11월 17

[새로운 소식] Google Chat 용 데이터 유출 방지 (베타) 소개

배경

Google Workspace 에서는 데이터 유출 방지 (Data Loss Prevention) 기능으로  Drive 용 DLP 와 

Gmail 용 DLP 만 제공이 되었습니다.  그러나, 그동안 실시간 협업 도구인 Google Chat  통해서 내부 또는 외부에 보안에 민감한 데이터 유출을 방지하는 서비스는 없었습니다.

실시간 협업 도구인 Google Chat의 활용도가 높아지면서 실시간 채팅을 통하여 보안에 민감한 데이터 유출 방지 대한 중요성이 더욱 높아지고 있습니다. 

구글은 이번에 실시간 협업 도구 Google Chat 를 위한 DLP 서비스 (Chat용 DLP) 를  베타 서비스로 릴리스 하였습니다.  (베타 서비스 신청한 고객인 경우만 사용 가능) 

이 Google Chat 용 DLP (베타) 기능에 대하여 자세히 설명하고자 합니다. 

Google Chat용 DLP의 주요 기능은 채팅 메시지와 채팅시 첨부하는 파일들에 대해서 데이터 유출을 차단하는 것입니다.    

<보안에 민감한 데이터를 포함한  이미지/PDF/HWP 파일 업로드 시도시 자동 차단 예>

예들 들면, Google Chat의 스페이스 (채팅방) 공간에서 외부 협력업체와 채팅으로 협업을 할 경우, 고의로 또는 실수로 채팅을 통해서 신용카드 정보가 포함된 개인 정보 파일을 업로드를 시도할 수 있습니다. 이러한 시도는 Google Chat용 DLP 를 통해서 모두 차단 시킬 수 있습니다.  (위 이미지 참고)

채팅창에서 ‘보안문서’ (관리자가 관리 콘솔에 DLP 규칙으로 등록한 금칙어 단어들) 입력하면 ‘메시지를 보낼 수 없음” 경고 창이 뜨고 ‘메시지를 보낼 수 없습니다” 상태가 됩니다. 

이 기능은  현재  Google Workspace  Enterprise; Education Fundamentals, Standard, Teaching and Learning Upgrade, and Plus. 에서만 제공하고 있습니다. (버전별 비교 참고)

Google Chat용 DLP를 사용하면 채팅 메시지 및 첨부 파일(업로드된 파일)에서 데이터 유출을 방지하는 데이터 보호 규칙을 만들 수 있습니다. 첨부 파일에는 업로드한 파일과 이미지가 포함될 수 있습니다.

베타 기능은 이 문서에 설명된 몇 가지 예외를 제외하고 웹 및 모바일 클라이언트 모두에서 사용할 수 있습니다. Google Chat용 DLP에서 지원하는 주요 기능에는 다음을 수행할 수 있는 관리자의 기능이 포함됩니다.

  • 특정 조직 단위 및 그룹에 대한 Chat의 데이터 보호 규칙 관리
  • 데이터 민감도 조건을 정의합니다.
  • 데이터 민감도 조건을 위반하는 최종 사용자를 감사하거나 차단합니다.
  • 조사 도구를 사용하여 정책 위반을 조사합니다(해당 규칙을 위반하는 최종 사용자 메시지 보기 포함).

현재 베타 제한 사항

  • 일반적으로 외부 콘텐츠에 대한 링크는 검사하지 않으며 챗봇과 주고받는 메시지는 검사하지 않습니다. 드라이브를 통해 공유된 파일에는 드라이브 DLP 규칙이 적용됩니다.자세한 내용은 드라이브용 DLP사용하여 데이터 손실 방지를 참조하시기 바랍니다.

베타에 알려진 이슈들

베타 기능

  • 일부 Workspace DLP 기능은 Chat용 DLP 베타에서 사용할 수 없습니다.
  • Chat용 DLP는 Google 행아웃 메시지를 검색하지 않습니다.

포함 된 기능들 및 예외 사항들 

지원되는 조건 값은 다음과 같습니다.

  • 포함
  • 사전 정의된 데이터 유형과 일치 

베타에서 지원되지 않는 조건 값: 

  • 정규식
  • 단어 목록
  • 같음

베타에서 지원되는 작업: 

  • 콘텐츠 차단 
  • 감사만

베타에서 지원되지 않는 작업: 

  • 사용자경고

채팅 및 대기 시간 제한

채팅은 대기 시간에 민감한 애플리케이션이며 최종 사용자 경험을 저하시키지 않도록 Chat용 DLP를 설계했습니다.

  • 메시지의 경우 DLP에 스캔을 수행하기 위한 고정 창이 제공됩니다. 보유하고 있는 감지기의 복잡성과 수에 따라 일부 감지기는 제시간에 완료되지 않고 시행되지 않을 수 있습니다. DLP 스캔 상태는추가할 수 있습니다 Google Chat 감사 로그 보낸 메시지 및 업로드된 첨부 파일에 대한에.
  • 다음 사전 정의된 감지기는 시간 내에 완료되지 않을 수 있습니다.
    • 생년월일
    • 사람 이름
  • 첨부 파일에 스캔 시간이 더 주어지며 시간 초과가 예상되지 않습니다.

정식 버전 릴리스 전에 이러한 시간 초과 문제를 해결할 계획입니다.

조사 도구 제한 사항

  • 적용된 규칙이 감사 전용으로 설정되어 있지 않으면 조사 도구에서 차단된 위반 메시지 또는 첨부 파일 원본을 볼 수 없습니다. 
  • 첨부 파일이 모바일 클라이언트에서 업로드된 경우 조사 도구에서 위반 첨부 파일을 조회할 수 없습니다(감사 전용 규칙의 경우에도).

스캔을 위해 직렬화된 테이블 형식 데이터. 열의 위반을 마스킹할 수 있음

Microsoft Excel 파일 또는 쉼표로 구분된 값(.csv) 파일과 같은 표 형식 데이터가 있는 파일은 스캔하기 전에 직렬화됩니다. 결과적으로 DLP는 파일의 데이터를 검토할 때 명백한 열의 위반을 찾지 못할 수 있습니다.

사용자에게는 최신 버전의 Gmail 및 Chat이 필요합니다.

차단된 채팅 대화에 대한 완전한 메시지를 받을 수 있도록 사용자의 Gmail 및 Google 채팅 애플리케이션이 최신 버전인지 확인하세요.

Google Chat용 DLP를 사용하는 이유

Chat용 DLP를 사용하면 채팅 대화에서 중요한 데이터 공유를 제어할 수 있습니다. 

  • Chat 전용 데이터 보호 규칙 만들기
  • Chat 및 기타 앱(예: 드라이브 또는 Chrome)에 대한 데이터 보호 규칙 생성
  • 채팅 메시지 및 첨부 파일을 차단하는 데이터 보호 규칙 만들기
  • 데이터 보호 규칙이 특정 조직 단위나 그룹 또는 전체 조직에 적용되도록 지정합니다.
  • 감사 로그 세부 정보 보기 베타: 규칙 감사 로그

Chat용 DLP는 어떻게 작동합니까?

사용자가 채팅 메시지를 보낼 때 DLP 규칙은 민감한 콘텐츠에 대한 메시지 스캔을 트리거합니다. 첨부 파일은 업로드될 때 스캔됩니다.

무엇을 스캔합니까?

DLP 규칙은 채팅 사용자에게 적용되며 그들이 보내는 메시지에 영향을 미칩니다. 규칙은 사용자나 방이 받을 수 있는 것에 영향을 미치지 않습니다. .

  • 메시지 및 첨부 파일을 검사합니다. 첨부 파일에는 파일과 이미지가 포함됩니다. 외부 콘텐츠에 대한 링크는 검색되지 않습니다.
  • 채팅 기록이 꺼져 있어도 1:1 채팅, 그룹 채팅, 스페이스의 메시지를 검사합니다.
  • 채팅에서 기록이 꺼져 있는 경우에도 검사된 메시지 및 첨부 파일에 위반 이벤트가 기록될 수 있습니다( 베타: 규칙 감사 로그).

메시지는 언제 스캔됩니까?

사용자가 채팅 메시지를 보낼 때 채팅 메시지는 첨부 파일이 있는지 여부를 검사합니다.

Chat용 DLP 적용 과정 요약 

  1. DLP 규칙을 정의합니다. 이러한 규칙은 민감한 콘텐츠와 보호해야 하는 콘텐츠를 정의합니다. DLP 규칙은 채팅 메시지와 채팅 메시지 첨부 파일에 모두 적용할 수 있습니다.
  2. 사용자가 채팅 메시지를 보냅니다. DLP는 DLP 인시던트를 트리거하는 DLP 규칙 위반에 대해 콘텐츠를 검색합니다. 업로드 시 첨부 파일을 검사하고 규칙 위반이 있는 첨부 파일은 차단합니다.
  3. DLP는 사용자가 정의한 규칙을 적용하고 위반은 작업을 트리거합니다.
  4. 에서 DLP 규칙 위반에 대한 베타: 규칙 감사 로그알림이 켜져 있는 경우알림을 받습니다.

차단된 메시지에 대한 사용자 환경

채팅 규칙용 DLP를 구현하기 전에 최종 사용자에게 예상되는 사항을 알려주세요. 어떤 정보를 공유할 수 있는지에 대한 정책이 있으며 이러한 정책을 위반하는 메시지는 Chat에서 차단된다는 점을 설명하세요. 어떤 정보가 제한되어 있는지 알려주면 차단된 콘텐츠에 대한 메시지를 받았을 때 놀라지 않을 것입니다.

채팅에 사용되는 플랫폼(모바일 또는 웹)에 따라 메시지 또는 첨부 파일에서 채팅 콘텐츠가 차단될 때 사용자가 받을 수 있는 메시지는 다음과 같습니다.

  • 메시지를 보낼 수 없습니다. 메시지에 조직의 관리자 정책에 의해 제한된 정보가 포함될 수 있습니다. (차단된 메시지의 경우)
  • 파일 업로드에 실패했습니다. 제한된 정보가 포함될 수 있습니다. (차단된 첨부 파일의 경우)

메시지가 차단되면 사용자는 재시도(메시지 텍스트 편집) 또는 삭제(메시지 텍스트 제거)를 클릭할 수 있습니다.

보안 정책을 위반하는 첨부 파일은 업로드되지 않습니다. 첨부파일 업로드가 실패할 경우 재시도할 수 없으며 이 경우 임시보관 메일에서 첨부파일이 삭제됩니다.

차단된 메시지를 어떻게 제어합니까? 스페이스나 그룹에 대한 메시지를 차단하려면 어떻게 합니까?

DLP 규칙이 적용되는 대화의 세분화하여 제어할 수 있습니다. Google Chat 작업을 선택한 후 외부 대화(게스트 액세스가 활성화된 내부 대화 또는 대화 공간이 외부 소유임) 또는 내부 대화와 공간, 그룹, 또는 1:1 채팅:

Chat용 DLP를 위한 규칙 샘플 

다음은 채팅 메시지 또는 첨부 파일을 차단하거나(채팅에서만 또는 다른 앱에서도) 베타: 규칙 감사 로그에서 채팅 메시지에 대한 세부 정보를 로깅하는 예입니다.

DLP 규칙 만들기에 대한 일반적인 단계는 드라이브 규칙 및 맞춤 콘텐츠 감지기에 대한 새 DLP 만들기로 이동하세요.

Example1) 글로벌 신용카드 번호가 포함된 데이터 유출 차단 – 외부 및 내부 메시지외부 및 내부적으로

이 예에서는 텍스트 또는 첨부 파일에 신용카드 번호가 포함된 대화를 차단할 수 있습니다.

  1. Google 관리 콘솔(admin.google.com) 접속
  2. 규칙 메뉴로 이동.
  3. 민감한 콘텐츠 보호에서 규칙 만들기를 클릭합니다.
  4. 채팅에서 신용카드 정보을 공유할 때 차단과 같은 규칙의 이름과 설명을 추가합니다.
  5. 범위 섹션에서 모든 <domain.name>에 적용을 선택하거나 규칙이 적용되는 조직 단위 또는 그룹을 검색하고 포함하거나 제외하도록 선택합니다.
  6. 계속을 클릭합니다. Google 채팅의 경우 메시지 전송 및 파일 업로드(첨부 파일의 경우)를 선택합니다.
  7. 조건 섹션에서 클릭 조건을 추가하고 다음 값을 선택 :
    • 스캔할 콘텐츠 유형 – 모든 콘텐츠(Google 채팅에 대해 트리거가 선택된 경우 다른 트리거가 선택되더라도 모든 콘텐츠는 사용할 수 있는 유일한 필드 값입니다.)
    • 스캔 대상 – 사전 정의된 데이터 유형과 일치(권장)
    • 미리 정의된 데이터 유형(글로벌 신용카드 번호)과 일치합니다.
    • 가능성 임계값 – 가능성이 있습니다(권장). 조건에 대한 신뢰 임계값입니다. 메시지가 작업을 트리거하는지 여부를 결정하는 데 사용되는 추가 측정값입니다.
    • 최소 고유 일치 수 – 1. 작업을 트리거하기 위해 메시지 또는 첨부 파일에서 고유한 일치가 발생해야 하는 최소 횟수입니다.
    • 최소 일치 수 – 1. 작업을 트리거하기 위해 콘텐츠가 메시지 또는 첨부 파일에 나타나야 하는 횟수입니다. 예를 들어 2를 선택하는 경우 작업을 트리거하려면 콘텐츠가 메시지에 두 번 이상 나타나야 합니다
  8. 계속을 클릭합니다. 작업 섹션의 채팅에서 콘텐츠 차단을 선택합니다. 또한 작업을 적용해야 하는 시기를 선택합니다. 이 예에서는 외부 대화 및 내부 대화를 선택합니다. 스페이스, 그룹 채팅 및 1:1 채팅을 선택한 상태로 둡니다.
  9. 계속을 클릭하여 규칙 세부 정보를 검토합니다. Chat의 작업은 외부 및 내부 대화의 콘텐츠를 차단하는 것입니다.
  10. 생성을 클릭하고 다음을 선택합니다.
    • 활성 – 규칙이 즉시 실행됩니다.
    • 비활성 – 규칙이 있지만 즉시 실행되지는 않습니다. 이렇게 하면 규칙을 검토하고 구현하기 전에 팀 구성원과 공유할 수 있습니다. 보안로 이동하여 나중에 규칙을 활성화합니다
    • 데이터 보호 규칙 관리. 규칙의 비활성 상태를 클릭하고 활성을 선택합니다. 규칙을 활성화하면 규칙이 실행되고 DLP는 민감한 콘텐츠를 검색합니다.
  11. 저장을 클릭합니다.
    선택한 조직 단위 및 그룹의 모든 사용자 계정에규칙이 적용되는 데 최대 24시간이 걸릴 수 있습니다.

Example1) 개인 신용카드 번호가 적인 이미지 파일을 업로드시 차단 

<샘플 글로벌 신용카드 번호가 기입된 이미지 파일>  

<스페이스 채팅창에서 ‘신용카드 번호’ 이미지 파일 업로드 시도>

<”파일을 업로드 할 수 없습니다. 제한된 정보가 포함되어 있을 수 있습니다” 경고 메시지 출력후 업로드 차단 >

Example2) 드라이브 외부 공유 및 여권 번호가 포함된 채팅 메시지 첨부 파일 차단 – 외부 공유만

이 예에서는 채팅 메시지에 대한 첨부 파일에 지정된 여권 번호와 드라이브의 문서 수정을 하나의 규칙으로 차단할 수 있습니다.

  1. Google 관리 콘솔(admin.google.com)에서…
  2. 규칙 메뉴로 이동.
  3. 민감한 콘텐츠 보호에서 규칙 만들기를 클릭합니다.
  4. 과 같은 규칙의 이름과 설명을 추가합니다 채팅 및 드라이브에서 여권 번호 공유 시 차단.
  5. 범위 섹션에서 모든 <domain.name>을 선택하거나 규칙이 적용되는 조직 단위 또는 그룹을 검색하고 포함하거나 제외하도록 선택합니다.
  6. 계속을 클릭합니다. Google 드라이브의 경우 수정된 파일을 선택합니다. Google 채팅의 경우 업로드된 파일만 선택합니다.
  7. 조건 섹션에서 클릭 조건을 추가하고 다음 값을 선택 :
    • 콘텐츠 유형을 스캔 모든 컨텐츠 (트리거가 Google 채팅, 다른 트리거가 선택 상관없이 선택한 경우 모든 콘텐츠를 사용할 수있는 유일한 필드의 값입니다 참고)
    • 무엇 검색 대상 – 미리 정의된 데이터 유형과 일치(권장)
    • 미리 정의된 데이터 유형과 일치 – 미국 여권
    • 가능성 임계값 – 가능성 있음(권장). 조건에 대한 신뢰 임계값입니다. 메시지가 작업을 트리거하는지 여부를 결정하는 데 사용되는 추가 측정값입니다.
    • 최소 고유 일치 수 – 1. 작업을 트리거하기 위해 문서에서 고유한 일치가 발생해야 하는 최소 횟수입니다.
    • 최소 일치 수 – 1. 작업을 트리거하기 위해 콘텐츠가 메시지에 나타나야 하는 횟수입니다. 예를 들어 2를 선택하는 경우 작업을 트리거하려면 콘텐츠가 메시지에 두 번 이상 나타나야 합니다.
  8. 계속을 클릭합니다. 작업 섹션의 드라이브에서 외부 공유 차단을 선택합니다. 채팅에서 콘텐츠 차단을 선택합니다. 또한 채팅의 경우 작업을 적용해야 하는 시기를 선택합니다. 이 예에서는 내부 대화만을 선택 해제하여 외부 대화만을 선택합니다.
  9. 계속을 클릭하여 규칙 세부 정보를 검토합니다. 드라이브의 작업은 외부 공유를 차단하는 것입니다. Chat에 대한 조치는 외부 대화에 대한 콘텐츠만 차단하는 것입니다.
  10. 생성을 클릭하고 다음을 선택합니다.
    • 활성 – 규칙이 즉시 실행됩니다.
    • 비활성 – 규칙이 있지만 즉시 실행되지는 않습니다. 이렇게 하면 규칙을 검토하고 구현하기 전에 팀 구성원과 공유할 수 있습니다. 보안로 이동하여 나중에 규칙을 활성화합니다데이터 보호규칙 관리. 규칙의 비활성 상태를 클릭하고 활성을 선택합니다. 규칙을 활성화하면 규칙이 실행되고 DLP는 민감한 콘텐츠를 검색합니다.
  11. 저장을 클릭합니다.
  12. 선택한 조직 단위 및 그룹의 모든 사용자 계정에 규칙이 적용되는 데 최대 24시간이 걸릴 수 있습니다.

Example3) 업로드된 문서 또는 채팅창에  “보안문서”,”Confidential” 단어가 포함되어 있으면 자동 차단 합니다.

이 예에서는Chat(첨부 파일)과 Chrome 모두에 대해 업로드된 문서에 특정 이름이 나타날 때 기록할 수 베타 버전의 있습니다. 다른 조치가 없습니다.

  1. Google 관리 콘솔(admin.google.com)에서…
  2. 규칙 메뉴로 이동
  3. 민감한 콘텐츠 보호에서 규칙 만들기를 클릭합니다.
  4. 규칙의 이름과 설명을 추가합니다 채팅 또는 Chrome에서 이름을 공유할 때 기록.
  5. 범위 섹션에서 모든 <domain.name>을 선택하거나 규칙이 적용되는 조직 단위 또는 그룹을 검색하고 포함하거나 제외하도록 선택합니다.
  6. 계속을 클릭합니다.  Google 채팅의 경우 업로드된 파일만 선택합니다.
  7. 조건 섹션에서 클릭 조건을 추가하고 다음 값을 선택 :
    • 콘텐츠 유형을 스캔 모든 컨텐츠 (트리거가 Google 채팅, 다른 트리거가 선택 상관없이 선택한 경우 모든 콘텐츠를 사용할 수있는 유일한 필드의 값입니다 참고)
    • 무엇 스캔 대상 – 텍스트 문자열 포함
    • 일치할 콘텐츠 입력 – “Confidential” 
  8. 조건 추가를 클릭하여 OR 조건을 추가하고 다음 값을 선택합니다.
    • 스캔할 콘텐츠 유형 – 모든 콘텐츠 
    • 스캔할 대상 – 텍스트 문자열 포함
    • 일치시킬 콘텐츠 입력 – “보안문서”
  9. 계속을 클릭합니다. 작업 섹션의 드라이브에서 외부 공유 차단을 선택합니다. 채팅에서 콘텐츠 차단을 선택합니다. 또한 채팅의 경우 작업을 적용해야 하는 시기를 선택합니다. 이 예에서는 내부 대화만을 선택 해제하여 외부 대화만을 선택합니다.
  10. 계속을 클릭하여 규칙 세부 정보를 검토합니다. 드라이브의 작업은 외부 공유를 차단하는 것입니다. Chat에 대한 조치는 외부 대화에 대한 콘텐츠만 차단하는 것입니다..
  11. 생성을 클릭하고 다음을 선택합니다.
    • 활성 – 규칙이 즉시 실행됩니다.
    • 비활성 – 규칙이 있지만 즉시 실행되지는 않습니다. 이렇게 하면 규칙을 검토하고 구현하기 전에 팀 구성원과 공유할 수 있습니다. 보안로 이동하여 나중에 규칙을 활성화합니다. 
    • 데이터 보호규칙 관리. 규칙의 비활성 상태를 클릭하고 활성을 선택합니다. 규칙을 활성화한 후 규칙이 실행되고 DLP가 민감한 콘텐츠를 검색합니다.
  12. 저장을 클릭합니다.
    선택한 조직 단위 및 그룹의 모든 사용자 계정에 규칙이 적용되는 데 최대 24시간이 걸릴 수 있습니다.

Exampl3) HWP (아래아 한글) 파일안에 ‘보안문서’ 내용이 포함된 경우 업로드 자동 차단 

< 채팅 창에서 ‘보안문서’ 단어 입력시 자동 차단 됨>

PDF 파일 다운로드

About The Author