정보보호 2번째 이야기는 데이터의 분류입니다. 중요 데이터를 탐지했으면 이제는 잘 정리하고 분류해서 필요할 때 쉽게 찾고 이용할 수 있게 만드는 작업이 필요합니다. 그리고 탐지 및 분류된 데이터를 안전하게 보호하기 작업을 진행하기 위해 분류 단계가 필요합니다.
그림 1) 정보보호 4단계 라이프 사이클
중요도에 따른 데이터 분류와 레이블 적용
설정된 기준에 따라 중요(민감)한 정보들이 탐지되었다면, 두 번째 단계는 데이터 “분류” 작업입니다. 데이터 분류 기준 역시 기업마다 다르겠죠. 탐지된 중요 항목이 많다면, 데이터 속성이나 등급도 세분화될 가능성이 높습니다. 예를 들어, 탐지된 데이터를 1~5등급까지 나눈다고 가정하죠. 1등급 데이터는 주민번호, 의료보험번호와 같이 평생 이용되는 개인식별자로 정하고 아무도 이용할 수 없는 수준으로 차단 및 관리합니다. 다음으로 고객 배송지 주소 데이터는 회사 내부 상품 관리팀, A/S팀, 감사팀 및 외부 배송 업체들과 공유가 필요하기 때문에 4등급으로 설정할 수 있습니다. 많은 경우, 개인식별정보는 최고 등급으로 분류해 관리하지만, 일부 데이터는 업무 특성과 필요에 따라 중요도와 분류 체계가 달라질 수 있습니다.
그림 2) 데이터 분류
데이터 분류 방법
데이터 분류 방법은 다음과 같이 나눠집니다:
1. 자동 분류: 데이터 분류 및 보호 작업을 자동 실행하는 정책을 설정해서 운영하는 방법.
2. 권고 분류: 작업 대상 콘텐츠의 속성에 따라 추천 분류 항목을 물어보는 팝-업창을 표시해주는 방법.
3. 수동 재분류: 이미 설정된 분류 체계를 재정의 (override) 할 수 있고, 필요에 따라 변경 사유를 표기하는 방법.
4. 사용자 정의 분류: 사용자가 작업 중인 이메일 또는 파일 중요도를 직접 선택하고 항목을 분류할 수 있는 방법을 정의하는 방법.
그림 3) 중요도에 따른 데이터 분류
데이터 레이블링이란?
두 번째 단계인 데이터 분류를 설명하면서 레이블링이란 단어가 자주 나왔죠. 레이블링은 사용자가 문서의 중요도를 알게 하는 방법으로 정의합니다. 예를 들어, 문서 상단에 “1급 비밀”이라고 표기되어 있다면, 사용자는 해당 문서가 외부 유출이나 공유가 불가능한 중요 자료라는 것을 알게 됩니다. 따라서 나중에 이런 사실을 몰랐다고 변명할 수 없겠죠.
기술적으로 보면 다음과 같습니다: 레이블은 중요 데이터로 분류된 파일에 기록되어 있는 메타 데이터 정보를 의미하며, 이 정보는 항상 파일과 함께 이동하게 됩니다. 그리고 레이블링은 일반 텍스트 형식이라 데이터손실방지 (DLP: Data Loss Protection)엔진 등의 다른 시스템에서도 정보를 읽을 수 있는 호환성을 갖고 있습니다. 레이블링 목적은 데이터 보호 및 데이터 통제를 위한 기능적 수단을 확보하는데 있습니다. 예를 들어, 1등급으로 레이블링된 문서는 반드시 DRM 및 암호화를 적용하는 정책을 실행하는 거죠.
그림 4) 데이터 레이블링
레이블링 장점
그럼 레이블링 장점은 무엇일까요? 첫째는 데이터가 저장된 위치에 상관 없이 데이터 보호가 가능하다는 점입니다. 기업이 중요(민감)데이터로 분류한 정보 자산이 어느 위치에 저장되어 있던, 해당 데이터를 DRM, 암호화, 사용 권한 제어 등으로 보호하고 데이터손실방지(DLP) 및 관리자 통보 같은 능동적 보호 정책을 적용하는 출발점이 됩니다.
그림 5) 레이블링을 통한 위치에 상관 없는 데이터 보호
두 번째 장점은 오피스 365 저장 파일의 데이터 통제입니다. 혹, 오피스 365를 사용하시나요? 그럼 이 부분이 더 매력적일 겁니다. 데이터 분류 및 레이블은 오피스 365 익스체인지 온라인 (이메일), 쉐어포인트 온라인 및 비즈니스용 원드라이브 공간에 저장된 데이터에 대한 다양한 정보(예: 만료 시점, 보존 및 삭제 여부, 사용자 권한 등)를 이용해 오피스 365를 사용하는 조직의 데이터 통제 수준을 강화합니다. 오피스 365에 저장된 파일 보안 등급, 보관 및 삭제 여부, 사용자 및 허가 권한 등을 정확히 관리할 수 있게 때문에 데이터 통제 효율성이 극대화되는 것이죠.
데이터 분류 정책 및 사용자 정의
이번에는 데이터 분류 정책에 대해 이야기해 보죠. 분류 정책 조직(부서)를 기준으로 한 분류, 데이터 저장 위치 기반 분류 등으로 나눌 수 있으며, 업무 특성 및 필요에 따라 사용자가 정의해서 사용하는 방법도 가능합니다. 간단히 살펴 보겠습니다:
1) 특정 그룹 또는 부서 단위 분류 정책
해당 그룹이나 부서에 속한 인원만 볼 수 있도록 적용하는 방법으로 사업 방식 및 속성이 사업부 및 팀단위로 명확히 구분되거나 부서간 업무 연관성이 없을 때 주로 이용하는 방식입니다.
2) 데이터 저장 위치를 이용한 분류 정책
익스체인지 온라인, 쉐어포인트 온라인 혹은 클라우드 스토리지 (예: 비즈니스용 원드라이브) 같이 데이터가 저장된 위치를 기준으로 분류하는 정책입니다. 이 방식은 규모가 작거나 부서간 업무 연계성이 높은 조직 (예: 금융권 기업처럼, 고객의 여신, 대출 및 신용 평가 정보가 부서간 계속 공유 및 교차 이용되는 특성을 가진 경우)에서 많이 이용합니다. 하지만, 조직과 업무 복잡도가 높은 경우에는 1번과 2번을 혼합해 활용하기도 합니다.
3) 사용자 정의 (레이블 스키마 및 설정) 분류 정책
필수 및 기본 레이블 그리고 하위 레이블 등을 업무 요건이나 사용자 필요에 따라 만들어서 사용하는 방법입니다.
데이터 분류 및 레이블링 예제
오피스 365데이터 분류 방법 및 예제 그림 하나를 설명하면서 “정보보호 분류” 정리하겠습니다.
그림 6) 민감 데이터 예제 화면
그림 6은 중요(민감) 데이터로 레이블링된 사례 화면입니다. 사례의 데이터는 “Confidential (중요 비밀)”등급으로 분류되어 있습니다. 오피스 365 서비스는 저장된 데이터를 인공지능 엔진이 기계학습 (Machine Learning)으로 데이터 분류 체계를 인식 및 판단합니다. 데이터 분류를 영어 (예: Confidential, classified)로 하면 학습이 많이 되어 있어, 적용 기간이 더 짧을 수 있습니다.
이번에는 오피스 365 데이터 분류 방법을 살펴보겠습니다. 오피스 365 포털에 로그인한 다음 “보안 및 준수”로 들어가면 다음 화면을 볼 수 있습니다.
그림 7) 오피스 365 데이터 거버넌스(통제) 메뉴 화면
위 화면의 ” 데이터 거버넌스 도구 상자 열기”링크를 클릭하면 다음 화면으로 이동하게 됩니다.
그림 8) 데이터 레이블링 작업 화면
위 화면에서 본격적으로 데이터 분류, 사용 및 접근에 대한 세부 사항들을 정의할 수 있습니다. 맨 위 레이블 만들기 링크를 클릭하면, 레이블링 작업 화면이 나오고 세부 내용을 정의합니다.
그림 9) 데이터 레이블링 정의 화면
그림 10) 데이터 레이블 설정 정의 화면
레이블 설정에서는 해당 데이터의 보존 여부, 보존 기간 및 필요 작업 (삭제, 처리 검토, 보존) 등을 정의할 수 있습니다.
보안 위험 증가와 각종 규제 증가로 정보 자산 보호에 대한 압력은 계속 증가하고 있죠. 피할 수 없는 현상으로 이해할 수 있습니다. 하지만, 이런 상황을 기업이 혼자 대응하는 데는 많은 어려움이 따릅니다. 안전한 정보보호 그리고 이를 위한 수준 높은 보안 확보를 위한 현명한 전략은 오피스 365같은 클라우드 서비스로 전환하는 것이죠.
Microsoft 365 알아보기: https://cloud.gowit.co.kr/microsoft-365/
Microsoft 365 및 클라우드 도입 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.