등급 분류 실무 절차

 

데이터 등급 분류 실무

 

데이터 등급 분류 프로그램(체계)은 보안 관리자가 정의하는 것이 바람직하다. 조직이 보유한 데이터의 구성과 특성을 고려하여 가장 효과적이면서 효율적인 정보보호 수준이 결정될 수 있도록 해야 한다. 각 데이터의 보안 등급을 결정할 책임은 데이터 소유자에게 있다. 소유자는 데이터에 대한 보호 책임을 가지며 데이터의 가치와 리스크를 가장 잘 알기 때문이다. 하지만 데이터는 대부분 데이터 관리인(custodian)에 의해 보관되고 관리되기 때문에 보안 등급에 따라 데이터 보호 실무는 관리인이 수행하는 것이 적절하다.

 

등급 분류 프로그램의 개발과 활용

데이터 등급 분류 프로그램을 개발할 때는 데이터의 유용성과 가치, 리스크, 책임과 의무, 보호 기간을 고려해야 한다. 또한, 등급 분류 체계는 가능한 최소한의 분류 체계로 단순화하는 것이 좋다. 다만, 같은 등급에 속한 데이터의 가치나 리스크가 지나친 편차를 가지지 않도록 유의한다. 다시 말해, 같은 등급 내 데이터가 과소 보호 또는 과대 보호되는 정도가 지나치게 크지 않도록 해야 한다는 말이다. 이러한 사항들과 조직의 특성을 고려하여 데이터 등급을 분류한다.

① 보안 관리자는 조직이 적용할 데이터 등급 분류 프로그램을 정의한다.
② 프로그램을 개발할 때는 다음과 같은 요소를 고려한다.
☞ 유용성 및 가치: 데이터가 비즈니스에 제공하는 편익 및 조직의 경쟁력에 기여하는 정도
☞ 리스크: 데이터가 무단으로 공개, 수정, 손상될 경우의 잠재적 손실 및 손실 발생 가능성
☞ 책임과 의무: 데이터 보호와 관련한 법규 및 계약상의 책임
☞ 보호 기간: 데이터의 법적 보존 기간 또는 내외부 규정에 의해 정의된 만료 기간
☞ 단순성 및 최소성: 가능한 최소한의 분류 등급으로 구성하고 단순하게 유지
③ 분류 레벨과 분류 기준을 명확히 정의해야만 객관적이고 일관성 있게 적용할 수 있다.
④ 높은 등급으로 분류되는 데이터가 너무 많으면 보안 비용이 증가하기 때문에 임의로 데이터의 등급 임의로 높게 부여하지 못하게 해야 한다.
☞ 단, 조직의 설립 목적과 보안 노출에 대한 이해관계자의 태도를 고려한다.
⑤ 정부·군사 조직은 법규에 규정된 특정한 등급 분류 프로그램을 사용해야 할 수 있다.
예) 국내 군사기밀보호법 등에 따른 군사 기밀을 분류 체계를 요약하면 다음과 같다.

구분	설명
1급 비밀 (Top Secret)	• 공개되면 안보에 치명적인(fatal, grave) 피해를 줄 수 있다. 예) 비밀 군사 동맹 조약, 전쟁 계획, 전략 무기 개발 및 운영 계획
2급 비밀 (Secret)	• 공개되면 안보에 현저한(significant, serious) 피해를 줄 수 있다. 예) 비밀 군사 외교 활동, 전략 무기 사용 지침서, 암호화 프로그램
3급 비밀 (Confidential)	• 공개되면 안보에 상당한(substantial, some) 피해를 줄 수 있다. 예) 전산 보호 소프트웨어, 장성급 부대 지휘관의 인물 첩보
군사 대외비 (Restricted)	• 공개되도 안보에 피해를 줄 정도는 아니지만 대외적으로 파문을 일으키거나 껄끄러운 상황을 유발할 수 있다. 예) 병영 생활 기록부, 군부대 식단, 야전교범(field manual) • For official use only, Sensitive but unclassified라고도 한다.
평문 (Unclassified)	• 위의 등급에 속하지 않으며 비밀이 아니므로 공개해도 무방하다. 예) 일반 컴퓨터 사용 매뉴얼, 대외 홍보 및 행사 자료, 보도 자료

⑥ 민간 조직은 법률에 의해 강제되는 프로그램이 없으므로 조직의 필요와 특성에 맞게 자체적으로 개발하여 사용한다.
예) 민간 조직은 다음 예시와 같은 분류 체계를 사용할 수 있다.

구분	설명
대외비 (Confidential)	• 공개되면 조직에 심각한 영향(serious impact)을 줄 수 있다. 예) 영업 비밀, 프로그램 소스 코드, 전략적 인수·합병 계획
개인정보 (Private)	• 공개되면 해당인에게 부정적인 영향(adverse impact)을 줄 수 있다. 예) 고객의 개인정보, 임직원의 인사나 근무 및 의료 정보
민감 (Sensitive)	• 일반적 수준 이상의 기밀성과 무결성이 요구되기 때문에 무단 접근이 없도록 특별한 주의가 필요하다. 예) 재무 정보, 프로젝트 상세 정보, 시장 상황 분석, 예상 매출액
공공 (Public)	• 누설되더라도 조직이나 개인에게 부정적 영향을 끼치지 않는다. 예) 조직의 연혁, 임직원 수, 사업자 번호, 회사 연락처

⑦ 등급 분류 프로그램을 적용하여 데이터를 분류할 때 사용자들이 참여하는 것이 좋다.

데이터 등급 분류의 적용

데이터에 대한 정보보호는 수행 주체 및 관련 책임에 따라 데이터 소유자와 관리인으로 구분할 수 있다. 데이터의 소유자와 관리인이 정보보호와 관련된 책임과 권한을 정확히 이해하고 충실히 이행할 때 최적화된 정보보호가 가능하다.

① 데이터 소유자(Owner): 데이터 등급 분류 레벨을 결정할 책임이 있다.
② 데이터 관리인(Custodian): 분류 레벨에 맞게 데이터 보안을 유지할 책임이 있다.
③ 데이터 집합(set) 또는 항목(item)별로 데이터 소유자와 관리인을 지정해야 한다.

데이터 소유자	데이터 관리인
• 정보 자산의 보호에 대한 궁극적 책임 • 정보 자산의 구매 및 폐기에 대한 권한 • 자산을 빠짐없이 식별하고 목록을 관리 • 데이터 접근 권한 부여 정책을 수립 • 관리인을 지정하고 관리 지침을 제공 • 자산의 보호 상태를 주기적으로 검토	• 정보 자산의 보호를 위한 실무 수행 • 데이터 백업과 복구 대책의 수립 및 적용 • 소유자의 정책 및 지침 준수 • 데이터 접근 권한을 부여하고 회수 • 정보 자산을 보호하기 위한 대책 시행 • 자산 보호 성과에 대한 보고 및 해명