 콘솔에서 호스팅된 S/MIME (Secure/Multipurpose Internet Mail Extensions)를 설정하면 피싱, 유해한 첨부파일, 기타 이메일 위협으로부터 조직의 사용자를 보호할 수 있습니다. S/MIME는 메일을 암호화하고 디지털 서명을 추가하여 이메일 보안을 강화합니다. 메일은 공개 키와 비공개 키의 조합을 사용하여 복호화됩니다. S/MIME가 호스팅되면 암호화에 S/MIME를 사용하는 조직에서 비공개 키를 저장합니다.

발신 메일 또는 특정 콘텐츠가 포함된 메일에 S/MIME를 선택적으로 요구할 수 있습니다. 자세한 내용은 발신 메일에 S/MIME 암호화 요구하기를 참고하세요.

CSE와 S/MIME 비교

Google Workspace 클라이언트 측 암호화 (CSE)를 사용하면 사용자가 암호화된 S/MIME 메일을 주고받을 수도 있습니다. 하지만 CSE를 사용하면 비공개 키가 외부 키 관리 서비스에서 관리되므로 개인 정보 보호 및 데이터 보호를 강화할 수 있습니다. CSE에 대해 자세히 알아보기

1단계: Google 관리 콘솔에서 호스팅된 S/MIME 사용 설정하기

  1. Google 관리 콘솔에서 메뉴 다음 앱다음Google Workspace다음Gmail다음사용자 설정으로 이동합니다.

    Gmail 설정 관리자 권한이 필요합니다.

  2. 왼쪽의 조직 아래에서 구성하려는 도메인 또는 조직을 선택합니다.

    중요: 고급 S/MIME 관리 기능을 사용하여 루트 인증서를 업로드하고 관리하려면 최상위 조직(일반적으로 사용자의 도메인)에서 S/MIME를 사용하도록 설정해야 합니다. S/MIME 및 루트 인증서에 대해 자세히 알아보기

  3. S/MIME 설정으로 스크롤하여 발신 및 수신 이메일에 S/MIME 암호화 사용 체크박스를 선택합니다.

  4. (선택사항) 조직의 사용자가 인증서를 업로드하도록 허용하려면 사용자가 자신의 인증서를 업로드하도록 허용 체크박스를 선택합니다.

  5. (선택사항, 추가 관리 기능) 루트 인증서를 업로드하고 관리하려면 다음 안내를 따르세요.

    1. 특정 도메인에 대해 추가 루트 인증서 수락 옆에 있는 추가를 클릭합니다.
    2. 루트 인증서 추가 창에서 루트 인증서 업로드를 클릭합니다.
    3. 인증서 파일을 찾아 선택하고 열기를 클릭합니다. 인증서에 대한 확인 메시지가 표시되며, 여기에는 주체 이름과 만료일이 포함됩니다.
    4. 암호화 수준에서 이 인증서에 사용할 암호화 수준을 선택합니다.
    5. 주소 목록 아래에서 통신할 때 루트 인증서를 사용할 도메인을 하나 이상 입력합니다. 쉼표를 이용해 각 도메인을 구분합니다. 도메인 이름에 와일드 카드를 사용할 수 있습니다. 도메인 이름에 와일드 카드를 사용하는 방법에 대한 자세한 내용은 RFC 6125를 참고하세요.

    6. (선택사항) 사용자의 기본 이메일 주소가 아닌 다른 이메일 주소와 연결된 인증서에 CSE 키 쌍을 허용하려면 인증서 불일치 옵션 (이러한 도메인의 경우 사용자의 현재 이메일 주소와 일치하지 않는 이메일 주소의 인증서 허용)을 선택합니다.

      보안상의 이유로 이 옵션은 조직에서 요구하는 경우에만 사용하는 것이 좋습니다. 이 기능은 CSE에서 지원됩니다. 호스팅된 S/MIME에서는 지원되지 않습니다. 인증서 불일치에 대해 자세히 알아보려면 S/MIME용 신뢰할 수 있는 인증서 관리하기를 참고하세요.

    7. 완료를 클릭합니다.

    8. 더 많은 인증서 체인을 업로드하려면 이 단계를 반복합니다.

  6. 도메인 또는 조직에서 SHA-1 (Secure Hash Algorithm 1)을 사용해야 하는 경우 전체적으로 SHA-1 허용 (권장하지 않음) 체크박스를 선택합니다. SHA-1 사용에 관한 자세한 내용은 S/MIME용 신뢰할 수 있는 인증서 관리하기를 참고하세요.

  7. 저장을 클릭합니다.

변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빨리 적용됩니다. 자세히 알아보기 이 시간 동안 전송된 메일은 암호화되지 않습니다.

2단계: 사용자가 Gmail을 새로고침하도록 하기

호스팅된 S/MIME를 Google 관리 콘솔에서 사용 설정한 후 조직의 사용자에게 Gmail을 새로고침하도록 안내합니다. 호스팅된 S/SMIME가 사용 설정되어 있으면 메일 제목에 자물쇠 아이콘이 표시됩니다. 메일이 호스팅된 S/MIME로 암호화되어 있으면 잠금이 녹색으로 표시됩니다.

3단계: Gmail에 S/MIME 인증서 추가하기

이제 Gmail에 S/MIME 인증서를 추가합니다. 인증서를 추가하는 방법은 두 가지가 있습니다.

  • 관리자가 Gmail S/MIME API를 사용하여 인증서를 추가합니다.
  • 사용자가 Gmail 계정 설정에서 인증서를 추가합니다.

관리자는 Gmail S/MIME API를 사용하여 인증서를 업로드하는 것이 좋습니다.

(사용자) Gmail 계정 설정에서 인증서 추가

조직의 사용자에게 다음 단계에 따라 계정 및 가져오기 또는 계정 탭의 다른 주소에서 메일 보내기 섹션에서 Gmail 설정에 S/MIME 인증서를 추가하도록 안내할 수 있습니다. '다른 주소에서 메일 보내기' 계정은 기본 Gmail 계정에서 S/MIME 인증서를 상속받지 않으므로 '다른 주소에서 메일 보내기' 계정에 S/MIME 인증서를 수동으로 추가해야 합니다. '다른 주소에서 메일 보내기' 계정에 대해 자세히 알아보려면 다른 주소 또는 별칭을 사용하여 이메일 보내기를 참고하세요.

중요:

  • 사용자는 웹에서만 Gmail을 사용하여 '다른 주소에서 메일 보내기' 계정에 S/MIME 인증서를 추가할 수 있습니다. 이 섹션의 단계는 Gmail 앱에서 지원되지 않습니다.
  • 사용자는 웹에서만 Gmail을 사용하여 '다른 주소에서 메일 보내기' 계정에서 S/MIME 메일을 보낼 수 있습니다.

S/MIME 인증서를 추가하려면 다음 단계를 따르세요.

  1. 웹에서 Gmail로 이동합니다.
  2. 설정 다음 모든 설정 보기를 선택합니다.
  3. 계정 탭을 선택합니다.

  4. 다른 주소에서 메일 보내기 옆에 있는 정보 수정을 선택합니다.

    이메일 주소 및 암호화 설정 수정 창이 표시됩니다. 이 옵션이 표시되지 않으면 관리자에게 문의하세요.

  5. 개인 인증서 업로드를 클릭합니다.

  6. 인증서를 선택하고 열기를 클릭합니다. 인증서에 비밀번호를 입력하라는 메시지가 표시됩니다.

  7. 비밀번호를 입력하고 인증서 추가를 클릭합니다.

  8. 변경사항 저장을 클릭합니다.

인증서 요구사항

Gmail에서 사용되는 인증서는 현재의 암호화 표준을 충족해야 하며 공개 키 암호화 표준 (PKCS) #12 보관 파일 형식이어야 합니다.

Google에서는 S/MIME용 Gmail을 지원하는 신뢰할 수 있는 인증서 목록을 유지관리합니다.

4단계: 사용자에게 키를 교환하도록 안내하기

S/MIME 메일 교환을 시작하려면 사용자가 다음 방법 중 하나를 통해 메일 수신자와 키를 교환해야 합니다.

  • S/MIME 서명된 메일을 수신자에게 보냅니다. 메일은 디지털 서명이 되어 있으며 사용자의 공개 키가 포함되어 있습니다. 수신자는 이 공개 키를 사용하여 사용자에게 보낼 메일을 암호화할 수 있습니다.
  • 수신자에게 메일을 보내도록 요청합니다. 메일을 받으면 메일이 S/MIME로 서명되어 있어, 키가 자동으로 저장되고 사용할 수 있게 됩니다. 앞으로 수신자에게 보내는 메일은 S/MIME로 암호화됩니다.

하위 조직 S/MIME 설정 재정의하기

기본적으로 조직 단위에는 최상위 조직 단위의 S/MIME 설정이 상속됩니다. 상속된 S/MIME 설정을 조직 단위에서 선택적으로 재정의할 수 있습니다. 이 기능은 조직 단위의 S/MIME 설정을 사용 중지하거나 맞춤설정하는 데 유용합니다.

S/MIME 설정을 재정의하려면 다음 안내를 따르세요.

  1. Google 관리 콘솔에서 메뉴 다음 앱다음Google Workspace다음Gmail다음사용자 설정으로 이동합니다.

    Gmail 설정 관리자 권한이 필요합니다.

  2. 왼쪽의 조직 아래에서 구성할 조직 단위를 선택합니다.

  3. S/MIME 설정으로 스크롤한 다음 클릭하여 펼칩니다.

    S/MIME 설정 라벨 아래의 라벨은 상속 출처 (조직 또는 도메인 이름) 또는 재정의됨을 나타냅니다.

  4. 재정의를 클릭하여 하위 조직에 상속된 S/MIME 설정 변경사항을 저장합니다.

    하위 조직 설정이 저장되면 S/MIME 설정 라벨 아래에 재정의됨이라고 표시됩니다. 왼쪽에 있는 조직 단위 구조 트리에서 재정의 하위 조직 옆에도 점이 표시됩니다.

도움말: 하위 조직에서 상위 조직의 설정을 재정의한 경우 상속 버튼을 사용하여 상위 조직의 설정을 상속할 수 있습니다.

문제 해결: 하위 조직에 S/MIME 설정이 상속되지 않음

문제: 하위 조직 단위에 루트 조직 단위의 S/MIME 설정이 상속되지 않습니다.

원인: 이 문제가 발생하는 가장 일반적인 원인은 하나 이상의 조직 단위에서 재정의 기능을 사용하여 S/MIME 설정을 추가한 전체 조직 (루트 수준)에서 S/MIME가 사용 중지되거나 수정된 것입니다. S/MIME 설정 재정의 기능에 대해 자세히 알아보기

이 문제는 이러한 S/MIME 옵션(S/MIME 사용 설정)이 재정의 기능으로 하위 조직 수준에서 설정된 경우에도 발생할 수 있습니다. 사용자가 본인 소유 인증서를 업로드하도록 허용 또는 전체적으로 SHA-1 허용 이러한 변경사항은 루트 수준의 인증서 설정을 재정의하기 때문입니다.

해결 방법: 이 문제를 해결하고 하위 조직 단위에 S/MIME 상속을 적용하려면 다음 단계를 따르세요.

  1. S/MIME 설정에서 S/MIME 설정 라벨 아래의 왼쪽에 있는 하위 조직 단위 이름을 선택합니다.
  2. 상속을 클릭하여 루트 S/MIME 설정을 하위 조직 단위에 적용합니다.
  3. 하위 조직 단위의 설정을 다시 적용합니다.
    1. S/MIME 설정 라벨 아래의 왼쪽에 있는 하위 조직 단위를 선택한 상태로 둡니다.
    2. 하위 조직 단위의 관련 S/MIME 설정을 업데이트합니다(S/MIME 사용 설정). 사용자가 본인 소유 인증서를 업로드하도록 허용 또는 전체적으로 SHA-1 허용
    3. 재정의를 클릭합니다. 이렇게 하면 하위 요소별 설정이 저장되고 하위 요소는 루트 인증서 또는 루트 수준 S/MIME 설정에 대한 모든 이전 변경사항을 상속받습니다.

영향을 받는 각 하위 조직 단위에 대해 이 단계를 반복합니다.

중요: 루트 인증서를 추가하거나 삭제할 때마다 변경사항을 적용할 모든 하위 조직 단위에 대해 이 단계를 반복해야 합니다.

S/MIME용 신뢰할 수 있는 인증서 관리하기 (고급)