Google Workspace 계정 정지로 인한 업무 마비 사례

 (zencapital.substack.com)
1P by GN⁺ 4시간전 | ★ favorite | 댓글 1개
  • Google Workspace 계정이 해킹 의심으로 정지되며 이메일과 서비스 접근이 차단된 사건으로, DNS 인증으로 도메인 소유를 증명했음에도 복구가 지연됨
  • 단일 관리자 계정이 이메일·Drive·Calendar·급여·CRM 등 모든 업무 시스템의 인증 허브로 작동해, 정지 즉시 전사적 접근 불능 상태가 발생함
  • 해외 로그인 중 복구용 전화번호 삭제 후 잘못된 보안 알림이 발생하며 백업 코드와 패스키까지 무용지물이 되는 로그인 불가 사태로 이어짐
  • Google 지원팀의 30일 대기 절차와 반복된 티켓 혼선으로 복구가 지연되고, 커뮤니티와 SNS를 통한 문의에도 “기다리라”는 답변만 받음
  • 40시간 이상 업무가 중단된 뒤 Google 직원의 개입으로 복구되었으며, 단일 계정 의존이 비즈니스 연속성에 치명적 위험임이 드러남

Google Workspace 계정 정지로 인한 업무 마비 사례

  • Google Workspace 계정이 ‘해킹 의심’으로 정지되며 이메일 접근이 차단된 사례

    • 실제로는 해외 출장 중 본인이 로그인한 것이었으나, Google이 이를 계정 탈취로 오인
    • DNS 인증을 통해 도메인 소유권을 증명했음에도 이메일 송수신이 모두 중단됨

  • 단일 관리자 계정이 모든 서비스의 인증 허브로 작동

    • 이메일, Drive, Calendar, 급여 시스템, CRM(Pipedrive), 작업 관리 앱, 내부 시스템 등이 모두 Google OAuth에 의존
    • 계정 정지 즉시 모든 서비스 접근이 차단되어 전사적 업무 중단 발생

  • 문제 발생 경위

    • 4월 4일 오전 5시경 해외 출장 중 SMS 인증을 피하기 위해 복구용 전화번호를 삭제
    • 직후 ‘인증 앱이 제거되었다’는 잘못된 보안 알림이 발생하며 로그인 불가 상태로 전환
    • 백업 코드, 패스키, 로그인된 기기 모두 인증 수단으로 작동하지 않음

  • 복구 시도와 Google 지원의 혼선

    • DNS CNAME/TXT 레코드 인증을 완료했으나, 복구 이메일 절차는 30일 대기 필요
    • 다른 Workspace 계정으로 지원 요청했으나 로그인 필요 링크만 제공되어 진행 불가
    • 여러 지원 담당자 간 티켓이 중복·폐쇄·재개되는 혼란이 반복
    • 커뮤니티 포럼과 X.com을 통한 문의에도 “기다리라”는 답변만 반복됨

  • 업무적 피해와 경과 시간

    • 40시간 이상 복구 지연으로 급여 처리, Google Meet 회의, 비즈니스 협상 일정이 모두 중단
    • 개인 이메일로 일부 업무를 대체했으나, 업무용 계정과의 분리 유지 필요로 한계 존재

  • 추가 업데이트

    • Update 1: MX 레코드를 다른 메일 서비스로 변경 가능하지만, 기존 이메일·캘린더 복구 불가
    • Update 2: Google 지원팀의 “1~2시간 후 업데이트” 약속이 반복되었으나 해결 지연
    • Update 3: Google 직원의 직접 개입으로 최종 로그인 복구 성공

사건 이후의 교훈 및 커뮤니티 반응

  • Hacker News 사용자들은 국가 변경, 복구 전화번호 삭제, MX 미변경 등 복수의 위험 신호가 동시에 발생한 점을 지적
  • 작성자는 국가 변경 후 6일간 동일 IP에서 정상 사용 중이었으며, 전화번호 삭제가 직접적인 원인으로 작용했다고 설명
  • MX를 Fastmail이나 Protonmail로 변경할 수 있었지만, 기존 이메일·캘린더·OAuth 로그인 문제로 실질적 대안이 되지 않았음
  • 2단계 인증, 패스키, 백업 코드, 복구 이메일, 동일 기기 접근권을 모두 보유했음에도 복구 실패
  • 단일 Google Workspace 계정에 대한 과도한 의존이 비즈니스 연속성의 심각한 리스크로 드러난 사례임

함께 보면 좋은 글 β

GN⁺ 4시간전  [-]
Hacker News 의견들

  • Google이 과거에는 ‘덜 악한 빅테크’ 로 보였지만, 실제 고객 지원 경험은 끔찍했음
    Pixel을 구매했는데 약속된 1년치 Gemini AI Pro 구독을 받지 못했고, 고객센터는 아무 해결도 안 해줬음
    친구도 같은 문제를 겪었고, Google One 요금제 변경 과정에서도 비슷한 무대응을 경험했음
    이제는 수백만 달러를 쓰지 않는 이상, Google 서비스를 선택할 이유를 모르겠음

    • Pixel 6a를 샀는데 배터리가 400회 충전 후 망가졌음. Google이 100달러 보상하겠다고 했지만 서류 다 제출하고도 돈을 못 받았음. Google 최악임
    • Google은 예전부터 다른 빅테크와 똑같이 ‘악한 기업’ 이었음. “Don’t be evil”은 단지 PR 문구였음
      2008년쯤 Blogspot 버그 문제로 문의했을 때, ‘다이아몬드’ 자원봉사자에게 무시당했음. 실제 지원팀에 접근할 방법이 없었음
    • 이런 경우 소액재판(small claims court) 으로 해결할 수 있을지 궁금함. 소비자가 계약 위반에 대응할 수 있는 현실적인 방법인지 알고 싶음
    • 내 Adsense 계정이 13년 동안 정지되어 있었는데, 이유도 모른 채 해제됨. 아마 경쟁자가 가짜 클릭을 보냈던 것 같음
    • Google은 이미 10년 전, 사용자 데이터로 광고를 하지 않겠다는 약속을 깼음
      Google’s broken privacy promise 기사에 따르면, Gmail 등 서비스에서 얻은 정보를 광고 데이터와 결합하지 않겠다는 조항을 삭제했음

  • “클라우드 제공자가 계정을 차단해 모든 걸 잃었다”는 기사가 또 나왔음
    Google뿐 아니라 Amazon, Microsoft, Apple 등 클라우드 서비스에 의존하는 사람은 계정 정지 대비 계획을 세워야 함
    중요한 데이터를 맡기고 있다면, 백업이나 대체 수단이 필수임

    • 예전에 누군가 “30초 안에 떠날 수 없는 클라우드 서비스엔 정 붙이지 말라”고 했음 — Robert De Niro 인용
    • 우리 회사는 Google Workspace 백업용으로 Cubebackup을 사용 중임
      SaaS 서비스 외부에 복원 가능한 ‘external backup’ 을 두는 게 생각보다 어렵지만 꼭 필요함
    • 이런 경고는 HN에서 가장 자주 나오는 말 중 하나임. “Claude Code 안 쓰면 뒤처진다” 다음으로 흔함
    • Google이 특히 문제인 이유는, 기술 지식이 없는 일반인들이 유일한 이메일 계정을 잃고도 복구 방법을 전혀 모른다는 점임
    • 이런 사태는 마치 “임대한 건물에서 쫓겨나고 짐까지 버려진” 상황과 같음. 결국 법을 고쳐야 함

  • “Login with Google/Apple/Facebook” 기능은 가능하면 쓰지 말아야 함
    단일 실패 지점이 생기기 때문임. 가능하면 자체 로그인 시스템을 쓰는 게 안전함
    전직 Googler로서, 내부 접근권이 있을 때만 Gmail을 썼고 퇴사 후 Gmail도 버렸음

    • 독일의 eIDAS 시스템이 Google이나 Apple 계정을 요구한다는 기사를 봤음. 국가 인증이 빅테크에 종속되는 셈임
    • 우리 앱도 Google/Facebook 로그인 기능을 제공하지만, 두 회사가 Selenium 같은 자동화 로그인을 막아서 E2E 테스트가 불가능함
    • Tailscale은 유일하게 서드파티 로그인만 제공하는 기업이라 이상하게 느껴졌음. 이유를 아는 사람?
    • Tailscale은 대신 커스텀 SSO를 무료로 제공

  • 나는 Buildhub 포럼의 자원봉사 시스템 관리자임
    10년간 Google 검색 상위에 있었는데, 2025년 12월 28일 갑자기 인덱스에서 사라졌음
    Google 포럼은 텅 비었고, 연락할 사람도 없음. Workspace 유료 사용자로서 백업 플랜을 진지하게 고민 중임

    • Google, Microsoft, Apple 포럼에는 무의미한 답변으로 포트폴리오를 쌓는 사람들이 많음
      일부는 Google HQ 초청을 노리고 시스템을 게임화하려는 듯함

  • 2013년 Google Glass 초기 사용자였음. 뉴욕 HQ에서 직접 교육받고, 24시간 대응하는 전담 지원 번호도 있었음
    기기를 두 번 부쉈는데도 무료로 교체해줬음. 예전엔 이런 고객 지원이 가능했음

    • 당시 우리는 사실상 자원 테스트 인력이었음. 제품이 다른 팀으로 넘어가면 관심이 사라지는 구조임
    • Glass 초기 8,000명과 수억 명의 Workspace 사용자를 비교하면 지원 품질 차이는 당연함
    • 그때의 무제한 교체 정책은 R&D 비용이었을 뿐, 자선이 아니었음
    • 예전에 Google Wifi 지원 번호로 전화했을 땐 바로 연결됐지만, 지금은 “지원 종료” 안내만 들림
    • Stadia 환불 때는 예외적으로 모든 결제 금액을 전액 환불받았음.
      Google의 고객 지원 품질은 제품 부서마다 천차만별임. Workspace는 특히 최악임

  • 이런 상황은 불법 수준임. 거대 기업들이 삶의 더 많은 부분을 장악하면서, 일반인은 점점 더 무력해지고 있음
    필수 서비스를 제공한다면 그에 맞는 책임을 져야 함

    • 인구의 1% 이상이 사용하는 클라우드 서비스는 도시마다 오프라인 고객센터를 의무화해야 함
      통신사처럼 매장마다 직원이 있어야 하며, Google은 충분히 감당 가능함
    • 정부 차원의 빅테크 민원 창구가 필요함
    • “Exerting power” 대신 “Excreting power”라니, 표현은 틀렸지만 상상은 재밌음

  • 관리자 계정 복구 절차를 겪었는데, 보안 정책이 모순적이었음
    수동으로 계정을 풀어줬는데도 여전히 삭제된 번호로 SMS 인증을 요구했음
    보안키나 TOTP를 추가해도 여전히 SMS가 필수였음. 번호가 탈취되면 끝임

    • 내 Gmail 계정도 예고 없이 2FA가 강제 활성화됨.
      아이디, 비밀번호, 복구 이메일 다 있어도, 없는 번호로 SMS 인증을 요구해서 로그인 불가
      Meta는 돈을 주면 해결해주는 사람이라도 있는데, Google은 전혀 없음

  • Google Workspace를 엔터프라이즈급 운영팀 없이 쓰면, 관리자 계정 하나가 단일 실패 지점이 됨
    인증 루프에 빠져 모든 수단이 막혔고, 여러 번 법적 조치 위협을 한 끝에 사람과 통화해 해결했음

  • 글쓴이가 해킹당했을 가능성도 있음. OTP 기기나 DNS 접근권은 탈취했지만 전화번호는 못 가져갔을 수도 있음
    이런 상황에서 본인임을 증명할 방법이 없음. 여권을 들고 직접 방문해 인증할 수 있는 오피스가 있으면 좋겠음

    • 정부 신분증을 선택적으로 등록할 수 있는 옵션이 있으면 좋겠음
      미국의 login.gov처럼 우체국에서 신분 확인을 하는 모델이 흥미로움
      다만 상업적으로는 구현이 어렵고, 온라인 신원 인증 의무화 흐름은 거부감이 큼
    • 만약 이 사용자가 실제로 해킹당했다면, Gmail 계정 복구는 불가능함
      Google은 누가 옳은지 판단하기보다 계정을 차단해버림

  • 믿기 어렵지만, Microsoft(Office365)는 실제로 전화로 연결되는 지원팀이 있음
    UI는 끔찍하지만 문제는 결국 해결해줬음

    • Azure는 자동화가 엉망이라 수천 명의 계약직이 수동으로 문제를 고친다는 기사도 있었음
      하지만 덕분에 실제로 문제를 해결할 사람이 많다는 장점도 있음
      관련 기사: HN discussion
답변달기