안녕하세요.
최근 회사 내에서 기업 기밀 유출 사건이 발생하여 문의드립니다.
사건 경위는 아래와 같습니다.
1. 회사 직원들은 기업에서 관리하는 구글 계정을 사용하고 있음
2. 한 팀에서 '구글 폼(설문지)'을 통해 여러 자료를 수집함
3. 구글 폼은 사용자 편의를 위해 복사본이 생성되어 드라이브에 저장됨
4. 회사 구글 드라이브 보기 권한 기본 세팅 값이 '일반 액세스' 형태로 설정되어 있었음
5. 대외비 서류가 여과없이 전 직원들 및 외주 업체들까지 공유되었음
현재까지 상황은 이러합니다.
회사 존폐 위기 상황까지 처해있습니다.
매우 힘이드네요...
그래서 문의드리오니, 아래 문의에 답변을 간절히 부탁드립니다.
1. 구글 드라이브 접속 시 7개 메뉴가 확인됩니다.
(우선순위 / 내 드라이브 / 공유 드라이브 / 공유 문서함 / 최근 문서함 / 중요 문서함 / 휴지통)
위 문서함 중 전체 공유 형식으로 문서를 저장하면, 자동으로 업로드되어 타인이 볼 수 있는 곳은 어디인가요?
2. '공유 드라이브 / 공유 문서함 / 최근 문서함' 문의
1) 본인이 문서를 작성하고 저장하면 기본 셋팅값(일반 액세스)에 따라 무조건 세 문서함에서 확인되나요?
2) '일반 액세스' 형태로 저장된 모든 문서는 세 문서함에서 자동으로 업로드 되어 확인할 수 있나요?
-> 예를 들어 3월 2일 직원들이 생성한 '일반 액세스(전체공유)' 파일은 세 문서함에 자동으로 업로드 되나요?
3) 특히 '최근 문서함'에는 내가 보지 않은 서류들이 많이 등록되어 있어요. 도대체 이게 뭔가요?
4) 전체 공유한 파일을 드라이브에서 삭제하면, 타인의 드라이브에서 더 이상 볼 수 없나요?
3. 기밀 서류 (PDF 파일) 삭제 및 로그 기록
1) 문제의 파일을 열람했던 로그 기록을 살펴보겠다고 하는데, 도대체 로그 기록이 무엇인가요?
2) 일반 액세스 형태로 전체 공유 되었던 문제의 PDF 파일은 삭제되었습니다. 그럼에도 불구하고 해당 파일을 열람했던 기록(로그)을 볼 수 있나요?
3) 단순히 조회하기만 했어도 정확하게 모든 인원이 파악이 될까요?
(국가 기관에 신고를 하여 정확히 파아하는 게 나을까요?)
간절한 심경으로 부탁드립니다.
답변을 꼭 부탁드립니다.
감사합니다.
8개의 답변이 있습니다.
소잃고 외양간 고치는 격일수도 있으나.
원인분석도 중요하지만 지금은 근본적으로 통제가능한 시스템을 구축하는 것이 더 중요해 보입니다.
내부 환경과 요구사항에 따라 문서중앙화+dlp 검토가 필요할듯합니다.
솔루션 상담실에 요청해 보시기 추천드립니다.
작성시 열람자 권한을 지정하시면 될것 같네요
이미 발생된 일이라 어려운 상황 같습니다. 잘 넘어갔으면 좋겠습니다.
저도 관리하면서 외부 공유가 의심되어 몇가지 확인하고 설정했던것을 참고로 말씀드립니다.
아시겠지만 드라이브에서 문서를 만들면 기본적으로 내드라이브에 저장됩니다만 공유에서 공유링크를 만들게되면 외부 공유가 가능해 집니다.
외부에 공유된 파일들을 확인하라면 아래 링크에서 확인할수 있습니다.
관리콘솔 / 보안 / 데이터 보호 : https://admin.google.com/u/0/ac/dp?hl=ko
관리콘솔 / 보고서 / 보고서 / 앱보고서 / Drive : https://admin.google.com/u/0/ac/reporting/report/apps/drive?hl=ko
아마 도메인 외부로 공유하는 옵션이 사용중이였던것으로 생각됩니다.
이미 일이 벌어졌지만 앞으로라도 다음 메뉴에서 외부에 공유 사용안함 설정하셔서 공유방지를 하셔야 할듯합니다.
관리콘솔 / 앱 / Google wprkspace / drive 및 docs 설정 / 공유설정
topkslee | 약 일 년 전
참고하겠습니다
회사 존폐위기 정도라면...
구글의 협조를 요청하는게 우선적이라 보여지네요.
구글에서 직접 지원해주기 어렵다면, 협력 업체를 소개 받아서 처리하는 것이 좋은 방법이라 생각됩니다.
1.전체 공유 형식으로 문서를 저장하면, 해당 문서는 구글 드라이브의 '공유 드라이브'에 자동으로 업로드됩니다. 다른 사용자가 해당 공유 드라이브에 접근하면, 해당 문서를 볼 수 있습니다.
2.본인이 문서를 작성하고 저장하면, 해당 문서는 '내 드라이브'에 저장됩니다. 공유 설정을 하지 않았다면, 다른 사용자는 해당 문서를 볼 수 없습니다.
'일반 액세스' 형태로 저장된 모든 문서는 기본적으로 해당 사용자의 '내 드라이브'에 저장됩니다. 다른 사용자가 해당 문서를 볼 수 있도록 공유 설정을 하지 않았다면, 다른 사용자는 해당 문서를 볼 수 없습니다.
'최근 문서함'에는 해당 사용자가 최근에 열람한 문서들이 표시됩니다. 다른 사용자의 공유 문서나 공유 드라이브에 있는 문서가 표시될 수 있습니다.
전체 공유한 파일을 삭제하면, 해당 파일은 해당 사용자의 '내 드라이브'에서는 삭제되지만, 다른 사용자의 '공유 드라이브'에서는 여전히 볼 수 있습니다.
3.로그 기록은 해당 사용자가 어떤 파일을 열람했는지, 언제, 어떤 방식으로 열람했는지 등의 정보를 담고 있는 기록입니다.
전체 공유된 파일을 삭제하더라도, 해당 파일을 열람한 사용자의 로그 기록은 삭제되지 않습니다. 따라서, 해당 사용자의 로그 기록을 살펴볼 수 있습니다.
일반 액세스로 전체 공유된 파일을 조회한 경우, 모든 인원이 조회한 것이 파악될 수 있습니다. 하지만, 해당 사용자가 개인적으로 공유한 파일을 조회한 경우, 다른 인원의 조회 여부는 파악할 수 없습니다. 문제는 이게 해킹이라고 이야기 할 수 있는가에 대한 부분이 일부 있습니다.
4.관련 항목을 감사하고자 하신다면 https://support.google.com/a/answer/4579696?hl=ko 링크를 참고하여 진행하시면 될 듯 합니다.
5.해당 정보가 새어나간 루트는 파악이 가능하실 수 있으나 그에 따른 책임의 정리는 쉽지 않을 것으로 보이네요, 매우 안타깝습니다.
Twinkle | 약 일 년 전
답변 감사드립니다. 쪽지를 드렸는데 확인 부탁드립니다.
회사 존폐위기까지 가셨다면
빠른 시일에 업체 컨설팅을 해야 할것 같네요
시간이 지날수록 문제가 심각할수 있으니
최대한 빨리 보안업체를 통해 진행 하셔야 될거
같습니다
질문보다는 컨설팅을 한번 하시는것을추천드립니다. 쪽지 확인해주세요
큰일이네요. 수습하시느라 고생 많으시겠습니다.
일단 제가 아는 사항부터 답변드릴게요.
1.전체 공유 형식으로 저장 시 공유 문서함에서 확인하실 수 있습니다. 일부 공유 문서도 여기에 다 남습니다.
2.최근 문서함의 경우 내가 공유받은 문서들도 표시됩니다. 그런데 본인이 보지 않은 문서들이 표시됐다라는 것은 질문자님께서 보지는 않으셨겠지만 그 계정으로 로그인한 다른 직원이 봤을 수도 있는 문서입니다. 계정이 공유되고 있는 것인지, 아니면 드라이브 액세스 권한이 다수의 사람들에게 공유되고 있는 것인지 확인해 보세요.
3.로그 기록은 폴더 혹은 파일을 우클릭해서 나타나는 서브 메뉴 중 아래쪽의 "세부정보 보기" -> "활동"을 클릭하시면 알 수 있습니다.
가장 큰 문제는 구글 드라이브 접속 경로가 일반 액세스로 무분별하게 노출된 것으로 보입니다.
일단 계정 권한을 관리자만 접속할 수 있게 바꾸시고 차근차근 살펴보실 것을 권합니다.