클라이언트 측 암호화 FAQ

Google의 기본 암호화에 대한 자세한 내용은 Google Cloud 사이트를 참고하세요.

Gmail의 표준 암호화에 대한 자세한 내용은 Gmail 고객센터의 전송 중 암호화를 참고하세요.

엔드 투 엔드 암호화 (E2EE)를 사용하면 암호화 및 복호화가 소스 기기와 대상 기기 (예: 채팅용 휴대전화)에서 항상 수행됩니다. 암호화 키는 클라이언트에서 생성되므로 관리자가 클라이언트의 키와 해당 키를 사용할 수 있는 사용자를 제어할 수 없습니다. 사용자가 어떤 콘텐츠를 암호화했는지 확인할 수 없습니다.

클라이언트 측 암호화(CSE)를 사용하는 경우 암호화뿐만 아니라 복호화도 항상 소스 기기와 대상 기기(이 경우에는 클라이언트 브라우저)에서 수행됩니다. 하지만 CSE를 사용하면 클라이언트가 클라우드 기반 키 관리 서비스에 생성되어 저장되는 암호화 키를 사용하므로 키와 해당 키에 액세스할 수 있는 사용자를 제어할 수 있습니다. 예를 들어 사용자가 클라이언트 키를 생성했더라도 관리자가 해당 키에 대한 액세스 권한을 취소할 수 있습니다. 또한 CSE를 사용하여 사용자의 암호화된 파일을 모니터링할 수 있습니다.

사용자는 지원되는 서비스의 옵션을 선택하여 CSE를 사용 설정할 수 있습니다. 사용자가 웹 및 모바일 앱에서 CSE를 사용 설정하는 방법에 관한 자세한 내용은 클라이언트 측 암호화 사용자 환경 개요를 참고하세요.

예. CSE를 사용 설정하면 Google 서비스의 일부 기능을 사용할 수 없습니다. 자세한 내용은 클라이언트 측 암호화 사용자 환경 개요를 참고하세요.

암호화 키는 데이터를 읽을 수 없는 형식으로 변환하여 무작위로 표시되도록 합니다. 이렇게 하면 데이터를 읽도록 승인되지 않은 사람이나 대상으로부터 데이터가 비공개로 유지됩니다. 암호화된 데이터를 읽으려면 개인 또는 애플리케이션에 데이터를 원래 형식으로 다시 변환하는 키가 필요합니다.

암호화 키를 사용하여 조직의 Google Workspace 데이터에 암호화 레이어를 추가하려면 Google과 파트너 관계에 있는 키 관리 서비스를 사용하거나 Google의 CSE API를 사용하여 자체 키 관리 서비스를 만들어야 합니다. 또는 Gmail에 한해서 사용자의 암호화 키가 스마트 카드에 저장되는 하드웨어 키 암호화를 사용할 수 있습니다.

Google은 CSE에 사용할 수 있도록 여러 키 관리 서비스와 제휴하고 있습니다. 서비스 목록은 클라이언트 측 암호화에 필요한 키 관리 서비스 설정하기를 참고하세요.

아니요. Google Workspace 클라이언트 측 암호화를 설정하려면 외부 키 관리 서비스를 사용해야 합니다. CSE를 사용하면 관리자가 암호화 키를 직접 제어할 수 있지만 Google은 이 키에 액세스하여 데이터 복호화를 수행할 수 없습니다.

예. 두 개 이상의 키 관리 서비스를 사용하고 조직 단위 또는 그룹에 사용할 서비스를 선택할 수 있습니다. 암호화된 콘텐츠를 한 서비스에서 다른 서비스로 이전할 수 있습니다.

참고: 관리 콘솔에서 Gmail 클라이언트 측 암호화에 사용되는 단일 키 관리 서비스를 설정할 수 있습니다. Google Workspace Client-side Encryption API에서 키 관리를 위한 다른 옵션에 대해 알아보세요 .

예. 조직에서 스마트 카드를 사용하여 시설 및 시스템에 액세스하는 경우 Gmail CSE에 하드웨어 키 암호화를 설정할 수 있습니다. Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다. 사용자는 비공개 암호화 키가 포함된 스마트 카드를 사용하여 이메일 메시지를 암호화할 수 있습니다. 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 필요한 하드웨어 키 암호화 설정 및 관리하기를 참고하세요.

예. Gmail CSE에 키 관리 서비스와 하드웨어 암호화 키를 모두 설정할 수 있습니다. Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다. 또한 동일한 사용자에게 키 관리 서비스와 하드웨어 키 암호화를 모두 할당할 수 있습니다. 하지만 사용자는 Gmail에 비공개 암호화 키를 설정한 방법에 따라 Gmail에서 한 가지 암호화 유형만 사용할 수 있습니다. 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기를 참고하세요.

예. 다른 키 관리 서비스로 전환할 수 있습니다. 이 경우 현재 키 관리 서비스로 암호화된 콘텐츠를 새 서비스로 이전하는 것이 좋습니다. 자세한 내용은 새 키 관리 서비스로 전환하려는 경우를 참고하세요.

외부 키 관리 서비스를 통해 암호화 키의 키 액세스 제어 목록 (ACL)을 관리합니다. ACL에는 콘텐츠를 암호화하거나 복호화 (조회 또는 수정)해야 하는 모든 사용자가 포함되어야 합니다. 자세한 내용은 암호화 제공업체에 문의하세요.

또한 데이터를 암호화해야 하는 모든 사용자에 대해 CSE를 사용 설정해야 합니다. 자세한 내용은 사용자별로 클라이언트 측 암호화 사용/사용 중지하기를 참고하세요.

Gmail, Google Drive, Google Calendar의 경우 특정 조직 단위에 CSE가 기본적으로 사용 설정되도록 지정할 수 있습니다. Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다.

CSE가 기본적으로 사용 설정되어 있어도 필요한 경우 사용자는 CSE를 사용 중지할 수 있습니다.

자세한 내용은 사용자별로 클라이언트 측 암호화 사용/사용 중지하기를 참고하세요.

공유 드라이브에만 CSE를 설정할 필요는 없습니다. 관리 콘솔에 설정한 외부 키 관리 서비스는 내 드라이브 및 공유 드라이브 파일 모두에 사용할 수 있습니다.

CSE 설정에 문제가 있는 경우 자세한 정보는 알림 세부정보 보기를 참고하세요.

예. 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 이전하기를 참고하세요.

예. 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 제공하기를 참고하세요.

클라이언트 측에서 암호화된 파일을 새 키 관리 서비스로 이전할 수 있습니다. 자세한 내용은 새 키 관리 서비스로 전환하려는 경우를 참고하세요.

예. Google 문서, 스프레드시트 또는 프레젠테이션에서 클라이언트 측 암호화를 삭제할 수 있습니다. 자세한 내용은 문서에서 암호화 삭제하기를 참고하세요.

데이터 내보내기 도구 또는 Google Vault를 사용해 내보낸 CSE 파일을 복호화하려면 명령줄 유틸리티인 복호화 유틸리티를 사용하면 됩니다. 자세한 내용은 클라이언트 측에서 암호화하여 내보낸 파일 복호화하기를 참고하세요.

예. Google Workspace 버전에 Google Vault가 있는 경우 클라이언트 측에서 암호화된 Drive 파일 및 Gmail 이메일을 Vault에서 보관, 검색하고 내보낼 수 있습니다.

자세한 내용은 Google Vault 고객센터를 참고하세요.

• Google Docs 및 Slides의 클라이언트 측에서 암호화된 본문 콘텐츠의 경우 기기 내 머신러닝 모델이 맞춤법 검사 기능을 제공하여 문서 데이터의 기밀성을 유지할 수 있습니다.
• Gmail 및 Google Docs의 댓글의 경우 브라우저에서 맞춤법 검사 기능을 제공합니다.

  조직에서 Google Chrome을 사용하는 경우: CSE 사용자가 Chrome의 향상된 맞춤법 검사를 사용하지 않도록 합니다. 이 옵션을 사용하면 데이터가 Google에 전송됩니다. 대신 CSE 사용자는 Google에 데이터를 전송하지 않는 Chrome의 기본 맞춤법 검사를 사용할 수 있습니다. 자세한 내용은 Chrome 맞춤법 검사 사용 또는 사용 중지하기를 참고하세요. 관리 Chrome 브라우저를 사용하는 경우 CSE 사용자의 맞춤법 검사를 사용 중지하는 정책을 만들 수 있습니다. 이 경우 향상된 맞춤법 검사는 사용 중지되지만 기본 맞춤법 검사는 사용 중지되지 않습니다. 자세한 내용은 사용자 또는 브라우저에 적용할 Chrome 정책 설정하기를 참고하세요.

예, 내보내고 복호화한 Google Sheets 파일을 Microsoft Excel 파일로 변환할 수 있습니다. 자세한 내용은 내보내고 복호화한 Google 파일을 Microsoft Office 파일로 변환하기를 참고하세요.

Google 서버에서는 CSE 콘텐츠에 액세스할 수 없으므로 클라이언트 측에서 암호화된 파일 및 이메일에 대해 피싱 및 멀웨어 검사가 진행되지 않습니다.

데이터 손실 방지 (DLP) 검사에서는 파일 또는 이메일의 클라이언트 측에서 암호화된 콘텐츠에 액세스할 수 없습니다. 하지만 DLP 규칙을 만들어 다음을 수행할 수 있습니다.

• 파일 제목 및 Drive 라벨과 같이 Drive 파일의 암호화되지 않은 메타데이터를 검사하면 민감한 정보의 유출을 방지하는 데 도움이 될 수 있습니다.
• Drive 파일 검사 시 규칙 조건 파일 암호화 상태 > 일치 > 클라이언트 측에서 암호화됨 또는 클라이언트 측 암호화되지 않음을 선택하여 클라이언트 측 암호화 여부를 확인합니다.

Drive용 DLP 규칙을 만드는 방법에 대한 자세한 내용은 Drive용 DLP 규칙 및 맞춤 콘텐츠 감지기 만들기를 참고하세요.

사용자를 CSE가 포함되지 않은 Google Workspace 라이선스로 전환한 경우에도 사용자는 파일 및 이메일과 같은 클라이언트 측에서 암호화된 항목에 계속 액세스하고 수정할 수 있습니다. 하지만 클라이언트 측에서 암호화된 항목을 새로 만들 수 없습니다.

CSE 사용을 중지하고 파일 및 이메일과 같은 항목을 복호화하려면 먼저 데이터 내보내기 도구를 사용하여 해당 항목을 내보내야 합니다. 그런 다음 복호화 유틸리티를 사용하여 CSE를 삭제합니다.