Google에서 제공하는 "구글 G Suite"는 Gmail, Google 드라이브, Google 문서 도구 등을 사용할 수 있는 편리한 클라우드 서비스입니다. 전 Google 직원인 마틴 쉘튼은 "G Suite는 강력한 도구인 반면, 고객의 데이터는 미국 수사 기관에 인도될 수 있습니다"라며, 개인 정보에 주의하면서 구글 G Suite를 안전하게 활용하라고 조언했습니다.
Newsrooms, let 's talk about G Suite
https://freedom.press/training/blog/newsrooms-lets-talk-about-gsuite/
견고한 G Suite 보안
사용자가 구글 g suite를 포함한 Google 서비스에 접속하면, Google은 통신 내용을 암호화하여 데이터를 보호하고, Google 데이터 센터에 보관합니다. 저장되는 데이터 자체도 완벽하게 암호화되어 원칙적으로 사용자 이외엔 내용을 볼 수 없습니다. 그러나 예외도 있습니다.
예를 들어, Google은 구글 G Suite의 데이터를 광고에 이용하지 않는다고 합니다만, 스팸, 악성 코드 공격 등의 감지와 같은 맞춤법 검사나 사용자 Google 계정에서 검색을 지원하는 용도 등에는 사용합니다. 또한, 데이터를 검색하여 법률이나 Google 규정을 위반하는지 확인하는 경우도 있습니다.
데이터를 보관하는 데이터 센터도 엄격한 보안 체제를 기반으로 물리적으로 보호되며, 시설에 출입하거나 데이터에 접근할 수 있는 직원도 엄격히 제한되어 있습니다. 그러나 Google 직원도 아닌 제삼자가 소송이나 형사 소추를 받지 않고 구글 G Suite 데이터를 볼 수 있습니다. 법 집행 기관의 수사인 경우가 그렇습니다.
법 집행 기관의 G Suite 데이터 공개 청구
법 집행 기관에 의해 G Suite 데이터가 폭로된 사례 중 하나가 2012년에 출판된 책인 "Confront and Conceal : Obama 's Secret Wars and Surprising Use of American Power"입니다. 오바마 행정부에서 행해진 Stuxnet에 의한 미국의 이란 핵 시설 사이버 공격 내용이 담겨있는 책이죠. FBI는 Google 공격을 지휘한 제임스 카트라이트 전 합참 부의장과 폭로 책의 저자인 데이비드 생어 등 3명의 기자에게 자료를 요구했었습니다.
이에 따라 Google이 제출한 자료를 바탕으로 작성된(PDF 파일)의 재판 자료에는 조사 대상자인 카트라이트와 기자들이 주고받은 Gmail 내용이 기재되어 있습니다 .
법정에선 메일을 주고받은 시간뿐만 아니라 삭제된 메시지, 주소록 내용, 통신 기록 로그, 계정 설정 내용, IP 주소 등 다양한 데이터가 취급된 겁니다.
아래 영화를 보면 법 집행 기관에 의한 공개 청구를 Google은 어떻게 대응하는지 알 수 있습니다.
우선 수사 당국이 Gmail 사용자의 데이터를 검색하고 싶다고 생각합니다.
수사관은 법원에 가서 수색 영장을 받습니다.
이렇게 발부된 수색 영장은 Google의 "심사관"이 먼저 받습니다. 심사관의 주요 업무는 수색 영장의 내용에서 우선순위를 정하는 것입니다.
심사관이 "조속히 대응해야 한다"고 판단하면, 수색 영장은 "프로듀서"가 넘겨받아 상세히 점검합니다.
예를 들어, 수색 영장 내용이 불분명하거나 대상이 된 사용자가 수사와 무관하다면, 수사 당국으로 돌려보내 영장을 다시 받아 제출하라고 요청합니다.
또한, 수색 영장에서 청구하는 데이터는 종종 "모든 서비스 데이터" 등 너무 광범위한 경우도 있습니다.
그래서 수사에 필요한 데이터의 내용이나 범위에 대한 절충이 이루어집니다.
이렇게 완성된 자료가 "기록 관리인"에게 넘어가고, 기록 관리인은 데이터가 진짜 사실임을 증명하는 증서를 만듭니다. 이 자료는 법정에 반입 후 공개됨으로써 일련의 데이터 공개가 완료됩니다.
직장 상사가 열람
업무 때문에 구글 G Suite를 사용한다면 구글 G Suite의 직장 내 관리자는 데이터를 볼 수 있습니다. G Suite는 "Enterprise", "Business", "Basic" 3가지 버전으로 나누어져 있습니다. 이 중 기능이 풍부한 Enterprise는 관리자가 Gmail로 주고 받은 내용을 자세히 파악할 수 있습니다.
물론 Gmail 뿐만 아니라 Google 드라이브 및 Google 문서 파일도 모두 열람할 수 있습니다. 또한, 임시 보관함 폴더와 삭제된 메일까지 복원하고 읽을 수 있습니다.
구글 G Suite 잘 사용하는 요령
수사 기관이나 상사가 열람할 수 있는 구글 G Suite를 사용하는 데 있어서, 쉘튼 씨는 구체적으로 "활동 내역 확인", "G Suite 버전 확인", "G Suite에 저장할 데이터인지 확인" 3가지를 권장합니다. 활동 내역은 계정 정보에서 확인할 수 있지만, G Suite 버전은 직장 내 G Suite 관리자에게 문의해야 합니다. 직장 내 관리자에게 확인받기엔 조금 벽이 높을지도 모르며, 세 번째 "구글 G Suite에 사적인 정보를 저장"하는 것은 자기 책임입니다.
또한, 쉘튼 씨는 "G Suite는 통신 중에는 강력한 암호로 보호되지만, 엔드 투 엔드 는 암호화 되지 않습니다"라고 강조하며, 자료를 저장하려면 암호화된 파일 공유가 가능한 서비스 "Tresorit" 등을 사용하거나 오프라인 스토리지에 저장하는 것도 좋은 방법이라고 조언합니다.
쉘튼 씨는 마지막으로 "구글 G Suite는 데이터의 장기 보관 및 공동 작업 환경을 구축하는 데 도움이 되는 강력한 도구지만, 우리가 비밀로 하고 싶은 것까지 보관될 가능성도 있습니다"라고 말합니다. 편리함과 프라이버시 사이에서 절충안을 찾는 것이 필요하다고 합니다.
