Docswave Information

Docswave 보안, 믿어도 될까?

security
docswave
Written by docswave

Docswave는 사용자의 구글드라이브와 구글문서를 연동한 전자결재 시스템을 제공하고 있습니다.  그렇다보니 많은 분들이 Docswave 운영자가 이 회사 문서에 접근하는지, 외부에 문서가 유출되는 것은 아닌지 의문을 가지곤 합니다.

이에 대하여 Docswave 회원님들의 문서의 안전을 알려드리기 위해 Docswave 상의 구글 드라이브 데이터 및 시스템 보안에 관하여 설명드리고자 합니다.

그 동안 Docswave 보안에 대한 궁금증이나 걱정이 있으셨던 분들은 본 포스팅을 한번 읽어보세요!

1. Docswave는 왜 나의 구글 데이터에 액세스하려고 하나요?

Docswave는 사용자를 대신하여 구글 드라이브에 Docswave 폴더를 생성하고, 문서와 파일 등을 생성 및 관리해야하기 때문에 사용자의 구글 데이터에 접근할 필요가 있습니다.

이때 Docswave가 접근하기 위해서는 꼭 Google의 OAuth 2.0 인증을 통해야만 접근이 허락됩니다. 이 과정에 대한 설명은 아래 그림을 통해 설명드립니다.

 

  • 신규 사용자(마스터계정)가 Docswave 웹 사이트(https://www.docswave.com)에서 [Docswave 시작하기] 버튼을 클릭합니다.
  • Docswave는 Google Oauth 2.0 규약에 따라 Google에게 대표 계정의 구글 드라이브/주소록 등에 접근할 수 있는 권한을 요청합니다.
  • 이 때 Google은 사용자에게 접근 권한 부여에 대해 확인합니다. 사용자가 동의하면 Google은 Docswave에 필요한 자원에 접근할 수 있는 권한을 줍니다.
  • 이후 Docswave는 사용자를 대신하여 Docswave에서 이용하는 Google 데이터들을 관리하게 됩니다.

<Docswave가 마스터계정에게 요청하는 항목>

  • 내 이메일 주소: 사용자의 ID가 되는 이메일 주소 정보를 요청합니다.
  • 기본 프로필 정보 : 사용자의 성명, 프로필 이미지 등의 정보를 요청합니다.
  • 이 앱으로 열거나 만든 Google 드라이브 파일과 폴더 조회 및 관리 : 구글 드라이브에 생성되는 “[Docswave] 신규 조직명” 폴더의 모든 작업을 수행합니다. 이에 따라 해당 폴더 관리 권한을 요청합니다.
  • Google 드라이브에서 파일 보기 및 관리 : 기안문서 작성 시 파일을 첨부할 경우 마스터계정의 구글 드라이브에 첨부파일을 저장할 수 도 있고 사용자의 구글드라이브 파일을 불러올 수도있습니다.
  • 주소록 정보 : Docswave에서는 구글 주소록을 활용해 조직원 초대를 할 수 있습니다. 이를 위해 사용자의 주소록 정보를 요청합니다.
  • Has offline access : 마스터계정이 오프라인 상태에서도 다른 조직원이 이용할 수 있도록 대표 계정을 대신하여 오프라인 접근이 가능한 권한을 요청합니다.

사용자는 접근 권한에 동의해야만 Docswave를 이용할 수 있습니다. 또한 위의 항목은 오로지 ‘[Docswave] 조직명 폴더’에만 적용됩니다.  그리고 더 이상 Docswave 이용을 원하지 않을 경우 언제든지 해당 접근권한을 해제할 수 있으며 ‘구글 계정 정보’에서 설정할 수 있습니다. (관련링크 : 계정에 연결된 앱 관리하기)

2. 그렇다면 Google Drive에서 Docswave의 활동내역을 확인할 수 있나요?

대표 계정의 Google Drive에서 Docswave가 활동한 모든 내역들을 확인할 수 있습니다.  예를 들면 ‘[Docswave] 신규 기업명’ 폴더를 생성하고, 양식 및 기안문서를 생성하는 등의 모든 Docswave 활동이 기록되어 있습니다. 

혹시 Docswave가 내 구글 드라이브에 접속하고 문서를 볼 수 있을까? 라고 궁금하실 텐데요.

동의에 의해 받은 Google Access Token를 통해서 구글 드라이브 파일을 관리할 뿐 전혀 문서를 열람할 수도 글을 작성할 수도 없습니다. 이는 앞서 말한 바와 같이 Docswave는 무조건 Google의 보안 정책에 따라야만 하기 때문입니다.

특히 Docswave 운영팀은 회원의 문서와 파일을 열람할 수 없으며, 문서의 기록을 남기지 않고는 임의대로 사용자의 데이터를 공유할 수 없기 때문에 문서 유출에 대하여 안심하셔도 좋습니다.

3. Docswave 서비스의 보안은 안전한가요?

Docswave 서비스는 Google Cloud Platform(이하 GCP)에서 동작합니다. *GCP란 Google에서 제공하는 클라우드 컴퓨팅 환경으로 서버나 스토리지, 네트워크를 가상화로 관리할 수 있는 서비스로써 국내의 KT ucloud biz 나 AWS 등과 같은 서비스입니다.

따라서 Docswave의 모든 자원은 Google의 보안정책을 기반으로 운영되고 있습니다. 특히 Database의 경우에는 Google Cloud SQL을 사용하고 있기 때문에 보안적인 측면에서 안전하게 운영되고 있습니다.

또한 현재 Docswave는 Google 본사를 통해  Google Cloud Platform for Startup 프로그램에 참여하며 앞으로는 Technical Partner가 되어 더 안정적인 서비스를 제공하고자 준비하고 있습니다.

4. Docswave 네트워크 보안은 안전한가요?

Docswave는 지난 1월, GCP (Google Cloud Platform) 서버 이전보안강화를 위한 SSL(Secure Sockets Layer)기술을 업데이트하였습니다.

SSL 기술적용 후 웹브라우저와 웹서버 간에 전송되는 데이터를 암호화 하여 Docswave의 회원들의 데이터 및 개인정보를 보다 안전하게 보호할 수 있기 때문에 해킹 및 도용의 위험성이 줄 것입니다.

사용자는 웹 사이트 주소의 https로 표시되는 주소를 확인할 수 있습니다.

5. Docswave가 준비하는 다른 보안활동이 있나요?

Docswave는  Line 등의 보안 탐지 및 국내 유수의 은행 앱 보안 등의 사업을 추진하는 보안 전문 기업인  NSHC, Inc.(http://www.nshc.net/)와 전략적인 제휴를 하였습니다.

앞으로 다양하게 발생할 수 있는 Docswave의 보안 이슈를 전문적으로 관리하고 해결해 나갈 예정입니다. 

This post is also available in: 영어 일어 중국어 간체 중국어 번체

About the author

docswave

docswave