콘솔로 이동

Firebase의 개인정보 보호 및 보안

이 페이지에서는 Firebase의 주요 보안 및 개인정보 보호에 대한 정보를 간략하게 다룹니다. Firebase로 새 프로젝트를 시작할 생각이거나 기존 프로젝트에서 Firebase가 어떻게 실행되는지 궁금하다면 Firebase의 사용자 보호에 대해 알아보세요.

최종 수정일: 2019년 7월 26일

데이터 보호

Firebase의 GDPR 준수

2018년 5월 25일에 1995년도 EU 데이터 보호 규정이 EU 개인정보 보호법(GDPR)으로 대체됩니다. Google은 대규모 소프트웨어 업체는 물론 독립 개발자 등 고객이 GDPR을 준수할 수 있도록 최선을 다해 돕고 있습니다.

GDPR은 데이터 컨트롤러 및 데이터 프로세서에 대한 의무를 부과합니다. Firebase 고객은 대개 Firebase 사용과 관련하여 Google에 제공하는 최종 사용자 개인 정보의 '데이터 컨트롤러' 역할을 하며, Google은 일반적으로 '데이터 프로세서'입니다.

즉, 데이터는 고객이 제어합니다. 개인 정보와 관련하여 개인의 권리를 이행하는 것과 같은 의무에 대한 책임은 데이터 컨트롤러인 고객에게 있습니다.

고객에 해당하며 데이터 컨트롤러로서의 책임에 관해 알고 싶다면 GDPR 조항을 숙지하고 규정 준수 계획을 확인해야 합니다.

고려해야 할 주요 문제는 다음과 같습니다.

  • 조직에서 데이터 사용과 관련하여 사용자 투명성 및 관리가 제대로 이루어지고 있는지 어떻게 확인하고 있습니까?
  • 조직에서 GDPR에 따라 필요한 동의를 적절하게 구하고 있습니까?
  • 조직에서 사용자 환경설정 및 동의를 기록하기에 적절한 시스템을 갖추고 있습니까?
  • 규제 기관 및 파트너에게 GDPR의 원칙을 지키고 있으며 책임이 있는 조직이라는 점을 어떻게 보여줄 예정입니까?

Firebase 데이터 처리 및 보안 약관

고객이 Firebase를 사용할 때는 대개 Google이 데이터 프로세서이며 고객을 대신하여 개인 정보를 처리합니다. Firebase 약관에는 2018년 5월 25일부터 모든 Firebase 서비스에 적용되는 데이터 처리 및 보안 약관이 포함되어 있습니다.

Google Cloud Platform(GCP) 서비스 약관이 적용되는 특정 Firebase 서비스에는 이미 GCP 데이터 처리 및 보안 약관이라는 관련 데이터 처리 약관이 적용되고 있습니다. 현재 GCP 서비스 약관이 적용되는 Firebase 서비스의 전체 목록은 Firebase 서비스의 서비스 약관에서 확인할 수 있습니다.

Firebase용 Google 애널리틱스에는 Google 광고 데이터 처리 약관이 적용됩니다.

주요 보안 및 개인정보 보호 표준에 따라 인증을 받은 Firebase

ISO 및 SOC 준수

모든 Firebase 서비스가 ISO 27001, SOC 1, SOC 2, SOC 3 평가 과정을 거쳤으며 ISO 27017, ISO 27018 인증 절차를 완료한 서비스도 일부 있습니다.

서비스 이름 ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Firebase용 Google 애널리틱스 check check check check
Firebase용 ML Kit check check check check
Firebase Test Lab check check check check check check
Cloud Firestore check check check check check check
Firebase용 Cloud Functions check check check check check check
Firebase용 Cloud Storage check check check check check check
Firebase 인증 check check check check check check
Firebase 오류 보고 check check check check
Firebase 인앱 메시지 check check check check
Firebase 초대 check check check check
Firebase 클라우드 메시징 check check check check
Firebase 예측 check check check check
Firebase Performance Monitoring check check check check
Firebase 호스팅 check check check check
Firebase 동적 링크 check check check check
Firebase 원격 구성 check check check check
Firebase 실시간 데이터베이스 check check check check
Firebase 플랫폼 check check check check
Firebase A/B 테스팅 check check check check

프라이버시 실드 프레임워크 인증

2016년 7월 유럽 위원회는 유럽연합-미국 프라이버시 쉴드 프레임워크가 유럽연합에서 미국으로 개인 데이터를 전송하는 경우와 관련하여 유럽연합 기업이 데이터 보호 지침의 요건을 준수하도록 하는 데 충분한 수단을 제공한다는 결론을 내렸습니다. Google LLC는 유럽연합-미국 및 스위스-미국 프라이버시 쉴드 프레임워크 인증을 모두 획득했으며 프라이버시 쉴드 목록에서 이 인증의 내용을 확인할 수 있습니다.

데이터 처리 정보

Firebase에서 처리되는 최종 사용자 개인 데이터의 예

일부 Firebase 서비스에서는 서비스 제공을 위해 최종 사용자의 개인 데이터를 처리합니다. 아래 차트에는 여러 Firebase 서비스에서 최종 사용자 개인 데이터를 어떻게 사용하고 처리하는지 보여주는 예가 나와 있습니다. 또한 많은 Firebase 서비스가 특정 데이터의 삭제를 요청하거나 데이터 처리 방식을 제어할 수 있는 기능을 제공하고 있습니다.

Firebase 서비스 개인 정보 서비스 제공에 데이터가 활용되는 방식
Firebase용 Cloud Functions
  • IP 주소

활용 방식: Cloud Functions는 IP 주소를 사용하여 최종 사용자 작업을 기준으로 이벤트 처리 함수와 HTTP 함수를 실행합니다.

보관: Cloud Functions는 서비스 제공을 위해 IP 주소만 임시로 저장합니다.

Firebase 인증
  • 비밀번호
  • 이메일 주소
  • 전화번호
  • 사용자 에이전트
  • IP 주소

활용 방식: Firebase 인증은 데이터를 사용하여 최종 사용자 인증을 사용 설정하고 최종 사용자 계정을 쉽게 관리하도록 합니다. 또한 사용자 에이전트 문자열 및 IP 주소를 사용하여 보안을 강화하고 가입과 인증 과정에서 데이터의 악용을 차단합니다.

보관: Firebase 인증은 로깅된 IP 주소를 몇 주간 보관합니다. 다른 인증 정보는 Firebase 고객이 연결된 사용자를 삭제할 때까지 보관합니다. 데이터는 삭제를 시작한 후 180일 내에 라이브 및 백업 시스템에서 삭제됩니다.

Firebase 클라우드 메시징
  • 인스턴스 ID

활용 방식: Firebase 클라우드 메시징은 인스턴스 ID를 사용하여 메시지를 보낸 기기를 확인합니다.

보관: 인스턴스 ID는 Firebase 고객이 API를 호출하여 ID를 삭제할 때까지 보관합니다. 데이터는 호출 후 180일 내에 라이브 및 백업 시스템에서 삭제됩니다.

Firebase 오류 보고
  • 인스턴스 ID
  • 오류 trace

활용 방식: 오류 보고는 오류 스택 trace를 사용하여 오류를 프로젝트와 연결하고, 프로젝트 구성원에게 이메일 알림을 보낸 후 이를 Firebase Console에 표시하며, Firebase 고객이 오류를 디버그하도록 지원합니다. 또한 인스턴스 ID를 사용하여 오류의 영향을 받은 사용자 수를 계수합니다.

보관: 오류 보고는 오류 스택 trace를 180일 동안 보관합니다. 인스턴스 ID는 Firebase 고객이 API를 호출하여 ID를 삭제할 때까지 보관합니다. 데이터는 호출 후 180일 내에 라이브 및 백업 시스템에서 삭제됩니다.

Firebase 동적 링크
  • 기기 사양(iOS)

활용 방식: 동적 링크는 iOS의 기기 사양에 따라 새로 설치된 앱을 특정 페이지나 컨텍스트로 엽니다.

보관: 동적 링크는 서비스 제공을 위해 기기 사양만 임시로 저장합니다.

Firebase 호스팅
  • IP 주소

활용 방식: 호스팅은 수신되는 요청의 IP 주소를 사용하여 데이터 악용을 탐지하고 데이터 사용에 대한 자세한 분석 정보를 고객에게 제공합니다.

보관: 호스팅은 IP 주소를 몇 달간 보관합니다.

Firebase 초대
  • 기기 사양(iOS)
  • 로컬에 저장된 연락처

활용 방식: 초대를 사용하면 저장된 연락처로 초대 링크를 보낼 수 있습니다. 초대 링크는 Firebase 동적 링크이며, iOS의 기기 사양에 따라 새로 설치된 앱을 특정 페이지나 컨텍스트로 엽니다.

보관: 앱 초대도구는 기기에서 로컬에 저장된 연락처에만 액세스하고, Firebase 동적 링크를 통해 기기 사양만 임시로 저장하여 링크 서비스를 제공합니다.

Firebase Performance Monitoring
  • 인스턴스 ID
  • IP 주소

활용 방식: Performance Monitoring은 인스턴스 ID를 사용하여 네트워크 리소스에 액세스하는 고유한 앱 인스턴스 수를 계산하여 액세스 패턴이 충분히 익명 처리되도록 합니다. 또한 Firebase 원격 구성에 인스턴스 ID를 사용하여 성능 이벤트 보고 비율을 관리하고, IP 주소를 사용하여 성능 이벤트를 이벤트가 시작된 국가에 매핑할 수 있습니다. 자세한 내용은 데이터 수집을 참조하세요.

보관: Performance Monitoring은 인스턴스 및 IP 관련 이벤트를 30일, 익명화된 성능 데이터를 90일 동안 보관합니다. Firebase에서는 고객이 API를 호출하여 인스턴스 ID를 삭제할 때까지 보관합니다. API 호출 후 90일 내에 라이브 및 백업 시스템에서 데이터가 삭제됩니다.

Firebase 예측
  • 인스턴스 ID

활용 방식: 예측은 인스턴스를 ID를 사용하여 앱 인스턴스를 프로젝트에 연결하고 시계열 이벤트를 검색합니다. 이러한 이벤트를 사용하여 고객이 지정한 이벤트의 발생 가능성을 예측할 뿐만 아니라 기본적으로 비용 예측 및 앱 제거 예측도 수행합니다.

보관: 예측은 인스턴스 관련 이벤트를 60일, 이 이벤트를 토대로 한 예측은 몇 주간 저장합니다. 인스턴스 ID는 Firebase 고객이 API를 호출하여 ID를 삭제할 때까지 보관합니다. 데이터는 호출 후 180일 내에 라이브 및 백업 시스템에서 삭제됩니다.

Firebase 실시간 데이터베이스
  • IP 주소
  • 사용자 에이전트

활용 방식: 실시간 데이터베이스는 IP 주소와 사용자 에이전트를 사용하여 프로파일러 도구를 사용 설정하며 Firebase 고객은 이 도구를 통해 사용 트렌드 및 플랫폼 분류를 파악할 수 있습니다.

보관: 실시간 데이터베이스는 고객이 나중에 저장하도록 선택한 경우를 제외하고 IP 주소와 사용자 에이전트 정보를 며칠간 보관합니다.

Firebase용 Google 애널리틱스

활용 방식: Google 애널리틱스는 데이터를 사용하여 분석 및 기여 분석 정보를 제공합니다. 수집된 정보의 정확성은 기기와 환경에 따라 달라집니다. 자세한 내용은 데이터 수집을 참조하세요.

보관: Google 애널리틱스는 Firebase 고객이 애널리틱스 설정에서 보관 환경설정을 변경하거나 프로젝트를 삭제하는 경우를 제외하고 특정한 광고 식별자 관련 데이터(예: Apple의 광고주 식별자 및 공급업체용 식별자, Android의 광고 ID)를 60일 동안 보관하고, 집계 보고 및 특정한 사용자 수준 캠페인 데이터는 자동 만료 없이 보관합니다.

Firebase 원격 구성
  • 인스턴스 ID

활용 방식: 원격 구성은 인스턴스 ID를 사용하여 최종 사용자 기기로 반환할 구성 값을 선택합니다.

보관: 인스턴스 ID는 Firebase 고객이 API를 호출하여 ID를 삭제할 때까지 보관합니다. 데이터는 호출 후 180일 내에 라이브 및 백업 시스템에서 삭제됩니다.

Firebase용 ML Kit
  • 업로드한 이미지
  • 인스턴스 ID

활용 방식: 클라우드 기반 API는 데이터를 처리한 후 분석 결과를 제공하기 위해 업로드한 이미지를 임시로 저장합니다. 저장된 이미지는 일반적으로 몇 시간 내에 삭제됩니다. 자세한 내용은 Cloud Vision 데이터 사용 FAQ를 참조하세요.

인스턴스 ID는 앱 인스턴스와 상호작용(예: 개발자 모델을 앱 인스턴스에 배포)할 때 ML Kit에서 사용합니다. ML Kit는 인스턴스 ID를 사용하여 Firebase 원격 구성을 활용하므로 기기 측 API(예: 주제 목록 및 필터)가 항상 최신 상태로 유지됩니다.

보관: 인스턴스 ID는 Firebase 고객이 API를 호출하여 ID를 삭제할 때까지 보관합니다. 데이터는 호출 후 180일 내에 라이브 및 백업 시스템에서 삭제됩니다.

Firebase Crashlytics Crashlytics 및 최종 사용자 데이터 처리에 대한 자세한 내용은 Crashlytics 데이터 수집 정책을 참조하세요.

최종 사용자 개인 정보 처리 옵션 사용 설정 가이드

위 표의 서비스는 최종 사용자 개인 데이터가 어느 정도 있어야 작동합니다. 따라서 해당 서비스를 사용할 경우 데이터 수집을 완전히 사용 중지하는 것은 불가능합니다.

사용자에게 서비스와 그로 인한 데이터 수집을 선택할 수 있는 옵션을 제공하려면 보통 서비스 사용 전에 대화상자나 전환 설정을 추가해야 합니다.

하지만 앱에 포함된 일부 서비스의 경우 자동으로 시작됩니다. 서비스 사용 전에 선택 기회를 제공하려면 각 서비스의 자동 초기화를 사용 중지하고 런타임 시 직접 초기화하도록 선택하면 됩니다. 방법은 아래 가이드를 참조하세요.

데이터 스토리지 및 처리 위치

서비스 또는 기능에서 데이터 위치 선택 옵션을 제공하지 않는 한, Firebase는 Google 또는 대행사의 시설이 위치한 모든 장소에서 데이터를 처리하고 저장할 수 있습니다. 잠재적 시설 위치는 서비스마다 다릅니다.

미국 전용 서비스

일부 Firebase 서비스는 미국 데이터 센터에서만 실행됩니다. 따라서 해당 서비스는 미국에서만 데이터를 처리합니다.

  • Firebase 실시간 데이터베이스
  • Firebase 호스팅
  • Firebase 인증

글로벌 서비스

대부분의 Firebase 서비스가 글로벌 Google 인프라에서 실행됩니다. Google Cloud Platform 위치 또는 Google 데이터 센터 위치 중 어디서나 데이터가 처리될 수 있습니다. 일부 서비스의 경우 특정 위치에서 처리되도록 제한하는 구체적인 데이터 위치 선택이 가능합니다.

  • Firebase용 Cloud Storage
  • Cloud Firestore
  • Firebase용 Cloud Functions
  • Firebase Performance Monitoring
  • Firebase 오류 보고
  • Firebase 동적 링크
  • Firebase 초대
  • Firebase 원격 구성
  • Firebase 클라우드 메시징
  • Firebase 예측
  • Google 애널리틱스
  • Firebase용 ML Kit
  • Firebase Test Lab

보안 정보

데이터 암호화

Firebase 서비스는 HTTPS를 사용해 전송 중인 데이터를 암호화하고 고객 데이터를 논리적으로 분리합니다.

또한 여러 Firebase 서비스에서 미사용 데이터도 암호화하고 있습니다.

  • Cloud Firestore
  • Firebase용 Cloud Functions
  • Firebase용 Cloud Storage
  • Firebase 인증
  • Firebase 클라우드 메시징
  • Firebase 실시간 데이터베이스
  • Firebase Test Lab

보안 권장사항

개인 데이터의 안전을 유지하기 위해 Firebase는 광범위한 보안 조치를 통해 액세스를 최소화하고 있습니다.

  • Firebase는 업무 용도로 개인 데이터에 액세스하는 특정 직원에 한해 액세스를 허용합니다.
  • Firebase는 개인 데이터가 포함된 시스템에의 직원 액세스를 기록합니다.
  • Firebase는 Google 로그인 및 2단계 인증을 거쳐 로그인한 직원에게만 개인 데이터 액세스를 허용합니다.

궁금한 점이 더 있나요? 문의하기

이 문서에서 다루지 않은 개인정보 보호와 관련된 질문은 계정 서비스 양식을 통해 문의하세요.