Categories
학교와 기술

[Google Workspace 관리] 그룹별 2단계 인증 적용하기

2단계 인증 조치를 Google Workspace (구 G Suite) 관리자가 조직 안에서 그룹에 따라 강제하거나 제외하는 방법에 대해 알아봅니다. G Suite for Education (구글 포 에듀케이션)에도 해당하며 구글 클래스룸 서비스를 사용하고 있는 모든 학교 관리자에게 권합니다.

1. 2단계 인증, 강제해야 할까?

2단계 인증이란 아이디 – 패스워드를 알고 있어도 새로운 장소나 기기에서 처음으로 로그인할 때는 계정 주인의 핸드폰으로 코드를 보내거나 기존 로그인된 기기에서 허락을 받도록 하는 설정입니다.

△ 패스워드 유출 (출처: 구글)

가령 여러분이 교사이고 파일스트림으로 매일 업무 자료 보면서 일한다고 합시다. 구글 드라이브나 구글 클래스룸 안에 수업자료는 물론이고 학생들의 성적과 개인 정보에 준하는 자료들, 게다가 외부로 유출되어서는 안 되는 학교 업무 자료가 들어있다고 합시다. 이 계정이 외부로 유출되었을 때 피해가 얼마나 크겠어요? 게다가 파일스트림을 통해 어떤 공유 폴더, 공유 드라이브에 수십~수백 기가바이트에 달하는 자료를 공유하면서 작업하는 학교, 회사에서 단 한 명만 아이디가 탈취되면 피해는 어마어마하겠지요. 게다가 그 패스워드를 다른 사이트에서도 사용하고 있다면? 이제 피해는 두세 배로 불어납니다.

만약에 말이에요~ A라는 학생이 B학생을 미워하는데, 그 학생의 계정으로 들어가서 구글클래스룸 안에서 성적과 교사의 코멘트 등을 열람한다? 또는 이메일 계정을 훔쳐본다? 절대 일어나서는 안 되는 일이겠지요…

가능하다면 2단계 인증은 반드시 설정하는 것이 좋습니다. 또한 조직 전체의 관리자라면 사용자들이 2단계 인증을 사용하도록 권하거나, 또는 강제할 필요가 있습니다. 관련 도움말이 부실 한 거 같아서 좀 더 자세히 정리해보았습니다.

2. 사용자에게 2단계 인증 강제하기

2단계 인증을 조직 전체에 바로 강제할 수도 있지만, 조직이 특히 큰 규모라면 추천하지 않습니다. 먼저 1) 필요성을 잘 홍보하고, 2) 준비 기간을 주세요, 3) 중요한 자료에 접근하는 조직부터 순차적으로 강제 조치하는 것을 추천합니다.

2.1. 필요성 홍보하기

1) 아이디 공유가 왜 위험한가 2) 개인별 아이디 사용이 왜 좋은가 3) 2단계 인증이 왜 안전한가 등을 홍보합니다.

2.2. 준비 기간 포함하여 2단계 인증 강제 설정

먼저 시작하기 전에 최소한의 조직 / 그룹 설정을 마치시기 바랍니다. 교무실 교사만 일단 묶어서 “교무실 조직”으로 추가한다든가, 입학과 관련된 중요 자료가 있는 드라이브에 접근하는 관련 업무를 취급하는 사용자만 모아서 “입학부” 그룹에 추가하는 등등의 조치를 취합니다. 저는 “학생 모두”와 같은 조직이나 그룹은 사용하지 않습니다. 모든 사람과 모든 그룹을 처음부터 만드려고 하기보다는 특별히 관리가 필요하고 관찰할 필요가 있는 집단부터 조직/그룹으로 묶어주는 게 좋습니다.

이제, 관리 콘솔의 보안 > 2단계 인증 페이지로 들어갑니다.

최상위 조직 2단계 인증 설정 - 구글 포 에듀케이션
  1. 좌측 사이드바에서 최상위 조직을 선택합니다. 조직 전체에 해당하는 보안 설정을 할 거니까요.
  2. “사용자가 2단계 인증을 사용하도록 허용”에 체크합니다. 사용자 본인이 원하면 언제든 본인의 계정 보안 페이지에서 2단계 인증을 설정해 사용할 수 있도록 합니다.
  3. “적용”항목은 관리자가 2단계 인증을 강제할 것인지 묻습니다. “사용 안함”은 사용자가 관리자가 강제하지는 않고 사용자의 선택에 맡긴다는 뜻이며, “사용”은 지금 즉시 강제한다는 뜻입니다. “다음 날짜에 사용 설정”은 특정 날짜 이후에 강제한다는 뜻으로, 사용자는 서비스에 로그인하면 “2020년 10월 30일에 2단계 인증이 강제될 건데 지금 설정하지 않겠냐?”와 같은 메시지를 보게 됩니다. 이렇게 마감을 정해두고 마감 전에 계속 조직의 구성원에게 “이제 일주일 남았다~”와 같이 홍보하면 더 적극적인 행동을 유도할 수 있습니다.
  4. 기기 신뢰를 허용합니다. 매일 로그인하는 본인의 PC나 개인 기기에서는 한 번만 인증을 받으면 계속해서 묻지 않도록 합니다.
  5. “방법” 항목에서는 “모두”를 허용합니다. 가장 보편적으로 핸드폰 문자로 인증 코드를 받을 수 있게 열어줘야 사용이 편리합니다.

그런데 저는 아래와 같이 1) 최상위 조직에는 2) 사용자가 2단계 인증을 사용할 수는 있지만 적용을 강제하지는 않았습니다.

최상위 조직 인증 적용 - 사용 안함 설정

왜냐하면 … 조직 안에 기능적인 계정을 포함해서 아주 아이디가 많은데 2중 인증을 당장 강제해버리면 혼란이 예상되었거든요. 가령 동아리 계정, 행사할 때 이메일 받으려고 만든 계정, 교실 컴퓨터에서 연결된 폴더를 표시하도록 만든 제한된 권한을 가진 계정 등등… 이런 계정들에게 2단계 인증을 강제해버리면 로그인이 풀렸을 때 어떤 특정인의 핸드폰 문자가 없이 들어갈 수 없게 되잖아요. 관리에 어려움이 생깁니다.

기본적으로 조직 전체에는 2단계 인증을 선택할 수 있도록 풀어주고, 특히 중요한 자료에 접근하는 개인 아이디 사용자들에게 강제하는 방법을 사용하면 이 문제가 해결됩니다.

2.3. 중요 그룹에게만 2단계 인증 강제하기

이제 전체 조직에는 2단계 인증 적용을 개인의 선택에 맡겨 “적용 사용 안 함”인지만, 전체 조직의 사용자들 중에 “입학부”라는 그룹에 속해 있는 사용자들은 입학 관련 공유 드라이브에 접근 권한이 있는 개인 아이디를 사용하므로 2중 인증을 반드시 사용하도록 강제해보겠습니다.

우선, 보시다시피 1) 가장 상위 조직=전체 조직에서, 2) 2단계 인증 적용이 “사용 안 함”으로 풀려 있습니다.

최상위 조직 2단계 인증 설정 - 구글 포 에듀케이션

이제 전체 조직에 속해 있으면서 “입학부” 그룹에 들어가 있는 사용자들에게 2단계 인증을 즉시 사용하도록 강제해봅시다.

최상위 조직 2단계 인증 설정 - 구글 포 에듀케이션
  1. 전체 조직=최상단 조직을 선택 후,
  2. 사이드바의 그룹 메뉴에서 “그룹 검색”을 클릭해 기존에 설정된 그룹을 불러옵니다. 저는 “입학부” 그룹을 불러왔습니다.
  3. 이제 상단에 보시면 000조직 단위 + 000 그룹에 동시에 속하는 사용자 설정을 표시하는 중이라는 메시지가 보입니다. 아까 우리는 조직의 기본 설정을 “적용 사용 안 함”으로 했었죠? 지금 보는 화면은 그 기본 설정이 아니라 조직에 속해 있으면서 입학부에도 속해있는 교집합에 해당하는 사용자들에게 적용할 설정이라는 말입니다.
  4. 입학부 업무를 보는 사용자들에게 사용자가 인증을 사용할 수 있도록 허락하고,
  5. 입학부 업무를 보는 사용자는 즉시 2단계 인증을 사용하도록 “적용 – 사용”에 체크하였습니다. 이렇게 되면 소속 조직이 어디이든지 해당 그룹에 할당되는 즉시 2단계 인증을 즉시 사용해야 할 의무가 생깁니다. 이후 화면 맨 아래로 가서 “저장” 버튼을 누르세요.

저장 버튼을 누르면 아래와 같이 그룹명 왼쪽에 체크 박스가 생깁니다. 이제 체크 박스를 On/Off 할 수 있는데요.

최상위 조직에서 특정 그룹에 해당하는 사용자를 위한 2단계 인증 설정 - 구글 포 에듀케이션

체크를 하면 화면에 조직 + 그룹에 동시에 속한 사용자들에 해당하는 보안 설정이 표시되는 것이고, 체크를 해제하면 해당 조직의 기본 설정이 보이는 것입니다. 이런 식으로 어떤 조직 안에서 어떤 그룹에 있는 사람에게는 기본 설정과 다른 보안 설정을 적용하는 것입니다. 조직 안에서 보안 설정을 다르게 적용할 그룹은 조직당 하나의 그룹만 허용됩니다.

3. 사용자를 2단계 인증 의무에서 배제하기

아래와 같이 이제 전체 상위 조직에 종속된 “교직원조직”에 대한 설정을 보겠습니다. 전체 상위 조직의 기본 설정은 2단계 설정 적용을 “사용 안 함”으로 두어 반드시 강제하지는 않는 상황입니다. 하지만 교직원조직에 소속된 사용자들은 중요 자료를 다루므로 인증을 강제하고 싶습니다.

하위 조직 보안 설정 - 구글 포 에듀케이션

그래서 최상위 조직 아래 종속된 “교직원조직”에 소속된 사용자들은 위와 같이 특정 날짜 이후로 2단계 인증을 의무적으로 사용하도록 예고하고 있습니다. 이 때 좌측 아래에 “2단계 인증 적용 예외”라는 그룹에 체크가 해제되어 있는 것이 보일 겁니다. 이것이 무엇일까요?

인위적으로 “2단계 인증 적용 예외”라는 그룹을 만들면 아주 유용합니다. 동아리 그룹이나 부서 그룹별로 묶는 것처럼 예외 적용을 받을 특별한 사용자 그룹을 만들어 해당 아이디를 그 그룹에 넣어주고 특권을 주는 것이지요. 이런 아이디에는 개인용으로 사용하지 않는 관리용 아이디라든가, 딱히 중요한 자료에 접근 권한이 없어서 몇 명이 공동으로 사용하고 있는 동아리용 자료 계정 등이 포함됩니다. 사실 아이디를 공유하는 것은 권장할 일이 아니지만, 예외가 있을 수 있지요.

하위 조직에서 특정 그룹 2단계 인증 예외 설정 - 구글 포 에듀케이션
  1. 이제 교직원조직을 선택 후
  2. 교직원 조직 안에 있지만, “2단계 인증 적용 예외” 그룹에 들어있는 사용자들로 조건을 한정합니다.
  3. 상단에 “교직원조직이면서 2단계 인증 적용 예외 그룹에 동시에 속한 사용자 설정을 표시한다”고 나옵니다.
  4. 기본 2단계 인증 사용 가능에 체크하고
  5. 적용 강제 여부는 “사용 안함”으로 설정하여 원하지 않으면 2단계 인증을 사용하지 않을 수 있도록 허락합니다.

5. 나오며

2단계 인증은 모든 개인 사용자에게 권유하거나 때로는 강제할 만큼 중요한 보안 조치입니다. 그러나 조직의 특성에 따라 강제로 적용하거나, 특정 사용자 그룹을 제외할 필요 또한 있습니다.

  • 전체 조직은 의무가 아니지만, A 조직에 속한 사용자는 즉시 2단계 인증 시행
  • 전체 조직은 기본적으로 2단계 인증 의무이지만, 특정 그룹 사용자는 3개월 동안 유예
  • 전체 조직은 기본적으로 2단계 인증 의무가 아니지만, 특정 그룹 사용자는 즉시 인증 의무
  • 전체 조직은 의무이지만, A 그룹에 속한 사용자는 의무 아님
  • 전체 조직은 의무가 아니지만, 그 아래 속한 ‘가’ 조직은 인증이 의무. 하지만 ‘가’ 조직 안에서 특정 그룹은 의무 아님

관리하기 용이하도록 중요한 집단부터 조직이나 그룹에 추가해 조직을 정비하시고, 이 집단과 그룹에 따라 어떻게 보안을 강화, 완화할 것인지 결정하세요. 조직의 상하위 구조와 그룹의 특성, 그리고 해당 조직-그룹이 어떤 데이터에 접근할 것인지 생각해보면 좋습니다. 관리자는 보고서를 통해 2중 인증을 시행하는 인원이 증가하고 있는지 확인할 수 있습니다.

(2020년 10월)

Leave a Reply

Your email address will not be published.