이 기능이 지원되는 버전: Frontline Plus, Enterprise Plus, Education Standard 및 Education Plus 사용 중인 버전 비교하기
Google Workspace 클라이언트 측 암호화 (CSE) 설정을 시작하기 전에 요구사항, 암호화 키 옵션, 설정 개요를 검토하세요.
CSE 요구사항
CSE에 필요한 관리자 권한
조직의 CSE를 관리하려면 Google Workspace에 다음과 같은 최고 관리자 권한이 필요합니다.
- 키 관리 서비스 추가 및 관리
- 조직 단위 및 그룹에 키 관리 서비스 할당
- 사용자별로 CSE 사용/사용 중지
CSE의 내부 사용자 요구사항
사용자 라이선스 요구사항
- 사용자가 CSE를 사용하여 다음 작업을 수행하려면 Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard 또는 Google Workspace for Education Plus 라이선스가 필요합니다.
- 클라이언트 측에서 암호화된 콘텐츠 만들기 또는 업로드
- 암호화된 회의 주최
- 암호화된 이메일 전송 또는 수신
- Google Workspace 또는 Cloud ID 라이선스가 있는 사용자는 유형에 상관없이 다음을 수행할 수 있습니다.
- 클라이언트 측에서 암호화된 콘텐츠 보기, 수정 또는 다운로드
- 컴퓨터, 휴대기기 또는 Google Meet 하드웨어 기기에서 CSE 회의에 참여
- 일반 Google 계정(예: Gmail 사용자)을 사용 중인 사용자는 클라이언트 측에서 암호화된 콘텐츠에 액세스하거나 암호화된 이메일을 전송하거나 클라이언트 측에서 암호화된 회의에 참여할 수 없습니다.
브라우저 요구사항
클라이언트 측에서 암호화된 콘텐츠를 보거나 수정하려면 Chrome 또는 Microsoft Edge (Chromium) 브라우저를 사용해야 합니다.
CSE의 외부 사용자 요구사항
관리자는 외부 사용자가 클라이언트 측에서 암호화된 콘텐츠에 액세스하도록 허용할 수 있습니다. 외부 사용자가 사용자의 암호화된 Gmail 메일에 액세스하려는 경우 S/MIME를 사용하기만 하면 됩니다. 다른 콘텐츠의 경우 외부 액세스를 제공하는 데 사용하는 방법에 따라 요구사항이 다릅니다. 자세한 내용은 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 권한 제공하기을 참고하세요.
암호화 키 옵션 이해하기
외부 키 서비스
클라이언트 측 암호화를 사용하려면 조직에서 자체 암호화 키를 사용해야 합니다. 암호화 키를 만드는 방법에는 두 가지가 있습니다.
- Google과 파트너 관계에 있는 외부 암호화 키 관리 서비스를 사용합니다. 키 관리 서비스에서 Google Workspace에 대한 서비스 설정 방법을 안내합니다. 자세한 내용은 클라이언트 측 암호화에 필요한 키 관리 서비스 선택하기를 참고하세요.
- Google Workspace CSE API를 사용하여 나만의 키 관리 서비스를 구축하세요.
Gmail용 하드웨어 키
조직의 사용자가 스마트 카드를 사용하여 시설 및 시스템에 액세스하는 경우 키 관리 서비스 대신 Gmail CSE에 하드웨어 키 암호화를 설정할 수 있습니다. 사용자는 하드웨어 키를 사용하여 이메일에 서명하고 암호화할 수 있습니다. 자세한 내용은 Gmail만 해당: 하드웨어 암호화 키 설정 및 관리하기를 참고하세요.
CSE 설정 개요
다음은 Google Workspace 클라이언트 측 암호화를 설정하는 단계에 대한 개요입니다. CSE 설정 방법은 사용하려는 암호화 키 유형에 따라 다릅니다.
외부 암호화 키 관리 서비스를 사용하는 경우
Google Drive, Google Calendar, Google Meet의 암호화를 설정하려면 다음 단계를 따르세요. 또한 Gmail용 하드웨어 암호화 키만 사용하려는 경우가 아니라면 Gmail에서도 다음 단계를 따르세요.
| 단계 | 설명 | 이 단계를 완료하는 방법 |
|---|---|---|
| 1단계: 외부 암호화 키 관리 서비스 선택하기 |
Google의 암호화 키 관리 서비스 파트너 중 하나에 가입하거나 Google Workspace CSE API를 사용하여 자체 서비스를 구축합니다. 키 관리 서비스는 데이터를 보호하는 최상위 암호화 키를 관리합니다. |
클라이언트 측 암호화에 필요한 키 관리 서비스 선택하기 |
| 2단계: Google Workspace를 ID 공급업체에 연결하기 |
관리 콘솔 또는 서버에 호스팅된 .well-known 파일을 사용하여 서드 파티 IdP 또는 Google ID에 연결합니다. IdP는 사용자가 콘텐츠를 암호화하거나 암호화된 콘텐츠에 액세스하도록 허용하기 전에 사용자 ID를 확인합니다. |
클라이언트 측 암호화에 필요한 ID 공급업체에 연결하기 |
| 3단계: 외부 키 관리 서비스 설정하기 |
키 관리 서비스 파트너와 협력하여 Google Workspace 클라이언트 측 암호화 서비스를 설정하세요. 참고: Meet 하드웨어와 함께 CSE를 사용하는 경우 키 관리에 사용되는 외부 키 서비스의 서버는 인증된 사용자를 대신하여 회의에 참여할 수 있도록 회의실을 승인하는 데 사용되는 통화 위임을 지원해야 합니다. 자세한 내용은 키 서비스에 문의하세요. |
|
| 4단계: 관리 콘솔에 키 관리 서비스 정보 추가하기 |
외부 키 관리 서비스의 URL을 관리 콘솔에 추가하여 Google Workspace에 서비스를 연결합니다. 여러 키 관리 서비스를 추가하여 특정 조직 단위 또는 그룹에 서로 다른 키 관리 서비스를 할당할 수 있습니다. |
클라이언트 측 암호화에 필요한 키 관리 서비스 추가 및 관리하기 |
| 5단계: 사용자에게 키 관리 서비스 할당하기 | 조직 단위 및 그룹에 키 관리 서비스 또는 여러 서비스를 할당합니다. 키 관리 서비스를 조직의 기본값으로 할당해야 합니다. | 사용자에게 클라이언트 측 암호화 할당하기 |
| 6단계: (Gmail S/MIME 메시지에만 해당되는 선택사항) 사용자의 암호화 키 업로드하기 |
Google Cloud Platform(GCP) 프로젝트를 만들고 Gmail API를 사용 설정합니다. 그런 다음 API에 조직 전체에 대한 액세스 권한을 부여하고, Gmail 사용자에 대해 CSE를 사용 설정하고, Gmail에 비공개 및 공개 암호화 키를 업로드합니다. 참고: 이 단계에서는 API 및 Python 스크립트를 사용해 본 경험이 필요합니다. |
Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기 |
| 7단계: 사용자에게 CSE 사용 설정하기 |
클라이언트 측에서 암호화된 콘텐츠를 만들어야 하는 사용자가 있는 조직의 모든 조직 단위 또는 그룹에 CSE를 사용 설정합니다. 지원되는 모든 서비스 또는 특정 서비스(Gmail, Meet, Drive, Calendar)에 대해 CSE를 사용 설정할 수 있습니다. Gmail CSE: Assured Controls 부가기능이 있고 Gmail에 하드웨어 키 암호화를 사용하지 않는 경우 이 단계에서 게스트 계정으로 암호화 옵션을 선택하면 S/MIME 인증서를 구성하지 않고도 Gmail E2EE를 자동으로 사용 설정할 수 있습니다. |
사용자별로 CSE 사용/사용 중지하기 |
| 8단계: (선택사항) 외부 액세스 설정하기 | Google Workspace CSE를 사용하지 않는 조직에 게스트 ID 공급업체 (IdP)를 구성하여 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 권한을 제공할 수 있습니다. | 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 제공하기 |
| 9단계: (선택사항) 메일을 클라이언트 측에서 암호화된 S/MIME 메시지로 Gmail에 가져오기 | 조직의 메일이 다른 서비스에 있거나 다른 암호화 형식으로 되어 있는 경우 해당 메일을 S/MIME 형식의 클라이언트 측에서 암호화된 메일로 Gmail에 이전할 수 있습니다. | 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 이전하기 |
Gmail에 하드웨어 암호화 키를 사용하는 경우
Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다.Gmail 사용자 전체 또는 일부에 대해 외부 키 관리 서비스 대신 하드웨어 암호화 키를 설정하려면 다음 단계를 따르세요.
| 단계 | 설명 | 이 단계를 완료하는 방법 |
|---|---|---|
| 1단계: Google Workspace를 ID 공급업체에 연결하기 | 관리 콘솔 또는 서버에 호스팅된 .well-known 파일을 사용하여 서드 파티 IdP 또는 Google ID에 연결합니다. IdP는 사용자가 콘텐츠를 암호화하거나 암호화된 콘텐츠에 액세스하도록 허용하기 전에 사용자 ID를 확인합니다. | 클라이언트 측 암호화에 필요한 ID 공급업체에 연결하기 |
| 2단계: 하드웨어 암호화 키 설정하기 |
사용자의 Windows 기기에 Google Workspace 하드웨어 키 애플리케이션을 설치합니다. 참고: 이 단계에서는 PowerShell 스크립트 작업을 해 본 경험이 필요합니다. |
Gmail만 해당: 하드웨어 암호화 키 설정 및 관리하기 |
| 3단계: 관리 콘솔에 하드웨어 암호화 정보 추가하기 | Google Workspace가 사용자의 Windows 기기에서 스마트 카드 리더와 통신할 포트 번호를 입력합니다. | Gmail만 해당: 하드웨어 암호화 키 설정 및 관리하기 |
| 4단계: 사용자에게 하드웨어 암호화 할당하기 | 조직 단위 및 그룹에 하드웨어 키 암호화를 할당합니다. | 사용자에게 클라이언트 측 암호화 할당하기 |
| 5단계: 사용자의 공개 암호화 키 업로드하기 |
Google Cloud Platform(CGP) 프로젝트를 만들고 Gmail API를 사용 설정합니다. 그런 다음 API에 조직 전체에 대한 액세스 권한을 부여하고, Gmail 사용자에 대해 CSE를 사용 설정하고, Gmail에 공개 암호화 키를 업로드합니다. 참고: 이 단계에서는 API 및 Python 스크립트를 사용해 본 경험이 필요합니다. |
Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기 |
| 6단계: (선택사항) 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 가져오기 | 조직의 메일이 다른 서비스에 있거나 다른 암호화 형식으로 되어 있는 경우 관리자는 해당 메일을 S/MIME 형식의 클라이언트 측에서 암호화된 메일로 Gmail에 이전할 수 있습니다. | 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 이전하기 |
Meet 하드웨어의 CSE
기본적으로 Meet은 전송 중인 통화 미디어와 저장된 통화 미디어를 모두 암호화합니다. 회의 참여자와 Google 데이터 센터 서비스에서만 이 정보를 복호화할 수 있습니다.
CSE는 각 참여자만 액세스할 수 있는 키를 사용하여 각 참여자의 브라우저 내에서 직접 통화 미디어를 암호화하여 개인 정보 보호를 강화합니다. 참석자만 자신의 키를 사용하여 브라우저에서 암호화한 회의 정보를 복호화할 수 있습니다.
사용자가 CSE를 활용할 수 있도록 하려면 관리자가 Workspace를 외부 ID 공급업체 및 암호화 키 관리 서비스 (IdP+키 관리 서비스)에 연결해야 합니다. IdP+키 관리 서비스 설정에 대한 자세한 내용은 이 페이지의 CSE 설정 개요를 참고하세요.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.