보안을 배우다#11
보안을 위해서는 보호해야할 것들이 무엇인지 정확히 알아야 한다고 말씀드렸죠.
실재 물리적인 것도 보호해야하고 중요한 정보들도 보호해야합니다.
그중에 정보를 보호하는 경우에 대해 알아보겠습니다.
전통적으로 정보는 등급을 매기고 그 등급에 따른 보안 정책을 부여해왔습니다.
쉽게 예를 들면 국가가 전쟁중이고 군사작전지도가 있다고하면
군사작전지도는 소위 말하는 1급 기밀이 될것이고
해당 정보는 1급 기밀을 볼 수 있도록 허가된 극히 일부에게만 허가됩니다.
즉 정보에 등급을 주고 그 등급에 따른 보안 정책을 수립하여
정보의 누출, 남용을 차단하게 됩니다.
국가, 회사, 개인 마다 등급을 주는 방법이 다르고 그에 따른 보안 정책도 다르지만
그 구성은 비슷합니다.
일반적으로 어떻게 정보를 분류하는지 보겠습니다.
등급 분류를 할때 목적이 허가되지 않은 접근은 절대 허용하지 않을건지
민감 한 정보로 인해 발생할 수 있는 위험을 최소로 할건지에 따라 조금 다릅니다.
--------------------------------------------------------------------------------
허가되지 않은 접근은 절대 허용하지 않는 목적으로 등급을 분류하는건
보통 국가의 중요 정보를 분류할때 사용합니다.
정보 유출시 국가의 존립자체가 위협을 받는 것은 Top Secret로 분류합니다.
전시 병력 배치도 같은거 적대국에 유출되면 국가가 없어질수도 있겠죠.
국가에 심각한 손해를 끼치는 경우는 Secret로 분류합니다.
핵심 산업시설에 대한 상세지도 같은게 될 수 있겠죠.
공격당하면 피해가 상당할 겁니다.
국가에 일부 손해를 끼치는 경우는 Confidential로 분류합니다.
노출되어 손해가 갈것 같은 정보는 이분류에 들어가면 되겠죠.
음... 인터넷에 찾아보니 민방위 조직 현황도를 예시로 들어놨네요.
국가 보안과는 관계가 없으나 노출되면 심각한 손해를 끼치는 경우는
Sensitive But Unclassified(SBU)로 분류합니다.
의료 정보, 시험 점수 등이라고 예시 되어있네요.
하긴 수능점수 데이터가 유출되면 난리가 나겠죠.
별로 중요하지 않은 정보는 Unclassified로 분류합니다.
메뉴얼이라던지 공고라던지 그런 정보가 되겠죠.
--------------------------------------------------------------------------------
민감 한 정보로 인해 발생할 수 있는 위험을 최소로 하는 것을 목적으로
등급을 분류하는건 일반적인 기업에서 정보를 분류할때 사용합니다.
회사에 심각한 손해를 끼치는 경우는 Confidential로 분류합니다.
사업전략과 같이 유출 될 경우 향후 사업기회를 상실할지도 모르는 중요한
정보들이 될겁니다.
노출시 개인에게 심각하여 손해를 끼치는 경우는 Private로 분류합니다.
회사가 보유한 개인정보가 되겠죠.
임직원 및 고객의 주민번호, 계좌번호 등이 됩니다.
이런거 유출되면 난리가 나는걸 많이 보셨을 겁니다.
일반 정보보다 기밀성, 무결성이 요구되는 데이터는 Sensitive로 분류합니다.
회사 재무 정보가 대표적이겠죠.
그리고 노출하는걸 권장(?)하지는 않지만 노출 되어도 딱히 문제 될게 없는 건
Public로 분류합니다.
상위 등급에 포함되지 않는건 여기에 포함된다고 보면 되겠지요.
--------------------------------------------------------------------------------
이상 살펴 본건 일반적인 분류 입니다.
국가마다 기업마다 나름의 분류체계를 가지고 있을겁니다.
물론 위의 일반적인 분류를 크게 벗어나지는 않을겁니다.
그런데 중요한건 분류기준이 상당히 애매하다는 겁니다.
"심각한 손해" 이런건 말은 그럴듯 한데 실제 적용하려면 어렵습니다.
이런 애매함을 최대한 구체화 하는게 과제가 되겠죠.
※ 혹시 제가 알고있는 부분에 잘못된 내용이 있다면 지적 달게 받겠습니다.
0 개의 댓글:
댓글 쓰기