마르크 안투안 무니에(Marc-Antoine Meunier) 가트너 시니어 디렉터 애널리스트

▲ 마르크 안투안 무니에
가트너 시니어 디렉터 애널리스트

[컴퓨터월드] 데이터 분류의 필요성에 대한 인식은 항상 있어 왔지만, 해결책을 구했던 많은 CISO(Chief Information Security Officer, 최고정보보안임원)들은 회의와 두꺼운 보고서 외에는 특별히 내놓은 것이 없었다. 오늘날 CISO들은 데이터 분류의 목적이 무엇인지 스스로에게 질문을 해 볼 필요가 있다.

데이터 분류를 위해서는 데이터를 큰 카테고리로 구분하고, 각 카테고리에 맞게 보안 프로파일을 적절히 사용·처리·적용할 수 있도록 기본 원칙을 수립해야 한다. 분류 체계, 방향 및 절차는 전체 이니셔티브의 범위 뿐 아니라 이를 위한 노력 정도와 자원의 양을 결정한다. 따라서 성공적인 데이터 분류 이니셔티브는 경영진의 지원, 사용자의 참여, 교육, 기술, 자금 지원 등을 필요로 하며 이는 초기 세팅은 물론 일상적인 운영과 장기적 유지보수에 모두 해당된다.


이해하지 못하면 사용하지 않는다
많은 기업들이 데이터 분류 계획을 수립할 때 지나치게 똑똑한 방식으로 하려고 하고, 비전문가 사용자들이 알 수 없는 용어들을 사용한다. 그러나 사용자가 분류 계획을 이해하지 못하면 그 계획은 무용지물이 되거나 사용하더라도 일관성이 떨어진다. 서로 다른 분류 체계를 식별하는 데 사용되는 용어가 유사어 또는 동의어 수준이라면 수정할 필요가 있다. 또 설명이 모호하다면 비즈니스 측면에서 각 분류 체계를 재정의해야 한다.

규정 준수 또는 지적 재산이 중요한 기업은 다음과 같이 간단한 세 가지 분류 방식에 기반해 데이터 분류 프로그램을 구현해야 한다.

■ 공개용 - 대외용 공식 웹사이트나 소셜미디어 피드, 다양한 제품 자료 등 외부 커뮤니케이션 수단에 게시되는 데이터.
■ 내부용 - 내부용으로만 사용되는 데이터로, 반복적인 비즈니스 커뮤니케이션과 일상 과정 중에 생성된 데이터.
■ 기밀용 - 특별한 취급 절차가 필요한 민감한 데이터로 규제, 지적 재산, 비공개 정보 등의 데이터.

추가 분류를 만들고 싶을 경우 표준 운영 절차, 메타데이터 태그, 암호화, IAM, DLP와 같은 도구를 사용해 데이터 구획화를 생성해야 한다. 이러한 제어 계층화 방식은 부서 또는 사업부단에서 제한적인 배포를 쉽게 생성하면서, 보편적으로 적용할 수 있는 데이터 분류 및 처리 방침을 유지할 수 있다.


분류를 넘어 데이터 자체를 볼 것
많은 기업들의 데이터 분류 계획이 실패하거나 중단되는 이유는 데이터의 특성과 사용 패턴에 대한 이해 없이 실행하려고 하기 때문이다. 데이터 분류 작업을 위한 기술 구현 측면에서 이러한 요소들을 제대로 파악하는 것은 매우 중요하다.

데이터 분류 자동화에 사용되는 도구는 데이터 자체 또는 데이터의 수명주기와 관련된 컨텍스트를 기반으로 분류를 결정하고 할당하는데, 이는 분류 과정에서 오류를 줄이는데 있어 중요하다. 데이터 담당자들을 참여시키고 분류 자동화를 위한 초기 전략을 도구 선택 과정의 일부로 포함해야 한다. 이렇게 함으로써 평가 프로세스가 특정 사례를 위한 도구의 정확성을 제대로 테스트할 수 있게 된다. 또한 기술 제한 요소들을 고려해 기대치와 프로세스를 조정해야 한다.


데이터 분류와 데이터 보안은 다르다
종종 데이터 분류 계획이나 프로세스를 구현할 때 잘못된 보안 인식을 갖는 경우가 많다. 분류는 라벨에 불과할 수도 있고, 데이터 아이템에 연결된 추가적인 메타데이터에 불과할 수도 있다. 중요한 것은 사용자나 시스템이 이 분류 정보로 무엇을 하는지다. 이를 간과한다면 추가적인 보호를 받을 수 없다.

분류는 조직이 들인 노력과 우선순위에 비례해서 효과를 발휘한다. 일반적으로 데이터 분류 관련 교육에 충분한 자금을 지원하지 않는 경우가 많은데, 이는 이해와 실현이 저조해지는 결과로 이어진다. 안타깝게도 도구를 통해서는 이러한 단점들 중 일부만을 보완할 수 있으며, 분류 프로세스의 성숙도를 달성하지 못한 초기 단계에서만 효과적이다.

장기적으로 결국 외면당하는 데이터 분류 정책을 갖추고 있다는 것은 데이터 분류 정책이 없다는 것과 같은 말이다. 원하는 가치를 창출하기 위해서는 새로운 프로젝트를 도입하는 것이 데이터를 정상화하고 정리하는 유일한 방법이 될 수 있다.


분류는 시간이 지나면서 변할 수 있음을 인식하라
여러 가지 요인으로 인해 데이터의 민감도는 시간이 흐르면서 가감될 수 있다. 데이터 분류는 시간의 흐름에 따라 변화하고 유지돼야 하며, 적절하게 관리돼야 한다.

데이터 분류의 변화가 어떻게 일어날지 고려해, 이 변화가 적절하게 이뤄지도록 정확한 점검과 균형을 갖춘 프로세스를 구현해야 한다. 이를 해결할 수 있는 방법 중 하나는 데이터 분류 실행과 정책을 기록 관리 실행 및 정책과 통합시키는 것이다.


자동화를 활용하라
성공적인 데이터 분류 전략은 정책, 프로세스, 기술 도구가 결합돼 충분한 지원을 받는다. 현재 진행 중인 훈련이나 교육 이니셔티브가 데이터 분류 프로그램을 구현하는 데 가장 중요한 요소인 경우가 많지만, 도구도 적지 않은 도움이 될 수 있다.

자동화 분류를 사용하든 수동 분류를 사용하든 프로세스상 다양한 관리 도구를 사용할 수 있다. 분류는 DLP와 같은 정보 보안 제품의 내장 기능인 한편, 다음 두 가지 유형의 기능은 분류 이니셔티브를 지원하는 데 특히 유용하다.

■ 유휴 데이터(data at rest)를 처리하는 기능 - 엔드포인트, 네트워크 공유, 저장소에 있는 조직 전반에서 축적된 대량의 데이터
■ 사용 데이터(data in use)를 처리하는 기능 - 활발히 사용 중이거나 이동, 공유 및 변환되는 데이터

따라서 데이터 분류에 도움이 되는 도구를 선택하기에 앞서, 다음과 같은 두 가지 요소를 고려해 방침과 가이드라인을 검토하고 스스로에게 질문을 던져야 한다. 과거를 재검토하고 스토리지 내 모든 정보 자산을 분류할 비즈니스적 이유를 갖고 있는가? 현 시점부터 사용 중인 데이터를 분류하는 것으로 충분한가? 대부분은 두 질문에 대한 답은 ‘아니다’이며, 절충적인 접근법이 필요하다.

DLP 솔루션은 데이터 항목에 데이터 분류를 결정하고 할당하기 위한 프론트엔드 혹은 실행 엔진으로 사용할 수 있다. 적절히 구성된 DLP 솔루션은 할당된 분류를 결정하거나 읽을 수 있으며, 그 다음 사전 정의된 정책을 적용할 수 있다. 데이터 분류 이니셔티브를 지원하는 기타 유용한 도구로는 ▲엔터프라이즈 콘텐츠 관리 시스템 ▲데이터 중심 감사 및 보호 솔루션 ▲E-디스커버리 SW ▲암호화 SW ▲엔터프라이즈 디지털 권한 관리 등이 있다.

여기서 논의된 모든 기술 구성요소는 저마다 최상의 사용 사례를 갖고 있으며, 적합성과 복잡성, 전반적 이점과 비용을 평가해야 한다. 여러 개의 도구를 분류 및 실행 전략의 일부로 사용하는 경우 각 도구 간 상호운용성을 위한 요구사항을 설정해야 한다. 데이터 보안 모니터링과 제어가 데이터 분류에 크게 의존할 경우 해당 데이터 분류에 대한 모니터링, 보호 및 관리를 요구사항의 일부로 만들어야 한다.


데이터 분류 및 조직의 알려진 한계 내에서 작업하라
많은 기업들이 데이터 분류 프로젝트의 실패 또는 중단을 겪는 이유는 다음을 시도하기 때문이다.

■ 현재 지원되는 제품 배포 용례에 해당하지 않는 솔루션 배포
■ 조직이 합리적으로 감당할 수 있는 범위를 넘어서는 중요한 기술 및 운영의 통합 요구

지난 10년 간 기술·운영적 측면에서 인상적이었던 많은 배포가 이뤄졌다. 그 범위는 고가치 지식 자산 보호부터 완전한 비즈니스 통합 및 프로세스 기반 배포에까지 이른다. 하지만 이러한 사례들은 중요한 운영 및 기술 간접비나 추가 도구가 필요하다는 점 때문에 예외로 간주되고 있다.

데이터 분류 프로젝트를 서류상으로 봤을 때에는 비즈니스 지원, 기술 통합, 시간 및 리소스를 적절하게 조합해 사실상 모든 사용 사례를 해결할 수 있다. 그러나 한층 심화된 시나리오를 구현하려는 시도에 앞서 개별적인 성숙도, 경영진의 지원, 가용 자원, 인내심 등을 평가하는 것은 매우 중요하다.


자금 지원이 이뤄지는 특정 비즈니스 이슈에 데이터 분류 배포를 집중하라
종종 데이터 분류 배포가 실패하거나 중단되는 이유로 성과를 너무 많이 그리고 너무 일찍 내려고 했기 때문이라는 점을 발견하곤 한다.

데이터 분류 프로젝트에는 기술, 프로세스 구현, 교육 및 지원을 위한 추가 인력과 예산이 필요하다. 이는 경영진의 지원이 필요한 근본적 이유 중 하나이기도 하다. 여기에는 경영자, 법률 고문, 감사팀, 이사회, 혹은 기타 비즈니스 영향력을 가진 고위급 인사가 될 수도 있다. 핵심은 이들이 비즈니스 활동과 자금 지원을 데이터 분류 이니셔티브와 연계하는가이다. 자금 지원이나 경영 지원이 없다면 두 가지가 모두 확보될 때까지 프로젝트를 유보해야 한다.

궁극적으로 성공적인 데이터 분류 프로젝트의 핵심은 큰 그림을 보면서 천천히 시작하고, 데이터 책임자들과 경험을 공유해 가면서 시간의 흐름에 따라 내부 레퍼런스와 모멘텀을 축적하는 것이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지