이 기능이 지원되는 버전: Frontline Plus, Enterprise Plus, Education Standard 및 Education Plus 사용 중인 버전 비교하기
Google Workspace 클라이언트 측 암호화 (CSE) 설정을 시작하기 전에 요구사항, 암호화 키 옵션, 설정 개요를 검토하세요.
CSE 요구사항
CSE에 필요한 관리자 권한
조직의 CSE를 관리하려면 Google Workspace에 다음과 같은 최고 관리자 권한이 필요합니다.
- 키 관리 서비스 추가 및 관리
- 조직 단위 및 그룹에 키 관리 서비스 할당
- 사용자별로 CSE 사용/사용 중지하기
CSE의 내부 사용자 요구사항
사용자 라이선스 요구사항
- 사용자가 CSE를 사용하여 다음 작업을 수행하려면 Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard 또는 Google Workspace for Education Plus 라이선스가 필요합니다.
- 클라이언트 측에서 암호화된 콘텐츠 만들기 또는 업로드
- 암호화된 회의 주최
- 암호화된 이메일 전송 또는 수신
- Google Workspace 또는 Cloud ID 라이선스가 있는 사용자는 유형에 상관없이 다음을 수행할 수 있습니다.
- 클라이언트 측에서 암호화된 콘텐츠 보기, 수정 또는 다운로드
- 컴퓨터, 휴대기기 또는 Google Meet 하드웨어 기기에서 CSE 회의에 참여
- 일반 사용자 Google 계정 (예: Gmail 사용자)을 사용 중인 사용자는 클라이언트 측에서 암호화된 콘텐츠에 액세스하거나 암호화된 이메일을 전송하거나 클라이언트 측에서 암호화된 회의에 참여할 수 없습니다.
브라우저 요구사항
클라이언트 측에서 암호화된 콘텐츠를 보거나 수정하려면 Chrome 또는 Microsoft Edge (Chromium) 브라우저를 사용해야 합니다.
CSE의 외부 사용자 요구사항
외부 사용자가 클라이언트 측에서 암호화된 콘텐츠에 액세스하도록 허용할 수 있습니다. 외부 사용자가 사용자의 암호화된 Gmail 메일에 액세스하려는 경우 S/MIME를 사용하기만 하면 됩니다. 다른 콘텐츠의 경우 외부 액세스를 제공하는 데 사용하는 방법에 따라 요구사항이 다릅니다. 자세한 내용은 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 권한 제공하기를 참고하세요.
암호화 키 옵션 이해하기
외부 키 서비스
클라이언트 측 암호화를 사용하려면 조직에서 자체 암호화 키를 사용해야 합니다. 암호화 키를 만드는 방법에는 두 가지가 있습니다.
- Google과 파트너 관계에 있는 외부 암호화 키 관리 서비스를 사용합니다. 키 관리 서비스에서 Google Workspace에 대한 서비스 설정 방법을 안내합니다. 자세한 내용은 클라이언트 측 암호화에 필요한 키 관리 서비스 선택하기를 참고하세요.
- Google Workspace CSE API를 사용하여 나만의 키 관리 서비스를 구축하세요.
Gmail용 하드웨어 키
조직의 사용자가 스마트 카드를 사용하여 시설 및 시스템에 액세스하는 경우 키 관리 서비스 대신 Gmail CSE에 하드웨어 키 암호화를 설정할 수 있습니다. 사용자는 하드웨어 키를 사용하여 이메일에 서명하고 암호화할 수 있습니다. 자세한 내용은 Gmail만 해당: 하드웨어 암호화 키 설정 및 관리하기를 참고하세요.
CSE 설정 개요
Google Workspace 클라이언트 측 암호화를 설정하는 단계에 대한 개요는 다음과 같습니다. CSE 설정 방법은 사용하려는 암호화 키 유형에 따라 다릅니다.
외부 암호화 키 관리 서비스를 사용하는 경우
Google Drive, Google Calendar, Google Meet의 암호화를 설정하려면 다음 단계를 따르세요. 또한 Gmail용 하드웨어 암호화 키만 사용하려는 경우가 아니라면 Gmail에서도 다음 단계를 따르세요.
| 단계 | 설명 | 이 단계를 완료하는 방법 |
|---|---|---|
| 1단계: 외부 암호화 키 관리 서비스 선택하기 |
Google의 암호화 키 관리 서비스 파트너 중 하나에 가입하거나 Google Workspace CSE API를 사용하여 자체 서비스를 구축합니다. 키 관리 서비스는 데이터를 보호하는 최상위 암호화 키를 관리합니다. |
클라이언트 측 암호화에 필요한 키 관리 서비스 선택하기 |
| 2단계: Google Workspace를 ID 공급업체에 연결하기 |
관리 콘솔 또는 서버에 호스팅된 .well-known 파일을 사용하여 서드 파티 IdP 또는 Google ID에 연결합니다. IdP는 사용자가 콘텐츠를 암호화하거나 암호화된 콘텐츠에 액세스하도록 허용하기 전에 사용자 ID를 확인합니다. |
클라이언트 측 암호화에 필요한 ID 공급업체에 연결하기 |
| 3단계: 외부 키 관리 서비스 설정하기 |
키 관리 서비스 파트너와 협력하여 Google Workspace 클라이언트 측 암호화 서비스를 설정하세요. 참고: Meet 하드웨어와 함께 CSE를 사용하는 경우 키 관리에 사용되는 외부 키 서비스의 서버는 인증된 사용자를 대신하여 회의에 참여할 수 있도록 회의실을 승인하는 데 사용되는 통화 위임을 지원해야 합니다. 자세한 내용은 키 관리 서비스에 문의하세요. |
|
| 4단계: 관리 콘솔에 키 관리 서비스 정보 추가하기 |
외부 키 관리 서비스의 URL을 관리 콘솔에 추가하여 Google Workspace에 서비스를 연결합니다. 여러 키 관리 서비스를 추가하여 특정 조직 단위 또는 그룹에 서로 다른 키 관리 서비스를 할당할 수 있습니다. |
클라이언트 측 암호화에 필요한 키 관리 서비스 추가 및 관리하기 |
| 5단계: 사용자에게 키 관리 서비스 할당하기 | 조직 단위 및 그룹에 키 관리 서비스 또는 여러 서비스를 할당합니다. 키 관리 서비스를 조직의 기본값으로 할당해야 합니다. | 사용자에게 클라이언트 측 암호화 할당하기 |
| 6단계: (Gmail S/MIME 메시지에만 해당되는 선택사항) 사용자의 암호화 키 업로드하기 |
Google Cloud Platform (GCP) 프로젝트를 만들고 Gmail API를 사용 설정합니다. 그런 다음 API에 조직 전체에 대한 액세스 권한을 부여하고, Gmail 사용자에 대해 CSE를 사용 설정하고, Gmail에 비공개 및 공개 암호화 키를 업로드합니다. 참고: 이 단계에서는 API 및 Python 스크립트를 사용해 본 경험이 필요합니다. |
Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기 |
| 7단계: 사용자에게 CSE 사용 설정하기 |
클라이언트 측에서 암호화된 콘텐츠를 만들어야 하는 사용자가 있는 조직의 모든 조직 단위 또는 그룹에 CSE를 사용 설정합니다. 지원되는 모든 서비스 또는 특정 서비스 (Gmail, Meet, Drive, Calendar)에 대해 CSE를 사용 설정할 수 있습니다. Gmail CSE: Assured Controls 부가기능이 있고 Gmail에 하드웨어 키 암호화를 사용하지 않는 경우 이 단계에서 게스트 계정으로 암호화 옵션을 선택하면 S/MIME 인증서를 구성하지 않고도 Gmail E2EE를 자동으로 사용 설정할 수 있습니다. |
사용자별로 CSE 사용/사용 중지하기 |
| 8단계: (선택사항) 외부 액세스 설정하기 | Google Workspace CSE를 사용하지 않는 조직에 게스트 ID 공급업체 (IdP)를 구성하여 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 권한을 제공할 수 있습니다. | 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 제공하기 |
| 9단계: (선택사항) 메일을 클라이언트 측에서 암호화된 S/MIME 메시지로 Gmail에 가져오기 | 조직의 메일이 다른 서비스에 있거나 다른 암호화 형식으로 되어 있는 경우 해당 메일을 S/MIME 형식의 클라이언트 측에서 암호화된 메일로 Gmail에 이전할 수 있습니다. | 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 이전하기 |
Gmail에 하드웨어 암호화 키를 사용하는 경우
Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다.Gmail 사용자 전체 또는 일부에 대해 외부 키 관리 서비스 대신 하드웨어 암호화 키를 설정하려면 다음 단계를 따르세요.
| 단계 | 설명 | 이 단계를 완료하는 방법 |
|---|---|---|
| 1단계: Google Workspace를 ID 공급업체에 연결하기 | 관리 콘솔 또는 서버에 호스팅된 .well-known 파일을 사용하여 서드 파티 IdP 또는 Google ID에 연결합니다. IdP는 사용자가 콘텐츠를 암호화하거나 암호화된 콘텐츠에 액세스하도록 허용하기 전에 사용자 ID를 확인합니다. | 클라이언트 측 암호화에 필요한 ID 공급업체에 연결하기 |
| 2단계: 하드웨어 암호화 키 설정하기 |
사용자의 Windows 기기에 Google Workspace 하드웨어 키 애플리케이션을 설치합니다. 참고: 이 단계에서는 PowerShell 스크립트 작업을 해 본 경험이 필요합니다. |
Gmail만 해당: 하드웨어 암호화 키 설정 및 관리하기 |
| 3단계: 관리 콘솔에 하드웨어 암호화 정보 추가하기 | Google Workspace가 사용자의 Windows 기기에서 스마트 카드 리더와 통신할 포트 번호를 입력합니다. | Gmail만 해당: 하드웨어 암호화 키 설정 및 관리하기 |
| 4단계: 사용자에게 하드웨어 암호화 할당하기 | 조직 단위 및 그룹에 하드웨어 키 암호화를 할당합니다. | 사용자에게 클라이언트 측 암호화 할당하기 |
| 5단계: 사용자의 공개 암호화 키 업로드하기 |
Google Cloud Platform (CGP) 프로젝트를 만들고 Gmail API를 사용 설정합니다. 그런 다음 API에 조직 전체에 대한 액세스 권한을 부여하고, Gmail 사용자에 대해 CSE를 사용 설정하고, Gmail에 공개 암호화 키를 업로드합니다. 참고: 이 단계에서는 API 및 Python 스크립트를 사용해 본 경험이 필요합니다. |
Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기 |
| 6단계: (선택사항) 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 가져오기 | 조직의 메일이 다른 서비스에 있거나 다른 암호화 형식으로 되어 있는 경우 관리자는 해당 메일을 S/MIME 형식의 클라이언트 측에서 암호화된 메일로 Gmail에 이전할 수 있습니다. | 메일을 클라이언트 측에서 암호화된 이메일로 Gmail에 이전하기 |
Meet 하드웨어의 CSE
기본적으로 Meet은 전송 중인 통화 미디어와 저장된 통화 미디어를 모두 암호화합니다. 회의 참여자와 Google 데이터 센터 서비스에서만 이 정보를 복호화할 수 있습니다.
CSE는 각 참여자만 액세스할 수 있는 키를 사용하여 각 참여자의 브라우저 내에서 직접 통화 미디어를 암호화하여 개인 정보 보호를 강화합니다. 참석자만 자신의 키를 사용하여 브라우저에서 암호화한 회의 정보를 복호화할 수 있습니다.
사용자가 CSE를 활용할 수 있도록 하려면 관리자가 Workspace를 외부 ID 공급업체 및 암호화 키 관리 서비스 (IdP+키 관리 서비스)에 연결해야 합니다. IdP+키 관리 서비스 설정에 대한 자세한 내용은 이 페이지의 CSE 설정 개요를 참고하세요.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.