구글 워크스페이스 설정, 처음부터 보안까지 한 번에
구글 워크스페이스 설정은 도입 초기에 방향을 제대로 잡는 것이 핵심입니다. 우선, 도메인 연결 → 사용자·그룹·조직단위(OU) 설계 → 보안·감사 정책 적용의 순서를 정해 두면 시행착오를 크게 줄일 수 있습니다. 다음으로, 관리자 콘솔에서 회사 로고·지역·시간대 등 테넌트 기본값을 통일하고, OU별로 드라이브 외부공유·앱 접근권한·크롬 확장 배포를 차등 적용해 실제 업무 흐름을 반영하세요. 아울러, 메일 신뢰도를 위해 SPF·DKIM·DMARC를 단계적으로 활성화하고, 전사 범위의 2단계 인증(보안키/앱 인증)을 강제하면 계정 탈취 리스크를 실질적으로 낮출 수 있습니다. 또한, 초기 마이그레이션은 메일·드라이브·캘린더를 분리해 파일럿 계정으로 검증한 뒤 전개하고, 이후에는 감사 로그·경고 센터를 통해 외부 공유·OAuth 연결 같은 이벤트를 상시 모니터링하는 체계를 갖추는 것이 좋습니다. 마지막으로, 설정 항목을 기본/고급으로 구분한 체크리스트를 만들어 주기적으로 점검하면, 조직 규모가 커져도 정책 일관성과 보안을 안정적으로 유지할 수 있습니다.
브라우저 & 확장 프로그램
크롬/엣지 사용 시 관리자 설치 정책·확장 프로그램 화이트리스트로 보안과 편의성을 동시에 확보하세요.
크롬/엣지 사용 시 관리자 설치 정책·확장 프로그램 화이트리스트로 보안과 편의성을 동시에 확보하세요.
도메인·관리자 기본 설정
“핵심은 도메인 인증과 기본 보안 기준을 초기에 끝내는 것입니다.”
- 도메인 연결: DNS에 TXT 레코드로 소유권 확인 후 MX를 Gmail로 전환
- 기본 프로필: 회사명·로고·지역/시간대를 통일해 서비스 UI 일관성 유지
- 관리자 역할: 슈퍼관리자 분리, 감사 전용 계정 별도 부여
- 백업 이메일: 관리자 계정에 복구 이메일/전화 등록
사용자·조직단위(OU) 구조
빠른 생성 팁
- 대량 업로드: CSV 템플릿로 사용자·별칭·그룹 일괄 생성
- 그룹 정책: 팀/프로젝트별 메일링 그룹 + 접근정책 매핑
- OU 설계: 본사/지사·부서·직군(정규/외부)로 계층화
권한·정책 분리
- 관리자 역할: 헬프데스크·사용자관리·보안관리로 세분화
- 리소스: 회의실/장비 캘린더 소유권을 그룹에 귀속
- 퇴사 처리: 드라이브 소유권 이전 + 세션 강제 로그아웃
보안·2단계 인증(2SV)
- 비밀번호 정책: 최소 길이·복잡도·변경 주기 설정
- 2단계 인증: 강제 적용(보안키/앱 인증) & 예외 OU 최소화
- 엔드포인트: 회사 기기 등록·스크린락·OS 업데이트 강제
- 세션 제어: 장기 미접속 계정 일괄 비활성·재인증 요구
| 항목 | 권장값 | 비고 |
|---|---|---|
| 2SV 적용 대상 | 전 직원(외부 사용자 포함) | 보안키 + OTP 혼합 권장 |
| 비밀번호 정책 | 최소 10자·복잡도 요구 | 유출 점검 정기 실행 |
| 세션 만료 | 웹 12~24시간, 모바일 7일 | 민감 OU 단축 |
고급 설정
이메일 인증(SPF · DKIM · DMARC)
스팸 차단·도메인 위변조 방지를 위한 필수 3종 세트
- SPF: 우리 도메인에서 메일을 보낼 수 있는 발신 IP 목록을 DNS에 명시
- DKIM: 전자서명을 통해 메일 위변조 방지(관리콘솔에서 키 생성 후 DNS 공개키 등록)
- DMARC: SPF/DKIM 검증 실패 시 처리 정책(모니터링→격리→거부)과 리포트 수신
“권장: DMARC는 p=none으로 모니터링 시작 → 리포트 분석 후 quarantine → reject 단계 적용.”
컨텍스트 인식 액세스(Zero Trust)
사용자·기기·위치·위험도에 따라 접근을 다르게
- 사용자 조건: 조직단위/그룹 기준으로 민감 리소스 접근을 제한
- 기기 상태: 회사 등록·암호화·OS 버전 충족 시에만 드라이브 외부 공유 허용
- 위치/네트워크: 해외/공용망 접속 시 2SV 또는 다운로드 제한 강화
공유 드라이브 라벨링 & 외부 공유 정책
- 라벨 체계: 공개/내부/기밀/대외비 4단계 라벨로 문서 보안 수준을 명확히
- 공유 드라이브: 팀 단위 소유권 부여, 외부 게스트는 보기 전용 원칙
- 링크 공유: 링크 공개 금지, 파트너 도메인 한정 + 만료일/다운로드 제한 설정
| 라벨 | 기본 권한 | 외부 공유 |
|---|---|---|
| 공개 | 읽기 | 파트너 도메인만 |
| 내부 | 팀 편집 | 금지 |
| 기밀 | 소수 편집 | 금지(뷰어 워터마크) |
| 대외비 | 오너 전용 | 금지 |
온보딩 체크리스트
계정/보안
- 계정 발급: 사용자/별칭/그룹 자동 생성(CSV/프로비저닝)
- 2SV 등록: 보안키·앱 인증·백업코드 안내
- 정책 배포: 크롬 북마크/확장, 드라이브 라벨 기본값
업무 준비
- 공유 드라이브 배치: 팀 리소스/권한 상속 확인
- 캘린더: 근무시간/회의실 사용법, 휴가 캘린더 구독
오프보딩 체크리스트
보안/소유권
- 세션 차단: 모든 기기 로그아웃·토큰 무효화
- 드라이브 소유권: 공유 드라이브/후임자에게 이전
- 메일 처리: 자동응답/포워딩 종료, 아카이브/Vault 보존
서비스 정리
- 그룹/캘린더: 멤버십 제거, 회의실 예약 정리
- 기기 회수: 크롬OS/모바일 등록 해제
관리자 콘솔 단축 경로
업무 잦은 메뉴를 빠르게 찾는 미니 북마크
| 영역 | 경로 | 설정 포인트 |
|---|---|---|
| 사용자 | 디렉터리 → 사용자 | 대량 생성/별칭/그룹 |
| 보안 | 보안 → 인증 | 2SV 강제/비밀번호 정책 |
| 드라이브 | 앱 → 드라이브 및 문서 | 외부 공유/라벨/워터마크 |
| 브라우저 | 디바이스 → Chrome | 확장 화이트리스트/북마크 |
| 감사 | 리포트 → 감사 로그 | 공유 변경·OAuth 이벤트 |
배포 단계별 가이드(권장 플로우)
1) 설계
- OU/그룹: 조직도·보안 레벨을 반영한 계층 초안
- 정책 매트릭스: OU×서비스별 허용/차단 정의
2) 파일럿
- 테스트 OU: 신기능·정책 선적용 후 영향 분석
- 표본 사용자: 각 직군 5~10명으로 사용자 피드백 수집
3) 전사 전개
- 교육/가이드: 로그인 보안·공유 원칙·협업 모범사례
- SLA/지원: 헬프데스크 권한·요청 템플릿 운영
앱 접근·서비스 제어
- 코어 앱: Gmail·드라이브·캘린더 기본 ON, 테스트 OU로 신기능 사전 검증
- 서드파티: OAuth 승인 범위 제한·허용 목록 기반 연결만 허용
- 드라이브 외부 공유: 링크 공개 금지·도메인 한정 공유, 만료일 설정
- 크롬 확장: 필수 확장 자동 설치, 미승인 확장 차단
브라우저 정책 배포
관리 콘솔의 디바이스 → Chrome → 사용자 & 브라우저 정책에서 북마크·홈페이지·확장 프로그램을 OU별로 배포하세요.
관리 콘솔의 디바이스 → Chrome → 사용자 & 브라우저 정책에서 북마크·홈페이지·확장 프로그램을 OU별로 배포하세요.
데이터 이전(마이그레이션)
- 이메일: IMAP/Exchange 커넥터로 단계적 이전(주요 라벨만 우선)
- 드라이브: 공유 드라이브 구조 설계 후 배치 → 소유권 이전
- 캘린더: ICS/구독 병행 → 회의실 리소스 매핑
- 검증: 표본 계정으로 데이터 무결성·권한 상속 테스트
| 대상 | 방법 | 다운타임 |
|---|---|---|
| 메일 | IMAP/Exchange 커넥터 | 최소(병행 수신) |
| 파일 | 드라이브 마이그레이터 | 중간(권한 재적용) |
| 캘린더 | ICS/리소스 재연결 | 낮음 |
감사·모니터링
- 감사 로그: 로그인 실패·공유 변경·OAuth 연결 이벤트 모니터링
- 알림 규칙: 관리자 비정상 활동·외부 대량 공유 시 메일/슬랙 알림
- 보존 정책: Vault로 메일/드라이브 보존 기간·법적 보관 설정
- 리스크 검토: 분기마다 OU·그룹 권한·앱 승인 범위 재점검
“결국 좋은 설정은 가시성과 지속 점검으로 완성됩니다.”
FAQ
| 질문 | 요약 답변 |
|---|---|
| OU 설계를 어떻게 시작하나요? | 조직도 기반 계층화 후 민감도(보안/외부)로 하위 분기 |
| 2단계 인증 예외가 필요한가요? | 서비스 계정·특수 키오스크만 제한적으로 허용 |
| 외부 공유는 어디까지 허용? | 파트너 도메인 한정 + 만료·다운로드 제한 |
※ 실제 메뉴 경로·명칭은 콘솔 업데이트에 따라 일부 달라질 수 있습니다.
