'AI 보안·디지털 주권 제어 外'… 구글 워크스페이스, 대규모 개선 사항 발표

구글이 협업 도구 워크스페이스(Workspace)에서 사용자의 민감한 데이터를 보호하고, 관리자 액세스 제어 기능을 강화하며 데이터 저장 및 처리 지역에 대한 유연성을 늘리겠다고 발표했다. 
 

구글이 협업 소프트웨어 '구글 워크스페이스'의 성능을 개선한다고 24일 발표했다. 구글에 따르면 워크스페이스는 조직 내 분산 인력으로 인한 보안 위험을 줄이는 데 집중해 여러 기능을 추가한다. 또 발표에서는 AI를 활용한 기능도 강조됐다. AI를 사용해 구글 드라이브의 데이터 손실 방지(DLP) 제어 기능을 강화하고 제로 트러스트 제어 기능도 구현할 수 있도록 했다. 구글 드라이브의 데이터를 분류하거나 지메일(Gmail)에서 민감한 정보를 보호할 수 있는 기능도 AI를 통해 자동화한다. 

새 워크스페이스는 데이터 주권(sovereignty)을 제어하는 기능을 강화한다. 클라이언트 측(client-side) 암호화 강화 조치로 워크스페이스 고객에게 암호화 키의 소유권을 제공하고, 데이터 저장 및 처리 지역에 더 많은 옵션을 지원할 방침이다. 미국-EU 간 데이터 이전 문제를 고려해 지원 담당자의 지역이 EU일 경우 액세스를 제한할 수 있도록 한다. 관리자 측면에서는 일부 관리자 계정에 대해 2단계 인증을 의무화하고, 민감한 관리자 작업이 있을 경우 여러 명의 승인을 받도록 하는 기능을 도입할 예정이다.

구글 워크스페이스에는 드라이브, 지메일, 미트(Meet), 캘린더, 문서 도구, 프레젠테이션과 같은 유명 SaaS 애플리케이션이 있다. 구글이 발표한 개선 사항은 일반적으로 엔터프라이즈 고객을 대상으로 하지만, 일부는 일반 소비자 버전에도 제공된다. 현재 구글은 프리뷰 버전으로 테스트하고 있으며 올해 말 베타 버전을 출시할 예정이다.

데이터 손실 방지의 핵심 사항
구글 워크스페이스 같은 SaaS 제품군은 직원을 분산 배치해야 하는 조직에게 특히 유용하다. 기업 내부는 물론 외부 파트너와도 쉽게 데이터를 공유할 수 있기 때문이다. 하지만 데이터 도난 또는 노출의 위험도 그만큼 증가한다. 직원이 실수 또는 고의로 민감한 정보를 권한이 없는 사람에게 제공하거나, 공격자가 접근하도록 방치하기 쉽다.

민감한 정보를 보호하기 위해 가장 먼저 해야 할 일은 정보를 정확하게 식별하고 라벨을 지정하는 일이다. 그 다음 액세스 권한이 있는 사람과 해당 정보가 저장되는 위치를 제어해야 한다. 워크스페이스는 구글AI를 도입해 드라이브에 저장된 데이터를 자동으로 분류하고 라벨을 지정할 수 있도록 한다. 워크스페이스 관리자는 제로 트러스트 모델을 구축하는 데 유용한 자체 DLP 또는 상황 인식 액세스(context-aware access, CAA) 제어를 드라이브에 적용할 수 있다. 구글은 고객의 자체 AI 모델 학습을 지원할 것이라고 밝혔다.

헬스케어 기업 로슈(Roche)의 정보 보안 도메인 책임자인 팀 에르하르트는 “CAA는 접근을 이분법으로 구분하지 않고 유연하게 정책을 적용한다. 적절한 사람, 애플리케이션 및 데이터에 이를 적용할 수 있어 위험을 관리하는 데 유용하다”라고 말했다. 그는 “CAA를 사용한 뒤 직원이 작업의 안전에 대해 더 확신을 갖고 다양한 상황에서 구글 워크스페이스를 사용할 수 있게 됐다”라고 덧붙였다.

워크스페이스 관리자는 디바이스 위치 또는 보안 상태 같은 기준을 바탕으로 구글 드라이브 저장 데이터에 상황 인식 제어를 설정할 수 있다. 기능을 설정하면 보안 기준을 충족하지 않는 데이터는 드라이브에서 차단된다. 해당 기능은 올해 말 프리뷰 버전으로 제공되며, 지메일에 대한 향상된 DLP 제어 기능도 함께 제공될 예정이다.

디지털 주권의 복잡한 규칙 이해
최근 디지털 주권법을 도입하는 국가가 빠르게 늘고 있다. 이 법은 기업이 자국민의 데이터를 자국 내에서만 저장하거나 처리하도록 의무화한다. 이로 인해 기업의 보안 및 IT 팀은 워크스페이스와 같은 클라우드 기반 애플리케이션을 사용하는 데 문제를 겪고 있다. 구글은 2022년 5월 ‘워크스페이스 소버린 컨트롤(Sovereign Controls for Google Workspace)’ 정책을 발표하고 2023년 말까지 기능을 개선하겠다고 밝혔다. 정책의 일환으로 24일 발표된 개선 사항에는 클라이언트 측 암호화 기능이 추가됐다. 세부 사항은 다음과 같다. 

ㆍ구글 캘린더, 지메일, 미트의 모바일 앱에서 클라이언트 측 암호화 지원 (현재 사용 가능)
ㆍ조직 단위의 기본값으로 클라이언트 측 암호화를 설정하는 기능 (올해 중 프리뷰 버전 제공)
ㆍ미트에서 게스트 액세스 지원 (올해 중 프리뷰 버전 제공)
ㆍ문서에서 댓글 지원 (올해 중 프리뷰 버전 제공)
ㆍ마이크로소프트 엑셀 파일 보기, 편집 또는 변환 기능 (현재 프리뷰 중)

엔터프라이즈 워크스페이스 고객은 앞으로 암호화 키를 저장할 지역도 직접 선택할 수 있다. 구글은 글로벌 파트너인 탈레스(Thales), 스톰실드(Stormshield), 플로우크립트(Flowcrypt)와 협업을 통해 해당 기능을 제공한다. 구글은 이 기능을 통해 지역별 규정 준수 절차를 간소화할 수 있다고 주장했다.

이미 구글은 유휴 데이터를 보관할 지역을 고객이 선택할 수 있도록 지원하고 있다. 또 원하는 국가에 워크스페이스 데이터의 사본을 저장할 수 있는 옵션도 제공하고 있다. 올해 말 제공되는 프리뷰 버전에서는 데이터를 EU에서 처리할지 미국에서 처리할지 고객이 정할 수 있도록 개선할 예정이다.

신원 기반 공격 방지
만약 공격자가 소셜 엔지니어링이나 기타 수단을 동원해 자격 증명을 획득했다면, AI나 일반적인 기술로는 액세스를 거부하기 어렵다. 특히 관리자 인증 정보가 유출되면 위험도는 급격히 올라간다. 구글은 이 문제를 해결하기 위해 새로운 액세스 제어 기능을 추가했다.

구글은 올해 말부터 워크스페이스의 액세스 제어 기능을 단계적으로 구현할 방침이다. 워크스페이스 리셀러 및 엔터프라이즈 관리자 계정에 2단계 인증을 시행하고, 관리자가 민감한 작업을 수행할 때 다른 관리자의 추가 승인을 요구하는 기능이 도입된다. 해당 기능은 올해 말 프리뷰 버전에서 제공된다.

AI 기반 위협 탐지
AI는 대규모 데이터 세트에서 이상 징후를 발견하는 데 뛰어난 성능을 발휘한다. 구글은 몇 가지 수준의 위협을 탐지하기 위해 AI를 활용하고 있다. 현재 프리뷰 버전으로 제공되는 새 AI 기반 지메일 위협 탐지 기능은 악성 행위로 번질 수 있는 잠재적 행동이나 민감한 데이터의 조작 여부를 미리 스캔하는 기능이다. 이는 엔터프라이즈 고객과 일반 사용자 모두에게 제공된다.

앞으로 워크스페이스는 구글 클라우드의 크로니클(Chronicle) 보안 제품군과도 기능을 통합한다. 크로니클을 함께 사용하는 워크스페이스 고객은 ‘몇 번의 클릭만으로’ 로그를 내보내 위협 분석을 요청할 수 있게 된다. 구글 클라우드의 워크스페이스 보안 및 규정 준수 제품 디렉터인 앤디 웬은 “이미 수백 명의 워크스페이스 고객이 최신 위협 탐지, 조사 및 대응을 위해 크로니클을 사용하고 있다. 고객은 이제 몇 번의 클릭만으로 워크스페이스 데이터를 크로니클에 동기화하고, 선별된 워크스페이스 탐지 기능을 활용해 빠르고 정확하게 위험에 대응할 수 있다”라고 말했다. 통합 기능은 현재 프리뷰 버전에서 제공되고 있다. 다른 SIEM과 통합하도록 API 및 빅쿼리(BigQuery) 데이터를 내보내는 것도 가능하다. ciokr@idg.co.kr