데이터 등급 분류(Data Classification)

데이터 등급 분류

 

데이터는 조직의 중요한 정보 자산이므로 주의 깊게 보호해야 한다. 하지만 모든 데이터를 동일한 수준에서 보호하는 것은 비용 대비 편익(benefit)이 낮아질 수 있다. 예를 들어, 웹사이트에 이미 공개된 데이터는 기밀을 유지하기 위한 보호 대책이 필요하지 않다. 따라서 데이터의 가치와 정보보호 실패로 인한 리스크의 크기를 종합적으로 고려하여 차등적으로 보호할 필요가 있다. 이번 포스트에서는 데이터 등급 분류의 목적, 등급 분류 및 라벨링 관련 개념, 데이터 등급 분류 프로그램 개발 절차에 관해 설명하고자 한다.

등급 분류의 목적

데이터 등급 분류의 목적은 가치에 비례한 정보보호다. 가치는 일반적으로 정보보호로부터 얻어지는 편익 대비 정보보호를 위해 발생하는 노력과 희생으로 이해할 수 있다. 다시 말해, '가치 = 편익÷비용(노력, 희생)'으로 요약할 수 있다. 또는 정보보호 실패로 인해 발생하는 리스크를 기준으로 데이터의 등급을 분류할 수도 있다. 다시 말해, 정보보호 실패의 잠재적 손실을 예방하거나 완화하는 것을 정보보호의 잠재적 편익으로 보는 것이다. 따라서 리스크는 데이터 등급 분류의 또 다른 중요한 기준이 될 수 있다.

① 데이터의 가치와 리스크에 비례하여 정보 자산을 보호하기 위한 체계를 수립한다.
② 정보 보안 투자 비용이 편익을 초과하지 않도록 하여 보안 활동의 가치를 유지한다.
③ 각 정보 자산이 용인할 수 있는(acceptable) 수준 이상으로 위협에 노출되지 않도록 유의함으로써 경영진과 소유자가 정당한 주의(due care)의 의무를 이행하도록 돕는다.
④ 보험에 가입할 경우 적정 수준의 보험금과 보험료를 산정하는 기준으로 활용한다.
⑤ 각 데이터 항목에 적용되는 보호 기간, 보안 대책, 사용자 보안 인식 수준을 제시한다.

등급 분류 및 라벨링

데이터의 등급을 분류하는 기준은 민감성과 중요성인데, 각각은 기밀성과 가용성의 요구 수준으로 이해할 수 있다. 다시 말해, 기밀성 및 가용성이 손상되었을 때 조직이 입게 되는 잠재적 손실 또는 부정적 영향을 근거로 데이터 등급을 분류할 수 있다. 특정한 데이터의 등급을 분류한 다음에는 해당 등급을 명시하는 라벨을 부여하게 된다. 이를 보안 라벨이라고 하는데 보안 라벨은 (1) 보안 레벨, 즉 필요한 정보보호의 수준과 (2) 범주, 즉 해당 정보의 주제 영역을 포함한다. 따라서 데이터 보안 라벨은 정보가 가지고 있는 보안 레벨(기밀성 및 가용성 요구 수준)과 내용(주제 영역)에 근거한 정보보호를 가능하게 한다.

① 자산 보안(Asset Security): 유용하거나 가치 있는 데이터와 정보 및 이를 처리·저장하는 데 활용되는 하드웨어와 저장 매체에 대한 보안
② 데이터 등급 분류: 민감성(Sensitivity)과 중요성(criticality)을 종합적으로 고려하여 정보 자산에 요구되는 보호 수준(security level)을 결정하는 과정
☞ 데이터 등급 분류의 책임은 데이터 소유자(책임 부서의 장)에게 있다.
예) 인사 고과 데이터의 소유자는 일반적으로 인사 관리 부서의 장이다.
③ 보안 라벨(Security Label): 부여된 보호 수준에 맞추어 해당 정보 자산을 보호하는 도움이 되는 정보를 담은 표식으로서 최소한 보안 수준과 범주로 구성된다.

보안 라벨에 포함되는 최소한의 정보 = 보안 레벨×범주

☞ 보안 레벨(Security Level): 각 자산 항목에 하나씩만 부여한다. 예) 신제품 개발 계획 → 대외비
☞ 범주(Category, compartment): 내용에 근거하여 분류한 범주로서 각 자산 항목에 하나 또는 복수로 부여된다. 예) 신제품 개발 계획 → 경영 전략, 마케팅 활동 
④ 등급 표시(Labeling): 각각의 정보 자산에 보안 라벨을 표시하는 과정
☞ 라벨은 저장 매체 외부에 물리적으로(예: 스티커로 부착하거나 펜으로 표기) 표시하거나 매체 내부에 전자적으로(예: 전자 파일의 헤더에 기록) 표시할 수 있다.

민감한 데이터

민감한 데이터란, 무단으로 공개되었을 때 정당한 소유자 및 이해관계자들에게 부정적 영향을 줄 수 있는 데이터를 총칭한다. 민감한 데이터에는 개인 식별 정보, 개인의 건강 정보, 독점적으로 사유하는 데이터 등을 포함한다.

① 민감한 데이터(Sensitive Data): 함부로 공개될 경우 조직의 이익, 경쟁력, 명성 및 신뢰, 대내외 이해관계자들과의 관계에 부정적인 영향을 줄 수 있는 모든 데이터다.
☞ 데이터의 민감성은 정보 보안 목적 중 주로 기밀성(condidentiality)와 관련 있다.
② 민감한 데이터는 대표적으로 다음을 포함한다.
☞ 개인 식별 정보(PII: Personal Identifiable Information): 단독으로 또는 다른 정보와 결합하여 특정 개인을 식별할 수 있게 해 주는 모든 유형의 정보
☞ 보호된 건강 정보(PHI: Protected Health Information): 특정인의 과거나 현재 또는 미래의 신체적, 감정적, 정신적 건강 상태를 알려 주는 모든 유형의 정보
☞ 독점 데이터(Proprietary Data): 조직의 경쟁력 유지에 도움이 되는 모든 데이터
※ 영업 비밀은 민감한 데이터이지만, 모든 지적 재산이 민감한 데이터는 아니다.

데이터 등급 분류 프로그램 개발 절차

데이터를 가치 및 리스크에 비례하여 효과적이고 효율적으로 보호하려면 조직에 가장 적합한 데이터 등급 분류 프로그램(체계)이 전제되어야 한다. 데이터 등급 분류 체계가 너무 정교하면 등급별로 데이터 보호 절차가 너무 다양해진다. 따라서 정보보호 프로그램의 개발 및 유지관리가 복잡해진다. 이에 비해 데이터 등급 분류 체계가 너무 단순하면 가치 및 리스크에 비례한 정보보호 원칙이 손상될 수 있다. 따라서 조직에 특화된 데이터 등급 분류 체계를 개발하는 것이 필요하다.

① 데이터 등급 분류 프로그램(classification program)을 정의한다.
☞ 데이터 등급 분류 프로그램: 각 정보 자산에 요구되는 보안 수준으로 체계적으로 정의하는 방법으로서 분류 레벨(levels)과 분류 기준(criteria)으로 구성된다.
② 데이터 집합(set) 또는 항목(item)별로 데이터 소유자와 관리인을 지정한다.
☞ 정보 자산 관리의 책임추적성(accountability)을 확립한다.
③ 각 보안 레벨에 요구되는 일련의 보안 대책 또는 보안 메커니즘을 지정한다.
☞ 보안 레벨이 높아질수록 요구되는 보안 수준도 비례적으로 높아져야 한다.
④ 기존의 등급 분류 프로그램을 적용하기 어려운 예외사항이 있다면 문서화한다.
☞ 그러한 예외사항을 수용할 수 있도록 등급 분류 프로그램을 수정할 수 있다.
⑤ 정보 보호 의무(custody)를 다른 데이터 소유자에게 이전하는(transfer) 방법을 수립한다.
☞ 조직 구조의 변경이나 합병 등의 사유로 소유권이 변경되어야 할 수 있다.
⑥ 데이터 분류 및 소유권 지정의 적정성을 주기적으로 검토하기 위한 절차를 수립한다.
☞ 변경 사항이 발생하면 데이터 관리인에게 전달한다.
⑦ 데이터 등급 해제(declassification) 절차를 수립한다.
☞ 법적 보존(retention) 기간 또는 관련 규정에 명시된 기간이 지나면 등급을 일괄 해제하거나 재평가하거나 폐기하는 절차가 필요하다.
⑧ 데이터 등급 분류 체계에 대한 보안 인식 교육을 수행한다.
☞ 등급별 데이터 보호 방법을 이해할 수 있도록 보안 인식 교육 프로그램과 연계한다.