4. DB 정보 분류

DB 정보에 대한 분류는 DB 보안 정책을 수립하는데 있어서 가장 핵심이 되는 사안으로 이를 통해 반드시 보호해야 할 데이터를 식별하고 역량을 집중할 방향을 가늠할 수 있다. DB정보의 분류는 주로 유출되었을 경우의 영향도를 고려한 민감성을 토대로 이루어지며, 분류된 정보 중에는 특정 그룹의 사람들에 대해서 법이나 규정으로 접근이 제한되는 민감 한 정보가 포함된다.

이렇게 분류된 데이터에 접근하기 위해서는 공식적인 보안 인가가 요구되며, 일반적으로 민감성을 몇 단계로 나눠서 인가 요건을 차별화 한다. 이러한 방식의 보안 분류 체계는 매 우 일반적인 방법으로, 사실상 전세계 모든 국가의 정부가 사용하고 있는 방식이다. DB 정보 분류는 DB 내에 저장된 데이터에 대해 민감성 수준을 할당하는 것으로, 데이터 분류(Data Classification)라고도 부른다. 민감한 정보로 인해 발생할 수 있는 위험을 최 소로 하는 것을 목적으로 하여 등급을 분류한다.

데이터를 분류하는 체계는 목적과 상황에 따라 조금씩 차이가 있으나 일반적인 예를 들면 다음 표와 같다.

조직마다 나름대로의 분류 체계를 가지고 보호 대상 데이터를 분류하겠으나 일반적으로 앞의 표와 같은 일반적인 분류를 크게 벗어나지는 않는다. 그러나 분류에 있어서 애매한 표현이 분류 기준으로 사용되기 때문에 실무에서 분류를 수행하는 것이 용이하지 않은 경 우가 많다. '심각한 손해' 와 같은 표현을 각자의 상황에 맞게 구체적으로 정의하는 것이 실무에서 분류를 용이하게 하는 방법이 될 수 있을 것이다.

가. DB 정보 분류의 목적

데이터를 분류하는 목적은 명백하게 조직의 보안에 손상을 입히거나 위험에 빠트리는데 사용되는 행위나 상황 등 모든 것으로부터 정보를 보호하기 위한 것이다. 분류는 정보가 잘못 취급되었을 때 발생할 수 있는 예측 손실을 토대로 서로 다른 보호 수준을 설정하고 안정적인 보안에 기여하는 것을 가능케 한다.

즉, DB 정보 분류는 DB 내에 저장된 정보에 대해 보호할 대상을 중요성 또는 민감성에 따 라 분류하여, 각각의 중요도에 따라 보호 방법에 차등을 두는 것을 말한다. 일반적으로 기 업에서는 공개자료, 대외비, 기밀 등으로 구분하기도 하며 최근에는 개인정보를 취급하는 조직의 경우 개인정보를 보호 대상에 포함한다.

나. DB 정보 분류의 구성

1) DB 정보 분류의 책임

일반적으로 DB 정보를 분류하는데 고려되는 요소는 민감성이나 중요도이다. 민감성은 정 보가 유출되었을 때 그 영향이나 파장의 크기를 고려하는 관점으로, 주로 기밀성 측면을 강조한 것이고, 중요도는 정보가 갖고 있는 가치의 관점으로, 주로 무결성 측면을 강조한 것이다.

이들을 고려한 DB 정보의 분류 책임은 데이터 오너에게 주어진다. 즉, DB 내에 저장되는 정보 또는 데이터에 대해 민감성이나 중요도 등을 판단하여 적절한 분류를 할당하고 이에 맞는 보호 수준을 정의하고 보안 담당자에게 요구하는 책임이 데이터 오너에게 있다.
데이터 오너는 이러한 분류 근거를 판단하는데 있어서 다음 그림과 같이 DB 보안 기본 요 소인 기밀성, 무결성, 가용성을 고려하고 이에 대한 보안 요건을 식별하여 이를 토대로 위 험도를 평가한다. 잊지 말아야 할 것은 이와 같은 판단에 근거한 정보의 분류가 영구적이 지 않고, 변할 수 있다는 것이다.

2) 분류 기준

데이터 분류는 앞의 그림에 표현된 것과 같이 각각의 보안 목적(기밀성, 무결성, 가용성) 에 대해 영향도(저, 중, 고)의 수준을 평가하여 적합한 수준을 할당한다. 이러한 개념은 다 음 그림과 같은 형태로 표현할 수 있다.

보안 목적 별로 영향 수준은 저, 중, 고로 평가하며, 이 영향 수준들은 정보 자산 손실, 자 산이나 대중 이미지의 도난 또는 변조 등에 따른 잠재적 영향에 기초한다. 영향 수준에 대 한 정의는 다음 표와 같다.

3) 분류 수준 평가 및 분류 등급 구분

보안 정책 수립이나 위험 평가에서 보안 대상 데이터를 분류하는 기준은 다음과 같이 보호 대상 자산(데이터)별로 총 영향도를 산정하여 사용한다.

총 영향도 = [(기밀성, 영향도)+(무결성, 영향도)+(가용성, 영향도)]

등급 구분을 위한 구체적인 방안은 다음 표와 같이 3점 분류 방식을 적용하여 각 영역별 영 향도 점수를 결정한 후, 이를 합산하여 [수식 2-1-1]과 같이 총 영향도 점수를 산정하고, 이렇게 얻어진 총 영향도 점수에 따라 분류 등급을 결정한다.

가) 기밀성 분류

DB 정보에 대한 기밀성 영향 수준은 다음 표와 같이 정의할 수 있다.

나) 무결성 분류

정보의 무결성을 고려할 때 가장 중대한 위험은 변경된 정보에 기초해서 어떤 판단이 이루 어지거나 행위가 이루어질 때, 또는 변경된 정보가 다른 조직이나 공공에 배포될 때 발생한 다. 이와 같은 관점에서 정보의 무결성에 대한 영향 수준은 다음 표와 같이 정의할 수 있다.

다) 가용성 분류

정보의 가용성 영향 수준에 따른 분류는 다음 표와 같이 정의할 수 있다.

라) DB 정보 분류 등급 구분

기밀성, 무결성, 가용성 등의 영역별로 영향 수준을 평가하고 이를 반영하여 [수식 2-1- 1]과 같이 총 영향도를 계산하면 3~9의 스코어를 얻게 되며, 이 스코어 수준에 따라 다음 수식와 같이 영향도에 따른 등급 분류를 산정하면 `1 ~ 5등급의 분류 스코어를 얻을 수 있 다. [표 2-1-7]은 이렇게 얻은 DB 정보 분류를 정의한 것이다.

2) 외국의 정보 분류 사례

미국의 경우 정보가 다음과 같은 3 계층의 하나에 할당되었다면 'Classified'라고 부른다.

■ Confidential
이것은 정부가 획득한 정보의 가장 낮은 분류 수준이며, 대중에 노출되었을 때 국가 보 안에 손상을 줄 수 있는 정보로 정의된다.
■ Secret
이것은 두 번째로 높은 분류이며, 유출되었을 때 국가 보안에 중대한 손상을 유발할 수 있는 정보를 Secret으로 분류한다.
분류된 대부분의 정보는 Secret 수준의 민감성을 갖는다.
■ Top Secret
이것은 가장 높은 보안 수준으로, 대중에 노출되면 국가 보안을 위태롭게 할 수 있다. 이상의 분류에 속하지 않는 정보는 "Unclassified information"이라고 부른다. “Declassified”(분류해제)라는 용어는 분류된 정보에 대해 그 분류가 제거되었을 때 사용된다. 또한“Downgraded”(등급격하)라는 용어는 더 낮은 분류 수준으로 할당되었으나 여전히 분류 정보로 유지되는 경우에 사용된다. 많은 보안 문서들은 자동적으로 등급이 격 하되고 다시 수년이 경과하면 등급이 해제된다. 미국 정부에서는 다음과 같은 용어를 사용하기도 한다.

■Sensitive But Unclassified (SBU)
■Sensitive Security Information (SSI)
■Critical Program Information (CPI)
■For Official Use Only (FOUO)
■Limited Distribution (LIMDIS) 또는 Law Enforcement Sensitive (LES) Confidential, Secret, Top Secret은 아니지만 배포에 여전히 제약이 있는 정보인 경 우에 해당함.

그러한 제약에 대한 이유에는 국가 보안 외에도 수출 통제, 개인정보보호, 법원의 명령, 진행 중인 범죄 수사 등이 포함될 수 있다. 분류되지 않은 정보는 분류된 정보를 취급하는 사람들의 관점에서 'Open Source'로 간주 되기도 한다.
호주의 경우는 다음과 같은 분류를 사용한다.
■Top Secret
■Secret
■Confidential
■Restricted
■UNCLASSIFIED
또한 영국의 경우는 다음과 같은 분류를 사용한다.
■Top secret
■Commercial in confidence
■Staff in confidence