Google Maps Platform의 보안 및 규정 준수 개요

이 콘텐츠는 2024년 2월에 마지막으로 업데이트되었으며, 작성 당시의 상황을 나타냅니다. Google의 보안 정책 및 시스템은 보안 성능이 향상됨에 따라 앞으로도 계속 변경될 수 있습니다.

소개

Google Maps Platform에서는 고객에게 Google의 지리 공간 기술을 사용하여 웹 및 모바일 애플리케이션을 개발할 수 있는 API와 SDK를 제공합니다. Google Maps Platform에서는 여러 업계의 고객에게 50개 이상의 API와 SDK를 제공합니다. 업계 고객은 보통 솔루션을 빌드할 때 보안, 데이터 사용량 및 규제 요구사항을 충족해야 합니다. 또한 고객의 서드 파티 기술도 동일한 요구사항을 충족해야 합니다.

이 문서에서는 Google Maps Platform에서 제공하는 사용자, 프로세스, 기술 컨트롤의 요약 및 플랫폼 사용의 이점을 설명합니다. 먼저 Google Maps Platform의 기반이 되는 두 가지 핵심적인 기술 요소를 이해하는 것이 중요합니다.

  • Google에서 제공하는 기술, 데이터 센터 및 인프라. Google Maps Platform은 전적으로 Google에서 제공하는 데이터 센터 및 인프라에서 운영됩니다. 이를 기반으로 Google Maps Platform에서는 Google에서 상속된 보안 컨트롤에 내부 및 서드 파티 감사를 적용하여 Google Maps Platform에서 이 문서에 설명된 보안, 운영, 기술 컨트롤을 올바로 구현하는지 확인합니다.
  • Google Maps Platform 기술. 상속된 컨트롤 외에 Google Maps Platform에서는 Google 제품군에 추가 보안, 개인 정보 보호, 데이터 및 운영 컨트롤을 제공합니다.

이 문서에는 Google Maps Platform의 보안 프로세스 및 컨트롤이 다음과 같이 그룹화되고 요약되어 있습니다.

  • 모든 수준의 Google 조직에서 보안과 개인 정보 보호에 중점을 둠
  • 기술 인프라 및 하드웨어 보안
  • 운영 보안
  • 주요 보안 컨트롤
  • 클라이언트 측 보안(웹 및 모바일 모두)
  • Google Maps Platform의 현재 인증 및 감사
  • 전 세계적으로 지원되는 법적 프레임워크

잠재고객은 자신의 Google 영업 담당자에게 추가 정보를 요청할 수 있습니다.

Google의 보안 및 개인 정보 보호에 중점을 둔 조직

보안은 Google 전체의 조직 구조, 문화, 교육 우선순위, 채용 절차, Google 데이터 센터 및 데이터 센터에서 제공하는 기술의 설계에 영향을 미칩니다. 보안은 재해 대비 계획, 위협 관리 등 Google의 일상적 운영을 뒷받침합니다. Google은 데이터, 계정 컨트롤, 규정 준수 감사, 업계 인증을 처리하는 방식에서 보안을 우선시합니다. Google은 보통 보안이 연결되지 않은 프로세스인 여러 공급업체 및 여러 플랫폼에 의존하는 온프레미스 방법보다 더 나은 보안을 제공할 수 있도록 서비스를 설계합니다. 사용자는 비즈니스에 Google Maps Platform 제품을 활용할 때 Google의 통합된 보안 프로그램 및 컨트롤의 혜택을 볼 수 있습니다. Google Maps Platform에서는 전 세계 10억 명 이상의 사용자를 대상으로 하는 작업에서 보안에 우선순위를 둡니다.

Google과 Google Maps Platform이 함께 회사 및 조직 전체에서 다중 보안을 제공합니다.

  • Google 전담 보안팀
  • Google Maps Platform 제품 보안팀
  • 글로벌 보안 연구 커뮤니티에 적극적으로 참여
  • Google Maps Platform 개인정보보호팀
  • Google 직원 보안 및 개인 정보 보호 교육
  • 내부 감사 및 규정 준수 전문가

Google의 전담 보안팀

Google에서는 회사 전체 및 제품 영역 내에서 전담 보안팀을 제공합니다.

Google 전사 보안팀은 Google Maps Platform을 포함하여 Google의 여러 제품 영역을 지원합니다. 보안팀에는 세계 최고의 정보 보안, 애플리케이션 보안, 암호화 및 네트워크 보안 전문가가 포함됩니다. 보안팀의 활동에는 다음과 같은 활동이 포함됩니다.

  • 보안 프로세스 개발, 검토 및 구현. 여기에는 Google 네트워크의 보안 계획 검토, Google 전체의 제품 및 엔지니어링팀에 제품별 컨설팅 제공이 포함됩니다. 예를 들어 암호화 전문가는 제품 또는 서비스의 일부로 암호화를 구현하는 제품 출시를 검토합니다.
  • 보안 위협을 적극적으로 관리. 팀은 상업용 도구와 맞춤 도구를 모두 사용하여 Google 네트워크에서 지속적인 위협 및 의심스러운 활동을 모니터링합니다.
  • 정기적 감사 및 평가 실행. 이때 보안 평가를 실시하기 위해 외부 전문가를 고용할 수도 있습니다.
  • 더 광범위한 커뮤니티에 보안 관련 도움말 게시. Google에서는 여러 특정 보안팀과 팀의 성과를 강조하는 보안 블로그YouTube 시리즈를 유지합니다.

Google Maps Platform 보안팀은 Google 전사 보안팀과 공동작업하고 제품 개발 및 SRE와 더욱 긴밀하게 협력하여 보안 구현을 감독합니다. 구체적으로 이 팀에서는 다음 사항을 관리합니다.

  • Google Maps Platform의 재해 복원력 테스트(DiRT). 이 테스트는 Google Maps Platform 제품의 비즈니스 연속성 및 장애 조치를 테스트하고 Google의 고가용성 인프라에서 실행됩니다.
  • 서드 파티 침투 시험. Google의 보안 상황을 개선하고 사용자에게 독립적인 보안 보장 조치를 제공하기 위해 Google Maps Platform 제품에 대해 매년 1회 이상 침투 시험이 실시됩니다.

보안 연구 커뮤니티와 공동작업

Google은 보안 연구 커뮤니티와 오랫동안 긴밀한 관계를 유지해왔으며, 이 커뮤니티의 도움으로 Google Maps Platform 및 기타 Google 제품에서 잠재적 취약점을 식별할 수 있다는 것을 매우 귀중하게 생각합니다.

  • Project Zero를 통한 온라인 커뮤니티 공동작업. Project Zero는 제로데이 취약점에 관한 연구를 전담하는 보안 연구자 팀입니다. 이러한 연구 활동의 몇 가지 예로는 스펙터 취약점 공격, 멜트다운 취약점 공격, POODLE SSL 3.0 취약점 공격, 암호화 스위트 약점 발견 등이 해당됩니다.
  • 학술적 연구 - Google의 보안 엔지니어 및 연구자들은 학술적 보안 커뮤니티 및 개인 정보 보호 연구 커뮤니티에 적극적으로 참여하고 출판물을 게시하고 있습니다. 보안 관련 출판물은 Google의 Google 연구팀 사이트에서 찾을 수 있습니다. Google의 보안팀은 Building Secure and Reliable Systems(안전하고 신뢰할 수 있는 시스템 구축) 책자에 팀의 실무 및 경험을 자세히 설명했습니다.
  • 취약점 발견 보상 프로그램 - Google Maps Platform은 확인된 각 취약점에 수만 달러의 보상을 제공하는 취약점 발견 보상 프로그램에 참여하고 있습니다. 이 프로그램은 연구원들로 하여금 고객 데이터에 해를 끼칠 수 있는 설계 및 구현 문제를 보고하도록 유도하는 효과가 있습니다. 2022년 Google에서는 연구자들에게 1,190만 달러의 상금을 수여했습니다. Google에서 제공하는 보상을 포함하여, 이 프로그램에 대한 자세한 내용은 Bug Hunters 주요 통계를 참고하세요. 보안 문제를 보고하는 데 관한 추가 정보는 Google이 보안 취약점을 처리하는 방법을 참고하세요.
  • 오픈소스 보안 연구 - Google의 엔지니어들은 또한 오픈소스 프로젝트 및 학술 회의를 조직하고 이에 참여하고 있습니다. 또한 오픈소스 코드를 개선하기 위해 취약점 발견 보상 프로그램에서는 오픈소스 프로젝트에 보조금을 제공합니다.
  • 암호화 - Google의 세계 최고 수준 암호화 전문가들은 TLS 연결을 양자 컴퓨터 공격으로부터 보호하고자 최선을 다했으며 CECPQ2(Combined Elliptic-Curve 및 Post-Quantum 2) 알고리즘을 개발했습니다. Google의 암호화 전문가들은 암호화 API의 오픈소스 라이브러리인 Tink를 개발했습니다. Google에서는 내부 제품 및 서비스에도 Tink를 사용합니다.

Google Maps Platform의 전담 개인정보보호팀

전담 개인정보보호팀은 제품 개발 및 보안 조직과 별도로 운영됩니다. 이 팀에서는 핵심 프로세스, 내부 도구, 인프라, 제품 개발 등 개인 정보 보호의 모든 부분을 개선하기 위해 내부 개인 정보 보호 이니셔티브를 지원합니다. 개인정보보호팀은 다음과 같은 작업을 실행합니다.

  • 제품 출시에 데이터 수집에 관한 강력한 표준이 통합되도록 합니다. 이 팀은 설계 문서 및 코드 검토를 통해 Google의 모든 제품 출시에 참여합니다.
  • 제품 출시 후 개인정보보호팀은 적절한 데이터 수집과 사용을 지속적으로 확인하는 자동화된 프로세스를 감독합니다.
  • 개인 정보 보호 권장사항에 관한 연구를 수행합니다.

Google 직원 보안 및 개인 정보 보호 교육

보안 및 개인 정보 보호는 끊임없이 변화하는 영역이며, Google은 헌신적인 직원 참여가 인지도를 높이는 주요 수단임을 알고 있습니다. 모든 Google 직원은 오리엔테이션 과정의 일환으로 보안 및 개인 정보 보호 교육을 받고, Google에서 일하는 내내 지속적인 필수 보안 및 개인 정보 보호 교육을 받습니다.

  • 오리엔테이션 동안: 신입 직원은 고객의 정보를 안전하게 보호하겠다는 Google의 약속을 강조하는 Google의 윤리 강령에 동의합니다.
  • 직무별 전문 교육. 특정 직무의 경우 구체적인 보안 측면에 관한 교육이 필요합니다. 예를 들어 정보 보안팀은 신입 엔지니어에게 안전한 코딩 방법, 제품 설계 및 자동 취약점 테스트 도구에 관해 교육합니다. 엔지니어는 정기 보안 브리핑에 참석하고 새로운 위협, 공격 패턴, 완화 기술 등을 다루는 보안 뉴스레터를 받게 됩니다.
  • 지속적인 이벤트 Google에서는 모든 직원이 참여할 수 있는 정기적 내부 회의를 주최하여 보안 및 데이터 개인 정보 보호 분야에서 의식을 높이고 혁신을 주도합니다. Google은 전 세계 지사에서 소프트웨어 개발, 데이터 처리, 정책 시행에 있어서 보안 및 개인 정보 보호에 관한 의식을 높이기 위한 이벤트를 주최합니다.

내부 감사 및 규정 준수 전문가

Google Maps Platform에는 Google 제품이 전 세계 보안 법률 및 규정을 준수하는지 검토하는 전담 내부 감사팀이 있습니다. 새로운 감사 표준이 작성되고 기존 표준이 업데이트됨에 따라 내부 감사팀은 해당 표준을 충족하기 위해 필요한 컨트롤, 프로세스, 시스템을 결정합니다. 이 팀에서는 제3자에 의한 독립 감사와 평가를 지원합니다. 자세한 내용은 이 문서 뒷부분의 보안 인증 및 감사 섹션을 참고하세요.

보안을 최우선으로 하여 작성된 플랫폼

Google에서는 심층 방어의 원칙을 사용하여 서버, 전용 운영체제 및 지리적으로 분산된 데이터 센터를 설계합니다. Google Maps Platform은 안전하게 운영할 수 있도록 설계 및 제작된 기술 인프라에서 운영됩니다. Google은 기존 온프레미스 또는 호스팅 솔루션보다 더 안전하고 관리하기 쉬운 IT 인프라를 구축했습니다 .

최첨단 데이터 센터

데이터의 보안 및 보호에 중점을 두는 것은 Google의 기본 설계 기준 중 하나입니다. Google 데이터 센터의 물리적 보안은 계층적 보안 모델입니다. 물리적 보안에는 맞춤 설계된 전자 액세스 카드, 알람, 차량 진입 방지 장벽, 방호 울타리, 금속 탐지기, 생체 인식과 같은 보호 장치가 포함됩니다. 게다가 침입자를 감지하고 추적하기 위해 Google에서는 레이저 광선 침입 감지 및 고해상도 내부 및 외부 카메라를 사용한 연중무휴 모니터링과 같은 보안 관련 조치를 사용합니다. 사고가 발생할 경우 액세스 로그, 활동 기록, 카메라 영상을 확인할 수 있습니다. 엄격한 신원 조회 및 교육을 받은 숙련된 경비원이 정기적으로 Google의 데이터 센터를 순찰합니다. 데이터 센터가 위치한 층으로 가까이 다가감에 따라 보안 검색도 강화됩니다. 보안 배지와 생체 인식 기술을 사용하여 다단계 접근 통제 방식이 구현된 보안용 복도를 통해서만 데이터 센터에 접근할 수 있습니다. 특정 역할의 승인된 직원만 출입할 수 있습니다. Google 직원 중 1퍼센트 미만이 Google의 데이터 센터에 발을 들여놓습니다.

Google은 전 세계에서 데이터 센터를 운영하고 있으며, Google 인프라는 일반적으로 트래픽이 발생한 위치와 가장 가까운 데이터 센터에서 트래픽을 처리하도록 설정되어 있습니다. 그러므로 Google Maps Platform 데이터의 정확한 위치는 해당 트래픽이 발생한 위치에 따라 달라질 수 있으며, 이 데이터는 EEA 및 UK에 위치한 서버에서 처리되거나 제3국으로 전송될 수 있습니다. Google Maps Platform 제품이 구현된 Google 고객의 솔루션은 일반적으로 전 세계적으로 사용할 수 있으며 전 세계 잠재고객의 관심을 끕니다. 이러한 제품을 지원하는 기술 인프라는 지연 시간 절감 및 시스템 이중화를 위해 전 세계에 배치되어 있습니다. Google Maps Platform에서는 아래 표시된 Google 글로벌 데이터 센터 네트워크의 하위 집합을 참조로 사용합니다.

데이터 센터 위치가 파란색 점으로 표시된 세계 지도

북미/남미

유럽

아시아

Google 데이터 센터에 전력 공급

연중무휴 작업을 실행하고 중단 없이 서비스를 제공하기 위해 Google 데이터 센터에는 중복 전원 시스템 및 환경 관리 기능이 있습니다. 모든 중요 구성요소에는 기본 전원과 대체 전원이 있는데, 각각 전력이 동일합니다. 백업 생성기는 각 데이터 센터가 최대 용량으로 운영되는 데 충분한 비상 전력을 공급할 수 있습니다. 냉각 시스템은 서버와 다른 하드웨어의 작동 온도를 일정하게 유지하여 환경에 미치는 영향을 최소화하는 동시에 서비스 중단 위험을 줄여줍니다. 화재 감지 및 진압 장비는 하드웨어 손상을 방지하는 데 도움이 됩니다. 열 감지기, 화재 감지기, 연기 감지기는 보안 운영 콘솔과 원격 모니터링 데스크에서 시청각 알람을 트리거합니다.

Google은 Google 데이터 센터 전체의 높은 환경, 직장 내 안전, 에너지 관리 표준에 대한 외부 인증을 획득한 최초의 주요 인터넷 기업입니다. 예를 들어 에너지 관리 작업에 대한 Google의 약속을 보여주기 위해 Google에서는 유럽의 데이터 센터에 대해 자발적 ISO 50001 인증을 획득했습니다.

맞춤 서버 하드웨어 및 소프트웨어

Google 데이터 센터에는 특정 용도로 제작된 서버와 네트워크 장비가 있으며, 이 중 일부는 Google이 설계한 것입니다. Google의 서버는 성능, 냉각, 전력 효율을 극대화하도록 맞춤설정되며 물리적 침입 공격을 방지할 수 있도록 설계됩니다. 대부분의 상용 하드웨어와 달리 Google의 서버에는 비디오 카드, 칩셋, 주변기기 커넥터 등 취약점을 도입할 수 있는 불필요한 구성요소는 포함되지 않습니다. Google에서는 구성요소 공급업체를 심사하고 신중하게 구성요소를 선택하며, 공급업체와 협력하여 구성요소에서 제공하는 보안 속성을 감사하고 검증합니다. Google에서는 Google 기기에서 부팅하기 위해 사용하는 코드를 포함하여, 하드웨어 수준에서 적법한 기기를 안전하게 식별하고 인증하는 데 도움이 되는 Titan과 같은 맞춤 칩을 설계합니다.

서버 리소스는 동적으로 할당됩니다. 덕분에 성장에 유연성을 더할 수 있고 리소스를 추가하거나 재할당하여 고객 요구 사항에 빠르고 효율적으로 대응할 수 있게 되었습니다. 이 동종 환경은 시스템에서 바이너리 수준의 수정을 계속 모니터링하는 독점 소프트웨어를 통해 유지 관리됩니다. Google의 자동화된 자기 회복 메커니즘은 불안정한 이벤트를 모니터링 및 완화하고, 사고에 대한 알림을 받고, 네트워크의 잠재적 손상을 늦출 수 있도록 설계되었습니다.

안전한 서비스 배포

Google 서비스는 Google 개발자가 작성하여 Google의 인프라에서 실행하는 애플리케이션 바이너리입니다. 필요한 워크로드 규모를 처리하기 위해 수천 개의 시스템이 동일한 서비스의 바이너리를 실행할 수 있습니다. Borg라는 클러스터 조정 서비스는 인프라에서 직접 실행되는 서비스를 관리합니다.

인프라는 인프라에서 실행 중인 서비스 간에 신뢰가 있다고 가정하지 않습니다. 이 신뢰 모델을 제로 트러스트 보안 모델이라고 합니다. 제로 트러스트 보안 모델에서는 네트워크 내부 또는 외부에 상관없이 기본적으로 신뢰할 수 있는 기기 또는 사용자가 없습니다.

인프라가 다중 테넌트로 설계되었기 때문에 Google 고객의 데이터(고객, 비즈니스 및 Google 자체 데이터)는 공유 인프라에 배포됩니다. 이 인프라는 수만 개의 동종 시스템으로 구성됩니다. 인프라에서는 고객 데이터를 단일 시스템 또는 시스템의 집합으로 구분하지 않습니다.

하드웨어 추적 및 폐기

Google에서는 데이터 센터 내 모든 장비의 위치와 상태를 바코드 및 자산 태그를 사용하여 정교하게 추적합니다. Google에서는 금속 탐지기와 비디오 감시 시스템을 배치하여 어떠한 장비도 승인 없이 데이터 센터 밖으로 유출되지 않도록 합니다. 수명 주기 중 언제라도 성능 테스트를 통과하지 못한 구성요소는 인벤토리에서 삭제되어 사용 중지됩니다.

하드 드라이브, 솔리드 스테이트 드라이브, 비휘발성 듀얼 인라인 메모리 모듈(DIMM) 등 Google 스토리지 기기에서는 전체 디스크 암호화(FDE) 및 드라이브 잠금과 같은 기술을 사용하여 저장 데이터를 보호합니다. 스토리지 기기가 중지되면 승인받은 직원이 해당 드라이브에 0을 기록하여 디스크를 삭제합니다. 또한 다단계 인증 절차를 수행하여 드라이브에 데이터가 없는지 확인합니다. 어떠한 이유로든 드라이브가 삭제될 수 없으면 물리적으로 폐기됩니다. 물리적 폐기는 파쇄기를 사용하여 드라이브를 작은 조각으로 부순 다음 안전한 시설에서 재활용하는 방식으로 수행됩니다. 각 데이터 센터에서는 엄격한 폐기 정책을 준수하고 모든 변화가 즉시 다루어집니다.

Google 글로벌 네트워크의 보안상 이점

다른 지리 공간 클라우드 및 온프레미스 솔루션에서는 데이터가 공개 인터넷의 이라고 하는 경로를 따라 기기 간을 이동합니다. 홉의 수는 고객의 ISP와 데이터 센터 사이의 최적 경로에 따라 다릅니다. 공격자 입장에서는 홉이 추가될 때마다 데이터를 공격하거나 가로챌 새로운 기회가 생기는 셈입니다. Google의 글로벌 네트워크는 전 세계 대부분의 ISP에 연결되므로 Google의 네트워크에서는 공개 인터넷의 홉이 제한되고 따라서 악의적인 행위자가 해당 데이터에 액세스할 수 없습니다.

Google의 네트워크에서는 다중 방어(심층 방어)를 사용하여 네트워크를 외부 공격으로부터 보호합니다. Google의 보안 요구사항을 충족하는 승인된 서비스와 프로토콜만 네트워크상을 이동할 수 있으며 그밖에 모든 항목은 자동으로 삭제됩니다. 네트워크 분리를 실행하기 위해 Google에서는 방화벽 및 액세스 제어 목록(ACL)을 사용합니다. 모든 트래픽은 악의적인 요청과 DDoS 공격을 감지하고 중단하기 위해 Google 프런트엔드(GFE) 서버를 통해 이동합니다. 로그를 정기적으로 검사하여 프로그래밍 오류를 악용한 상황을 보여줍니다. 네트워크에 연결된 기기에 대한 액세스는 승인된 직원으로만 제한됩니다.

Google의 글로벌 인프라를 사용하면 정보를 검열하는 데 사용되는 DDoS 공격에 취약한 웹사이트를 무료로 무제한 보호하는 Project Shield를 실행할 수 있습니다. Project Shield는 뉴스 웹사이트, 인권 웹사이트, 선거 모니터링 웹사이트에서 사용 가능합니다.

지연 시간이 짧고 가용성이 높은 솔루션

Google의 IP 데이터 네트워크는 자체 섬유 케이블, 공공 섬유 케이블, 해저 케이블로 구성됩니다. 따라서 Google은 지구촌 곳곳으로 가용성이 높고 지연 시간이 짧은 서비스를 제공할 수 있습니다.

Google은 자사 플랫폼의 구성요소가 높은 중복성을 갖도록 설계합니다. 이 중복성은 Google의 서버 설계, Google에서 데이터를 저장하는 방식, 네트워크 및 인터넷 연결, 소프트웨어 서비스 자체에 적용됩니다. 이 '모든 것의 중복성'에는 예외 처리가 포함되며 단일 서버, 데이터 센터 또는 네트워크 연결에 종속되지 않는 솔루션을 만듭니다.

Google의 데이터 센터는 지리적으로 분산되어 있어 예를 들어 자연재해 또는 국지적 정전이 발생한 경우 지역적 장애 요인이 글로벌 제품에 미치는 영향을 최소화합니다. 하드웨어, 소프트웨어 또는 네트워크가 실패하면 플랫폼 서비스와 제어 영역이 자동으로 다른 시설로 이전하므로 중단 없이 플랫폼 서비스를 지속할 수 있습니다.

Google의 높은 중복성을 갖는 인프라는 비즈니스의 데이터 손실을 방지하는 데도 도움이 됩니다. Google의 시스템은 플랫폼을 점검하거나 업그레이드해야 하는 경우 다운타임 또는 유지보수 기간을 최소화할 수 있도록 설계됩니다.

운영 보안

보안은 Google의 운영에 부차적이 아니라 필수적인 요소입니다. 이 섹션에서는 Google의 취약점 관리 프로그램, 멀웨어 방지 프로그램, 보안 모니터링, 사고 관리 프로그램을 설명합니다.

취약점 관리

Google의 내부 취약점 관리 프로세스는 모든 기술 스택에 보안 위협이 있는지 적극적으로 검사합니다. 이 프로세스에서는 상용, 오픈소스, 전문 사내 도구를 조합하여 사용하며 다음을 포함합니다.

  • 품질 보증 프로세스
  • 소프트웨어 보안 점검
  • 광범위한 레드팀 훈련을 비롯한 집중적인 자동 및 수동 침투 테스트
  • Google Maps Platform 제품에 대한 반복적 외부 침투 시험
  • 반복적 외부 감사

취약점 관리 조직과 관련 파트너가 취약점을 추적하고 후속 조치를 취합니다. 문제가 완전히 해결되어야만 보안이 개선되므로 자동화 파이프라인에서 지속적으로 취약점 상태를 재평가하고 패치를 확인하고 잘못되거나 부분적인 해결을 신고합니다.

보안 모니터링

Google의 보안 모니터링 프로그램은 내부 네트워크 트래픽, 시스템상 직원의 작업, 취약점에 관한 외부 지식에서 수집된 정보에 초점을 맞춥니다. Google의 핵심 원칙은 통합 보안 분석을 위해 모든 보안 원격 분석 데이터를 집계하여 한곳에 저장하는 것입니다.

Google 글로벌 네트워크의 많은 지점에서 내부 트래픽에 봇넷 연결을 나타내는 트래픽의 존재와 같이 의심스러운 행위가 있는지 검사합니다. Google에서는 오픈소스와 상용 도구를 함께 사용하여 트래픽을 캡처하고 파싱하여 이 분석을 실행합니다. Google의 기술 위에 구축된 전용 상관관계 시스템도 이 분석을 지원합니다. Google에서는 시스템 로그를 검사하여 고객 데이터 액세스 시도와 같은 비정상적 행위를 식별하여 네트워크 분석을 보완합니다.

Google의 위협 분석 그룹은 위협 행위자와 그 전술 및 기술의 진화를 모니터링합니다. Google 보안 엔지니어들은 인바운드 보안 보고서를 검토하고 공개 메일링 리스트, 블로그 게시물, 위키를 모니터링합니다. 자동 네트워크 분석 및 시스템 로그의 자동 분석은 알 수 없는 위협이 존재하는지 파악하는 데 도움이 됩니다. 자동 프로세스에서 문제를 감지하면 Google의 보안 직원에게 에스컬레이션됩니다.

침입 감지

Google에서는 정교한 데이터 처리 파이프라인을 사용하여 개별 기기의 호스트 기반 신호, 인프라 내 다양한 모니터링 지점의 네트워크 기반 신호, 인프라 서비스의 신호를 통합합니다. 이러한 파이프라인을 바탕으로 구축한 규칙 및 머신 인텔리전스가 운영 보안 엔지니어에게 발생 가능한 사고에 대한 경고를 제공합니다. Google의 조사 및 사고 대응팀이 연중무휴로 이러한 잠재적인 사고를 분류, 조사하고 이에 대응합니다. Google에서는 외부 침투 시험 외에 레드팀 훈련을 실시하여 Google의 감지 및 대응 메커니즘의 효과를 측정하고 개선합니다.

사고 관리

Google에는 시스템 또는 데이터의 기밀성, 무결성 또는 이용 가능성에 영향을 미칠 수 있는 보안 이벤트에 대한 강력한 사고 관리 프로세스가 있습니다. Google의 보안 사고 관리 프로그램은 사고 처리에 대한 NIST 가이드라인(NIST SP 800-61)을 기반으로 구성되어 있습니다. Google에서는 주요 직원에게 서드 파티 도구 및 전담 도구의 사용을 포함하여 이벤트에 대비한 과학 수사 및 증거 처리에 관한 교육을 제공합니다.

Google에서는 주요 영역의 사고 대응 계획을 테스트합니다. 이러한 테스트에서는 내부자 위협과 소프트웨어 취약점을 포함하여 다양한 시나리오를 고려합니다. 보안 사고를 신속하게 모든 직원이 연중무휴 Google 보안팀에 연락할 수 있습니다.

소프트웨어 개발 관행

Google에서는 소스 관리 보호 조치 및 양자 검토를 통해 취약점의 도입을 사전에 제한합니다. Google에서는 또한 개발자가 특정 클래스의 보안 버그를 도입하지 않도록 방지하는 라이브러리를 제공합니다. 예를 들어 Google에는 SDK에서 XSS 취약점을 제거하도록 설계된 라이브러리와 프레임워크가 있습니다. Google에는 또한 퓨저, 정적 분석 도구, 웹 보안 스캐너 등 보안 버그를 감지하기 위한 자동화된 도구가 있습니다.

소스 코드 보호

Google의 소스 코드는 소스 무결성 및 거버넌스 기능이 기본으로 제공되는 저장소에 저장되므로, 서비스의 현재 및 이전 버전을 모두 감사할 수 있습니다. 인프라를 사용하려면 서비스의 바이너리를 검토, 체크인, 테스트한 후 특정 소스 코드에서 빌드해야 합니다. Binary Authorization for Borg(BAB)는 서비스가 배포될 때 발생하는 내부 시행 검사입니다. BAB는 다음을 실행합니다.

  • Google에 배포되는 프로덕션 소프트웨어 및 구성을 검토 및 승인합니다(특히 코드에서 사용자 데이터에 액세스할 수 있는 경우).
  • 코드 및 구성 배포가 특정한 최소 표준을 충족하는지 확인합니다.
  • 내부자나 공격자가 소스 코드를 악의적으로 수정할 수 있는 권한을 제한하고 서비스에서 다시 소스에 이르기까지 포렌식 추적을 제공합니다.

내부자 위험 완화

Google에서는 인프라에 대한 관리 액세스 권한이 부여된 적이 있는 직원의 활동을 제한하고 적극적으로 모니터링합니다. Google에서는 안전하고 관리 가능한 방법으로 동일한 작업을 처리할 수 있는 자동화를 통해 특별한 액세스 권한 없이도 특정 작업을 처리할 수 있도록 지속적으로 노력합니다. 예를 들어 Google에서는 일부 작업의 경우 양자 승인이 필요하며, 민감한 정보를 노출하지 않고 디버깅할 수 있는 제한된 API를 사용합니다.

Google 직원의 최종 사용자 정보 액세스는 하위 수준 인프라 후크를 통해 로깅됩니다. Google의 보안팀은 액세스 패턴을 모니터링하고 비정상적인 이벤트를 조사합니다.

재해 복구 테스트 - DiRT

Google Maps Platform에서는 재해 발생시 Google Maps Platform의 서비스 및 내부 비즈니스가 계속 운영될 수 있도록 매년 전사적으로 여러 날에 걸친 재해 복구 테스트(DiRT) 이벤트를 실행합니다. DiRT는 중요 시스템에서 고의적으로 오류를 발생시켜 취약점을 찾고, 관리할 수 없는 방식으로 오류가 발생하기 전에 이러한 취약점을 해결하기 위해 개발되었습니다. DiRT는 실제 시스템에 고장을 일으켜 Google의 기술적 성능을 테스트하고, 중요한 직원, 분야 전문가, 책임자의 참여를 명시적으로 차단하여 Google의 운영 탄력성을 테스트합니다. 일반적으로 사용 가능한 모든 서비스에는 지속적인 활성 DiRT 테스트와 탄력성 및 가용성 검사가 필요합니다.

DiRT 훈련을 준비하기 위해 Google에서는 사전 검토 및 승인된 롤백 계획을 포함하여 우선순위 지정, 커뮤니케이션 프로토콜, 기대 영향, 테스트 설계 요구사항에 관한 일관된 규칙 집합

채택합니다. DiRT 훈련 및 시나리오는 서비스 자체의 기술적 오류를 강제로 발생시킬 뿐만 아니라, 프로세스 내 설계된 오류, 주요 직원, 지원 시스템, 커뮤니케이션, 물리적 액세스의 이용 가능성이 포함될 수 있습니다. DiRT는 배치된 프로세스가 실제로 작동하는지 검사하고, 팀이 사전 교육을 받았으며 실제 서비스 중단, 인공 또는 자연 재해 발생시 활용할 수 있는 경험이 있는지 확인합니다.

주요 보안 컨트롤

이 섹션에서는 Google Maps Platform에서 플랫폼을 보호하기 위해 구현하는 주요 보안 컨트롤에 대해 설명합니다.

암호화

암호화는 데이터 보호를 위한 방어를 강화합니다. 암호화를 사용하면 공격자가 데이터에 액세스할 수 있어도 암호화 키에 액세스하지 않고는 데이터를 읽을 수 없습니다. 공격자가 데이터에 액세스할 수 있어도(예를 들어 데이터 센터간 유선 연결에 액세스하거나 저장 장치를 훔쳐) 데이터를 이해하거나 복호화할 수 없습니다.

암호화는 Google에서 데이터의 개인 정보를 보호하는 방식에 관한 중요한 메커니즘을 제공합니다. 암호화를 사용하면 해당 시스템이나 직원에게 콘텐츠에 대한 액세스를 제공하지 않고도 시스템에서 데이터를 조작할 수 있고(예를 들어 백업을 위해), 엔지니어들이 Google의 인프라를 지원할 수 있습니다.

저장 데이터 암호화

이 섹션의 '저장 데이터' 암호화는 디스크(솔리드 스테이트 드라이브 포함) 또는 백업 미디어에 저장된 데이터를 보호하기 위해 사용되는 암호화를 의미합니다. 저장 장치 수준에서는 데이터가 일반적으로 AES256(고급 암호화 표준)을 사용하여 암호화됩니다. 데이터는 보통 Google 고객의 아무런 작업도 필요로 하지 않고 하드웨어 수준을 포함하여, 데이터 센터 내 Google 프로덕션 스토리지 스택의 여러 수준에서 암호화됩니다. 여러 층의 암호화를

사용하면 중복된 데이터 보호가 추가되며 Google에서 이를 통해 애플리케이션 요구사항을 기반으로 최적의 접근 방법을 선택할 수 있습니다. Google에서는 Google의 FIPS 140-2 검증된 모듈이 통합된 공통 암호화 라이브러리를 사용하여 여러 제품에 걸쳐 일관되게 암호화를 구현합니다. 공통 라이브러리를 일관되게 사용하면 소규모 암호화 전문가팀만 긴밀하게 관리 및 검토된 이 코드를 구현하고 유지하면 됩니다.

전송 중인 데이터 보호

데이터는 인터넷상을 이동할 때 무단 액세스에 취약할 수 있습니다. Google Maps Platform은 고객 기기와 네트워크 및 Google의 Google 프런트엔드(GFE) 서버 간 전송 시 강력한 암호화를 지원합니다. Google에서는 고객/개발자가 애플리케이션을 만들 때 Google의 가장 강력한 암호화 스위트(TLS 1.3)를 사용할 것을 권합니다. 일부 고객의 사용 사례에서 호환성을 이유로 이전 암호화 스위트를 사용해야 하므로, Google Maps Platform은 이러한 약한 표준을 지원하지만 가능할 경우 항상 이를 사용할 것을 권장하지는 않습니다. Google Cloud에서는 또한 Google Maps Platform 제품을 위해 IPsec을 사용하는 가상 사설망(VPN)을 설정하기 위한 Cloud VPN을 포함하여, 추가 전송 암호화 옵션을 제공합니다.

Google 데이터 센터 간에 전송되는 데이터 보호

애플리케이션 레이어 전송 보안(ALTS)을 통해 Google 트래픽의 무결성이 보호되고 필요에 따라 암호화됩니다. 클라이언트와 서버 간의 핸드셰이크 프로토콜이 완료되고 클라이언트와 서버가 네트워크 트래픽을 암호화하고 인증하기 위한 필수적인 공유 암호화 비밀을 협상한 후, ALTS는 협상된 공유 비밀을 사용하여 무결성을 강제 적용하여 RPC(리모트 프러시저 콜) 트래픽을 보호합니다. Google에서는 128비트 키를 사용한 AES-GMAC(고급 암호화 표준)과 같이, 무결성 보증을 위한 여러 프로토콜을 지원합니다. 트래픽이 Google에 의해서나 Google을 대신하여 관리되는 물리적 경계를 벗어날 때마다, 예를 들어 데이터 센터 간 WAN(광역 통신망)상을 이동할 때, 모든 프로토콜이 암호화 및 무결성 보증을 제공하도록 자동으로 업그레이드됩니다.

Google Maps Platform 서비스 가용성

일부 Google Maps Platform 서비스는 일부 지역에서 사용하지 못할 수도 있습니다. 일부 서비스 중단은 네트워크 중단과 같은 예기치 않은 이벤트로 인해 일시적으로만 발생하지만, 다른 서비스 제한은 정부 규제로 인해 영구적으로 적용됩니다. Google의 포괄적인 투명성 보고서상태 대시보드에는 Google Maps Platform 서비스로의 최신 및 지속적인 트래픽 중단이 표시됩니다. Google에서는 Google의 가동시간 정보를 분석하고 확인하는 데 도움이 되도록 이 데이터를 제공합니다.

클라이언트 측 보안

보안은 클라우드 서비스 제공업체와 Google Maps Platform 제품을 구현하는 고객/파트너 간에 공유되는 책임입니다. 이 섹션에서는 Google Maps Platform 솔루션을 구축할 때 고려해야 하는 고객/파트너 책임을 설명합니다.

JavaScript API

안전한 사이트

Maps JavaScript API는 고객이 자신의 사이트 콘텐츠 보안 정책(CSP)을 미세 조정하여 교차 사이트 스크립팅, 클릭재킹, 데이터 인젝션 공격과 같은 취약점을 피할 수 있는 권장사항의 집합을 게시합니다. JavaScript API는 nonce를 사용한 엄격한 CSP와 허용 목록 CSP, 두 가지 형태의 CSP를 지원합니다.

안전한 JavaScript

JavaScript는 알려진 보안 안티패턴이 있는지 정기적으로 스캔되며 문제는 신속하게 해결됩니다. JavaScript API는 매주 또는 문제가 발생한 경우 요청에 따라 릴리스됩니다.

모바일 애플리케이션 보안(MAS)

모바일 애플리케이션 보안(MAS)은 전 세계 수십여 명의 작성자 및 검토자의 참여로 이루어지는 빠르고 개방적인 크라우드 소싱 작업입니다. OWASP 모바일 애플리케이션 보안(MAS) 주력 프로젝트는 모바일 앱을 위한 보안 표준(OWASP MASVS) 및 모바일 앱 보안 테스트 동안 사용되는 프로세스, 기법, 도구 및 테스터가 일관되고 완전한 결과를 제공할 수 있는 전체 테스트 사례 집합이 포함된 종합 테스트 가이드(OWASP MASTG)를 제공합니다.

  • OWASP 모바일 애플리케이션 보안 인증 표준(MASVS)은 완전하고 일관된 iOS 및 Android용 보안 테스트의 기준을 제공합니다.
  • OWASP 모바일 애플리케이션 보안 테스트 가이드(MASTG)는 모바일 애플리케이션 보안 분석시 사용되는 프로세스, 기법 도구 및 MASVS에 나열된 요구사항을 확인하기 위한 전체 테스트 사례 집합이 설명된 종합 매뉴얼입니다.
  • OWASP 모바일 애플리케이션 보안 체크리스트에는 각 MASVS 컨트롤의 MASTG 테스트 사례에 대한 링크가 포함되어 있습니다.
    • 보안 평가/침투 시험: 최소한 표준 공격 표면이 포함되어 있는지 확인하고 살펴보기 시작합니다.
    • 표준 규정 준수: MASVS 및 MASTG 버전과 커밋 ID를 포함합니다.
    • 모바일 보안 기술을 학습하고 실행합니다.
    • 버그 바운티: 모바일 공격 표면을 단계적으로 포함합니다.

OWASP MAS를 활용하여 iOS 및 Android 애플리케이션 보안, 테스트, 인증 역량을 강화해 보세요.

Android

Android 애플리케이션을 개발할 때 Android 커뮤니티 애플리케이션 권장사항도 고려해야 합니다. 보안 가이드라인에는 보안 커뮤니케이션을 실시하고, 올바른 권한, 안전한 데이터 저장, 서비스 종속 항목 등을 정의하는 데 관한 권장사항 가이드가 포함되어 있습니다.

iOS

iOS 애플리케이션을 개발할 때 iOS 플랫폼에 대한 권장사항이 포함된 Apple의 안전한 코딩 소개 가이드를 참고하세요.

데이터 수집, 사용 및 보관

Google Maps Platform에서는 데이터 수집, 데이터 사용, 데이터 보관에 관한 투명도를 높이기 위해 최선을 다하고 있습니다. Google Maps Platform의 데이터 수집, 사용 및 보관에는 Google Maps Platform 서비스 약관이 적용되며, 여기에는 Google 개인정보처리방침이 포함되어 있습니다.

데이터 수집

데이터는 Google Maps Platform 제품의 사용을 통해 수집됩니다. 고객은 API와 SDK를 통해 Google Maps Platform으로 전송하는 정보를 관리합니다. 모든 Google Maps Platform 요청은 로깅되며, 여기에는 제품으로부터의 응답 상태 코드가 포함됩니다.

Google Maps Platform 로깅된 데이터

Google Maps Platform에서는 여러 제품군에 걸쳐 데이터를 로깅합니다. 로그에는 일반적으로 다음과 같은 여러 항목이 포함됩니다.

  • 계정 식별자: API 키, 클라이언트 ID 또는 클라우드 프로젝트 번호입니다. 계정 식별자는 운영, 지원 및 청구에 필요합니다.
  • 요청하는 서버, 서비스 또는 기기의 IP 주소. API의 경우 Google Maps Platform에 전송되는 IP 주소는 애플리케이션/솔루션에서 API 호출이 구현되는 방식에 따라 달라집니다. SDK의 경우 호출하는 기기의 IP 주소가 로깅됩니다.
  • 요청 URL: API와 API에 전달되는 매개변수가 포함됩니다. 예를 들어 Geocoding API에는 두 개의 매개변수(주소, API 키)가 필요합니다. 지오코딩에는 선택적 매개변수도 있습니다. 요청 URL에는 서비스에 전달되는 모든 매개변수가 포함됩니다.
  • 요청의 날짜 및 시간.
  • 웹 애플리케이션에서는 일반적으로 웹브라우저의 유형, 운영체제와 같은 데이터가 포함되는 요청 헤더를 로깅합니다.
  • SDK를 사용하는 모바일 애플리케이션에서는 Google Play 버전, 라이브러리, 애플리케이션 이름을 로깅합니다.

Google Maps Platform 로그 액세스

로그에 대한 액세스는 엄격하게 제한되며 적법한 비즈니스 요구가 있는 특정 팀원에게만 승인됩니다. 로그 파일에 대한 각 액세스 요청은 감사 목적으로 문서화되며, Google의 ISO 27001 및 SOC 2 서드 파티 감사를 통해 확인됩니다.

데이터 사용

Google Maps Platform에서 수집하는 데이터는 다음과 목적으로 사용됩니다.

  • Google 제품 및 서비스 개선
  • 고객 기술 지원 제공
  • 운영 모니터링 및 알림
  • 플랫폼 보안 유지
  • 플랫폼 용량 계획

Google Maps Platform은 Google 개인정보처리방침에 명시된 대로 사용자 운영 데이터를 서드 파티에 절대 판매하지 않습니다.

데이터 보관 및 익명처리

Google Maps Platform 로그에서 수집되는 데이터는 비즈니스 필요에 따라 다양한 기간 동안 보관될 수 있으며, Google의 데이터 익명처리 및 수정 정책이 적용됩니다. IP 주소는 실행 가능한 즉시 자동으로 익명처리됩니다(IP 주소의 일부가 삭제됨). 로그에서 파생된 익명처리된 집계 사용 통계는 무기한 보관될 수도 있습니다.

보안, 업종, 고가용성, 환경 인증 및 감사

ISO 27001

국제표준화기구(ISO)는 독립적인 비정부 국제 기구로, 163개 국가의 표준 기구를 국제 회원으로 두고 있습니다. ISO/IEC 27000 표준은 조직이 정보 자산을 안전하게 유지할 수 있도록 지원합니다.

ISO/IEC 27001은 정보 보안 관리 시스템(ISMS) 요구사항을 간략히 소개 및 설명하고, 일련의 권장사항을 명시하고, 정보의 위험성을 관리하는 데 도움이 되는 보안 관리에 대해 상세히 기술합니다.

Google Maps Platform 및 Google의 공통 인프라는 ISO/IEC 27001을 준수하는 것으로 인증을 받았습니다. 27001 표준의 경우 특정한 정보 보안 요구사항를 요구하지는 않습니다. 하지만 이 표준의 관리 프레임워크 및 체크리스트를 통해 Google은 보안 관리를 위한 모델을 포괄적이고 지속적으로 개선합니다.

Google 규정 준수 보고서 관리자에서 Google Maps Platform ISO 27001 인증을 다운로드하여 검토할 수 있습니다.

SOC 2 Type II

SOC 2미국 공인회계사협회(AICPA)의 기존 트러스트 서비스 원칙(TSC)의 감사 표준 위원회를 기반으로 하는 보고서입니다. 이 보고서의 목적은 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호와 관련된 조직의 정보 시스템을 평가하는 것입니다. SOC 2 Type II 보고서는 매년 2회, 6월과 12월경 발행됩니다.

Google 규정 준수 보고서 관리자에서 Google Maps Platform SOC 2 Type II 감사 보고서를 다운로드하여 검토할 수 있습니다.

Cloud Security Alliance(CSA)

Cloud Security Alliance(1, 2)는 '클라우드 컴퓨팅 내에서 보안 보증을 제공하기 위한 권장사항의 사용을 촉진하고 다른 모든 형태의 컴퓨팅을 보호하는 데 도움이 되는 클라우드 컴퓨팅의 사용에 관한 교육을 제공'하는 것을 목표로 하는 비영리 단체입니다.

CSA의 보안, 신뢰성 및 보증 등록 프로그램(CSA STAR)은 자가 진단, 서드 파티 감사, 지속적 모니터링의 3단계 프로그램을 통해 클라우드 서비스 제공업체를 평가하고 선택하는 데 도움이 되도록 설계되었습니다.

Google Maps Platform은 제3자 평가 기반 인증(CSA STAR 레벨 1: 증명)을 받았습니다.

Google은 CSA의 후원사이자 CSA의 국제 표준화 위원회(ISC) 회원사이며 CSA GDPR Center of Excellence의 창립 멤버입니다.

ISO 22301:2019

국제표준화기구(ISO)는 독립적인 비정부 국제 기구로, 163개 국가의 표준 기구를 국제 회원으로 두고 있습니다.

ISO 22301:2019는 조직에서 중단을 방지하고, 중단에 대비하고 중단 발생시 이에 대응하고 복구하기 위한 관리 시스템을 구현, 유지, 개선하는 데 도움이 되도록 설계된 비즈니스 연속성 관리를 위한 국제 표준입니다.

Google Maps Platform 제품을 지원하는 데이터 센터는 제3의 독립 감사 기관의 감사 결과 ISO 22301:2019 및 BS EN ISO 22301:2019를 준수하는 것으로 인증을 받았습니다. Google 데이터 센터에 관한 이러한 표준을 준수한다는 것은 Google 제품 및 서비스를 호스팅하는 위치가 ISO 22301:2019 및 BS EN ISO 22301:2019에 정의된 요구사항을 충족함을 보여줍니다.

ISO 50001

국제표준화기구(ISO)는 독립적인 비정부 국제 기구로, 163개 국가의 표준 기구를 국제 회원으로 두고 있습니다.

ISO 50001:2018은 에너지 관리 국제 표준으로, 조직이 품질 및 환경 관리를 개선하기 위한 전반적인 노력에 에너지 관리를 통합하기 위해 관리 시스템을 구현, 유지, 개선할 수 있도록 고안되었습니다.

Google Maps Platform에서 사용하는 Google EMEA 데이터 센터는 제3의 독립 감사 기관의 감사 결과 ISO 50001:2018을 준수하는 것으로 인증을 받았습니다. Google 데이터 센터의 ISO 50001:2018 규정 준수는 Google 제품 및 서비스를 호스팅하는 지원 대상 위치가 ISO 50001:2018에서 정의된 요구사항을 충족하는 것을 보여줍니다.

다음은 전 세계의 계약상 약정입니다.

유럽의 계약상 약정

이 섹션에서는 유럽의 계약상 약정을 설명합니다.

EU 개인 정보 보호법(GDPR)

개인 정보 보호법(GDPR)은 2018년 5월 25일에 1995년 10월 24일자 데이터 보호에 관한 95/46/EC 지침을 대체한 개인 정보 보호 법률입니다. GDPR에는 유럽에서 설립되거나 유럽의 사용자에게 서비스를 제공하는 비즈니스 및 조직에 관한 구체적인 요구사항이 설명되어 있습니다. Google Maps Platform은 고객 개인 정보의 보안 및 보호에 우선순위를 부여하고 이를 개선하는 이니셔티브를 지원하고, Google Maps Platform 고객이 GDPR 요구사항에 따라 확신을 가지고 Google의 서비스를 사용할 수 있도록 합니다. Google Maps Platform과 협력하는 경우 Google Maps Platform에서는 다음을 통해 GDPR 규정 준수 노력을 지원합니다.

  1. Google의 계약을 통해 모든 Google Maps Platform 서비스에서 Google의 개인 정보 처리와 관련하여 GDPR 준수를 약속
  2. Google 서비스의 개인 정보 보호 평가에 도움이 되는 문서와 리소스를 제공
  3. 규제 환경이 변화함에 따라 Google의 역량을 지속적으로 개선

EU, EEA, 스위스 및 영국의 적정성 결정

Google 개인정보처리방침에 명시되어 있듯이 유럽 위원회는 유럽 경제 지역(EEA) 밖의 특정 국가가 개인 정보를 적절히 보호한다는 것을 확인했습니다. 즉 유럽 연합(EU), 노르웨이, 리히텐슈타인, 아이슬란드에서 이러한 국가로 데이터를 전송할 수 있습니다. 영국과 스위스도 유사한 적정성 메커니즘을 채택했습니다.

EU 표준 계약 조항

유럽 위원회는 SCC와 함께 유럽 데이터를 보호하는 데 도움이 되도록 새로운 EU SCC를 게시했습니다. Google에서는 데이터를 보호하고 유럽 개인 정보 보호 법률의 요구사항을 충족하기 위해 SCC를 Google Maps Platform 계약에 통합했습니다. 이전 SCC와 마찬가지로 이러한 조항은 데이터의 합법적인 전송을 촉진하기 위해 사용될 수 있습니다.

UK 데이터 보호법

2018년 데이터 보호법은 영국의 개인 정보 보호법(GDPR)입니다. '영국 GDPR'은 2018년 영국 유럽 연합(철회) 법에 따라 개정되고 영국 법률에 통합된 EU GDPR 및 해당 법에 따라 제정된 보조 법률을 의미합니다.

스위스 연방 데이터 보호법(FDPA)

스위스 데이터 보호법(공식 명칭: 연방 데이터 보호법(FDPA))은 개인의 정보가 전송될 때 개인 정보 및 기본권 보호를 목표로 하는 데이터 보호 규정입니다.

유럽 외 지역의 계약상 약정

이 섹션에서는 유럽 외 지역의 계약상 약정을 설명합니다.

Lei Geral de Proteção de Dados(LGPD)

브라질의 Lei Geral de Proteção de Dados(LGPD)는 브라질에 설립되었거나 브라질 사용자를 대상으로 하는 기업 및 조직의 개인 정보 처리를 규제하는 데이터 개인정보 보호법입니다. LGPD는 현재 시행되고 있으며 다음과 같은 보호 조치를 제공합니다.

  • 기업 및 조직이 개인 정보를 수집, 사용, 처리할 수 있는 방식 규제
  • 책임성을 강화하도록 기존의 부문별 연방 개인정보 보호법을 보완 또는 대체
  • 요구사항을 준수하지 않은 기업 및 조직에 과태료 부과
  • 데이터 보호 당국 설립 허가
  • 브라질에서 수집된 개인 정보의 전송에 대한 규정 적용

Google에서는 LGPD 규정 준수 전략의 일부로 사용할 수 있는 제품과 솔루션을 제공합니다.

  • LGPD를 준수하고 개인 정보의 보호 및 통제를 강화할 수 있는 보안 및 개인정보 보호 기능
  • 데이터 처리의 보안을 보장하고 적절한 개인정보 보호관행을 채택하는 서비스 및 인프라 구축
  • 규제 환경이 변화함에 따라 Google의 제품 및 역량을 지속적으로 강화

Google Maps Platform 고객은 자신의 개인 정보 처리를 평가하고 LGPD의 요구사항이 해당하는지 확인해야 합니다. 이 사이트에서는 법적 조언을 제공하지 않으므로 법률 전문가에게 문의하여 조직에 해당하는 LGPD 관련 요구사항에 관한 안내를 받으시기 바랍니다.

미국 주의 계약상 약정

코네티컷 데이터 개인 정보 보호 및 온라인 모니터링 관련법

코네티컷 데이터 개인 정보 보호 및 온라인 모니터링 관련법, 공법 제 22015호는 2023년 1월 1일 시행되었습니다. 자세한 내용은 Google 컨트롤러 간 데이터 보호 약관을 참조하세요.

캘리포니아 소비자 개인 정보 보호법(CCPA)

캘리포니아 소비자 개인 정보 보호법(CCPA)(1, 2)은 캘리포니아 소비자에게 자신의 개인 정보에 액세스하고, 개인 정보를 삭제하고, 개인 정보의 '판매'를 거부할 수 있는 권리를 포함하여 다양한 개인 정보 보호 조치를 제공하는 데이터 개인 정보 보호법입니다. 2020년 1월 1일부터 캘리포니아 거주자의 개인 정보를 수집하고 특정한 기준점(예를 들어 수익, 데이터 처리량)을 충족하는 비즈니스는 이러한 의무를 준수해야 합니다. 캘리포니아 개인 정보 보호 권리법(CPRA)은 CCPA에 따라 개정되고 확장되는 데이터 개인 정보 보호법입니다. 이 법률은 2023년 1월 1일부터 시행됩니다. Google은 편리한 도구를 제공하고 Google의 서비스 및 계약에 강력한 개인 정보 보호 및 보안 조치를 구축하여 고객이 이러한 데이터 규정을 충족할 수 있도록 최선을 다해 돕고 있습니다. 캘리포니아 법무 장관 웹사이트의 CCPA에서 기업의 책임에 대한 자세한 내용을 확인할 수 있습니다. 자세한 내용은 Google 컨트롤러 간 데이터 보호 약관을 참조하세요.

콜로라도 개인 정보 보호법(CPA)

콜로라도 개인 정보 보호법, 콜로라도 수정제정법 § 6-1-1301 참조는 2023년 1월 1일에 시행되었습니다. 이 법은 개인 정보 보호 권리를 정의하고 비즈니스를 수행하거나 의도적으로 콜로라도 거주자를 타겟팅하는 다음과 같은 상업용 제품 또는 서비스를 생산하는 법인에 적용합니다.

  • 1년에 소비자 100,000명 이상의 개인 정보를 관리하거나 처리
  • 개인 정보의 판매를 통해 수익을 창출하고 소비자 25,000명 이상의 개인 정보를 관리하거나 처리

자세한 내용은 Google 컨트롤러 간 데이터 보호 약관을 참조하세요.

유타 소비자 개인 정보 보호법(UCPA)

유타 소비자 개인 정보 보호법, 유타 법규 부칙 § 13-61-101 참조는 2023년 1월 1일 시행되었습니다. UCPA는 개인 정보의 판매 및 타겟팅 광고에 적용되며 판매('컨트롤러가 금전적 대가를 받고 개인 정보를 제3자에게 제공')를 포함하는 사항과 포함하지 않는 사항을 정의합니다.

자세한 내용은 Google 컨트롤러 간 데이터 보호 약관을 참조하세요.

버지니아 소비자 데이터 보호법(VCDPA)

버지니아 소비자 데이터 보호법('VCDPA')은 2023년 1월 1일에 시행되었습니다. 이 법률은 버지니아 거주자에게 법률에 설명된 조건에 따라 비즈니스에서 수집하는 개인 정보에 관한 특정한 권리를 제공합니다.

자세한 내용은 Google 컨트롤러 간 데이터 보호 약관을 참조하세요.

요약

보안은 모든 Google 인프라, 제품, 운영을 위한 기본 설계 기준입니다. Google의 운영 규모 밒 보안 연구 커뮤니티와의 공동작업을 통해 취약점을 신속하게 해결하고 경우에 따라 취약점을 완전히 방지할 수 있습니다. Google에서는 고객에게 제공하는 것과 동일한 인프라에서 Google 검색, YouTube, Gmail 등 자체 서비스를 운영하며, 고객은 Google'의 보안 설정 및 관행으로부터 직접적인 이득을 볼 수 있습니다.

Google은 공개 클라우드 제공업체나 사기업 IT 팀은 필적할 수 없는 수준의 보호 조치를 제공할 수 있다고 생각합니다. 데이터 보호가 Google 비즈니스의 핵심이므로, 우리는 다른 회사가 감히 해낼 수 없는 규모로 보안, 리소스 및 전문 기술에 광범위하게 투자할 수 있습니다. Google의 투자 덕분에 고객님의 비즈니스와 혁신에 초점을 맞출 수 있습니다. Google은 고객님이 Google 서비스로부터 안전하고 투명한 방식으로 혜택을 얻을 수 있도록 Google 플랫폼에 계속 투자할 것입니다.