데이터 분류란 무엇인가요?

데이터 분류, 즉 민감도, 중요도, 사전 정의된 기준에 따라 데이터를 조직하고 분류하는 것은 데이터 보안의기본입니다. 조직은 분류 수준을 지정하여 데이터 자산을 효율적으로 관리, 보호, 처리할 수 있습니다. 이를 통해 조직은 리소스의 우선순위를 정하고 각 데이터 카테고리의 요구 사항에 맞는 보안 조치를 적용할 수 있습니다.

데이터 분류 설명

데이터 분류는 개인 식별 정보(PII), 보호 대상 건강 정보(PHI), 금융 데이터와 같은 민감한 정보를 식별하고 보호하는 데 도움이 됩니다. 민감도, 중요도 또는 기타 기준에 따라 데이터를 분류함으로써 조직은 각 데이터 유형에 적합한 보안 조치로 데이터 자산을 효과적으로 보호하고 처리할 수 있습니다. GDPR, HIPAA 또는 CCPA와 같은 규제 표준 준수는 데이터 분류에 크게 의존합니다.

데이터 분류의 작동 방식

데이터 분류를 수행하려면 각 데이터 유형의 범주와 기준을 설명하는 분류 스키마를 정의하는 것부터 시작해야 합니다. 일반적인 분류 수준에는 공개, 내부 사용, 제한, 기밀이 있습니다. 그런 다음 조직은 정형 및 비정형 데이터 자산을 모두 식별하고 각 자산에 대한 적절한 분류 수준을 결정합니다.

자동화된 도구와 솔루션은 고급 알고리즘을 사용하여 데이터를 스캔하고 분석하여 콘텐츠, 메타데이터 또는 기타 속성을 기반으로 정의된 범주에 일치시키는 분류 프로세스를 지원할 수 있습니다. 또한 데이터 민감도나 중요도를 평가하기 위해 주제별 전문 지식이 필요한 경우 사람의 개입이 수반되는 수동 분류가 필요할 수 있습니다.

데이터가 분류되면 조직은 각 분류 수준에 맞는 적절한 보안 제어 및 정책을 구현하여 이 정보에 따라 조치를 취할 수 있습니다. 이러한 조치에는 민감한 데이터에 대한 암호화, 사용자 역할에 따른 액세스 제어, 각 카테고리의 요구 사항에 맞는 데이터 보존 정책이 포함될 수 있습니다.

데이터 분류를 보안 관행에 통합하면 조직은 리소스 할당을 최적화하고 보호 조치의 우선순위를 정하며 데이터 저장, 액세스 제어, 데이터 공유 및 보존 기간에 대해 정보에 입각한 결정을 내릴 수 있습니다. 모든 클라우드 보안과 마찬가지로 사전 예방적이고 목표 지향적인 접근 방식은 위험을 완화하고 보안 태세를 강화합니다.

데이터 분류가 중요한 이유

데이터 분류의 중요성을 이해하는 것은 민감한 정보를 보호하고 위험을 완화하는 데 있어 매우 중요합니다. 보안 전문가는 데이터를 분류하여 조직의 데이터 에코시스템 내에서 가장 중요하고 민감한 자산을 식별할 수 있습니다. 이러한 지식을 바탕으로 암호화, 액세스 제어, 모니터링과 같은 적절한 보안 조치를 가장 위험도가 높은 데이터 범주에 할당할 수 있습니다.

‍조직은 데이터 분류를 사용하여 가장 효율적인 방법으로 보안 프로토콜을 타겟팅하여 중요하고 민감한 정보를 최대한 보호할 수 있습니다. 보안 외에도 다양한 유형의 데이터 분류를 통해 조직은 보안 노력을 산업별 규정 및 법적 요구 사항에 맞게 조정할 수 있습니다.

PCI란 무엇인가요?

여러 산업 분야의 조직은 강력한 결제 카드 산업(PCI) 표준과 씨름하고 있습니다. 주요 신용카드 회사에서 제정한 이러한 표준은 결제 거래 시 카드 소유자의 데이터를 보호하는 보루 역할을 합니다. 결제 카드 정보를 취급, 처리 또는 저장하는 비즈니스에 지침 및 요구 사항을 부과하는 프레임워크인 PCI DSS(결제 카드 업계 데이터 보안 표준)를 입력합니다.

가맹점, 금융 기관, 서비스 제공업체 등 카드 소유자 데이터를 수락, 전송 또는 보관하는 기관의 경우 PCI 규정 준수는 타협할 수 없는 사항입니다. PCI DSS는 네트워크 보안 강화, 암호화 사용, 액세스 제어 강화, 정기적인 취약성 평가 실시 등 다양한 보안 조치를 취하도록 요구합니다.

PII란 무엇인가요?

민감한 정보와 관련하여 우려되는 또 다른 영역은 개인을 식별할 수 있는 데이터, 즉 개인 식별 정보(PII)입니다. 이 용어는 다음을 포함하되 이에 국한되지 않는 다양한 데이터를 광범위하게 포괄합니다:

• 이름
• 사회보장번호(SSN)
• 주소
• 전화번호
• 이메일 주소
• 금융 계좌 세부 정보
• 생체 인식 데이터

PII는 신원 도용, 사기 또는 기타 악의적인 활동에 쉽게 악용될 수 있기 때문에 개인과 조직에 중요한 가치를 지니고 있습니다. 개인 정보 보호 및 규정 준수를 위해서는 PII를 식별하고 보호하는 것이 중요합니다. 조직은 암호화, 액세스 제어, 데이터 익명화 등 강력한 보안 조치를 구현하여 PII의 기밀성과 무결성을 보장해야 합니다.

PHI란 무엇인가요?

의료 분야에서 보호 대상 건강 정보(PHI)는 개인의 건강, 건강 상태 또는 치료와 관련된 모든 민감한 데이터를 포함하며, 여기에는 종종 개인식별정보(PII)가 포함됩니다. 이 귀중한 정보에는 다음과 같은 다양한 데이터가 포함됩니다:

• 의료 기록
• 진단 결과
• 처방전
• 건강 보험 세부 정보
• 기타 개인 식별이 가능한 건강 관련 데이터

미국에서는 의료 서비스 제공자가 준수해야 하는 개인정보 보호 및 보안 표준을 보장하는 의료정보이동 및 책임에 관한 법률(HIPAA)에 따라 고도의 규제를 받기 때문에 PHI 관리가 까다롭습니다. 의료 종사자와 조직은 환자의 개인정보를 보호하고 무단 액세스를 방지하며 법적 요구 사항을 준수하기 위해 PHI의 기밀을 보호해야 합니다. 이러한 요구 사항을 충족하려면 액세스 제어, 암호화 및 감사 추적을 위한 최고 수준의 프로토콜을 포함한 강력한 보안 조치가 필요합니다.

GDPR의 과제

유럽연합(EU) 시민 또는 거주자의 데이터를 저장하는 모든 조직은 특정 데이터 유형을 식별하는 것보다 더 중요한 데이터 프라이버시 문제를 안고 있습니다. 또한 개인 데이터를 취급하는 조직에 엄격한 요구 사항을 정한 일반 데이터 보호 규정(GDPR)을 준수하고 개인 정보 수집, 처리 및 저장 방법에 대한 투명성, 책임성, 통제력을 확보해야 합니다. 규정 준수에 대한 인센티브로 GDPR은 규정 미준수 시 기업의 전 세계 연간 매출의 최대 4% 또는 2천만 유로 중 높은 금액에 달하는 막대한 벌금을 부과하기 때문에 기업이 이 의무를 무시할 경우 막대한 비용을 부담해야 합니다.

이 외에도 EU 시민과 거주자에게 데이터 접근권, 잊혀질 권리, 데이터 이동권 등 다양한 권리를 부여합니다. 이러한 각 권한은 데이터를 저장하는 조직이 GDPR 규정 준수를 유지하기 위해 해당 데이터가 저장된 위치와 액세스 권한을 항상 파악할 수 있도록 지원해야 합니다. 또한 개인이 요청할 경우 해당 데이터를 삭제할 수 있는 프로세스를 포함해야 하며, 이는 관련 데이터의 위치를 파악하는 데 의존합니다.

데이터 분류 수준

데이터 분류는 사람의 판단과 고급 알고리즘을 조합하여 수동 또는 자동으로 수행할 수 있습니다. 데이터 분류 수준은 '공개', '기밀', '민감'과 같은 단순한 레이블부터 특정 규정 및 업계 표준에 따른 보다 세부적인 범주에 이르기까지 다양합니다.

데이터 분류 수준의 예입니다:

1. 기밀 데이터: 가장 민감한 범주이며 영업 비밀, 금융 정보, 개인 식별 정보(PII), 기밀 비즈니스 정보 등 어떤 대가를 치르더라도 보호해야 하는 데이터가 여기에 포함됩니다.
2. 내부 전용: 이 범주에는 민감한 데이터가 포함되지만 직원 급여 정보, 내부 메모, 프로젝트 계획과 같은 기밀 데이터만큼 중요하지는 않습니다.
3. 제한된 데이터: 이 범주에는 민감한 데이터가 포함되지만 고객 정보, 마케팅 계획 및 가격 정보와 같은 기밀 데이터만큼 중요하지는 않습니다.
4. 공개 데이터: 이 범주에는 회사 보도 자료 및 마케팅 자료와 같이 민감하지 않고 대중과 자유롭게 공유할 수 있는 데이터가 포함됩니다.
5. 아카이브된 데이터: 이 범주에는 오래된 재무 보고서, 인사 기록 등 더 이상 활발하게 사용되지는 않지만 법적, 규제적 또는 역사적 이유로 보관해야 하는 데이터가 포함됩니다.

데이터 분류 사용 사례

조직이 준수해야 하는 규정 준수 의무의 수에 관계없이 데이터 분류를 수용하는 것은 필수적입니다. 데이터 검색을 모범 사례로 구현하면 목표에 맞는 효율적인 방식으로 보안을 크게 강화할 수 있습니다. 조직은 에코시스템 내의 민감한 데이터를 이해하고 그에 따라 분류함으로써 리소스를 보다 효과적으로 할당하고 그에 따라 보안 조치의 우선순위를 정할 수 있습니다.

데이터 분류는 규정 준수 노력에 도움이 될 뿐만 아니라 보안 위반을 예방하는 데도 중요한 역할을 합니다. 민감한 데이터를 식별하고 보호함으로써 조직은 무단 액세스 및 잠재적 침해의 위험을 완화하고 보안이 손상되어 발생하는 부정적인 결과를 피할 수 있습니다. 데이터 분류를 수용하고 검색 기술을 활용하는 것은 귀중한 정보를 보호하고 조직의 데이터 자산의 무결성과 신뢰성을 보장하기 위한 사전 예방적 조치입니다.

‍데이터 분류 예시에는 어떤 것이 있나요?

효과적인 데이터 보안을 위해서는 몇 가지 유형의 데이터를 분류해야 하는데, 이러한 유형은 민감한 것으로 간주되어 무단 액세스, 도난 또는 손실로부터 보호해야 하기 때문입니다.

1. 개인 식별 정보(PII) 에는 성명, 주민등록번호, 운전면허증 번호, 여권 번호 등 개인을 식별하는 데 사용할 수 있는 데이터가 포함됩니다.
2. 금융 정보란 신용카드 번호, 은행 계좌 번호, 투자 정보 등 금융 거래 및 계좌와 관련된 데이터를 말합니다.
3. 기밀 비즈니스 정보에는 영업 비밀, 사업 계획, 시장 조사 등 회사에 경쟁 우위를 제공하는 독점적인 데이터가 포함됩니다.
4. 건강 정보는 진단, 치료 계획, 처방 정보 등 개인의 건강 상태 및 병력과 관련된 데이터입니다.
5. 지적 재산에는 특허, 상표, 저작권 및 영업 비밀과 관련된 데이터가 포함됩니다.
6. 정부 정보는 국가 안보 정보, 법 집행 기록, 군사 기밀 정보 등 정부 기관에 의해 분류되거나 제한되는 정보입니다.
7. 직원 정보: 여기에는 급여 정보, 업무 성과 평가, 징계 기록 등 직원과 관련된 데이터가 포함됩니다.

이는 더 나은 데이터 보안을 위해 필수적인 분류 데이터의 몇 가지 예에 불과합니다. 분류해야 하는 특정 데이터 유형은 조직의 보안 요구 사항에 따라 달라집니다. 그러나 데이터 분류의 목표는 여전히 데이터의 민감도 수준을 파악하고 이를 보호하는 데 필요한 적절한 보안 조치를 결정하는 데 중점을 두고 있습니다.

데이터 분류는 데이터 보안을 어떻게 개선하나요?

데이터 분류는 무단 액세스, 도난 또는 분실로부터 데이터를 보호하는 데 필요한 적절한 보안 조치를 결정합니다. 따라서 데이터 보안의 많은 관행에 대한 정보를 제공합니다.

위험 평가

데이터 분류는 가장 중요한 자산을 식별하고 중요한 데이터의 보호 우선순위를 정하는 데 사용됩니다. 이를 통해 조직은 가장 주의가 필요한 영역에 사이버 보안 노력을 집중할 수 있습니다.

액세스 제어

데이터 분류는 조직에서 민감한 데이터에 액세스할 수 있는 사람과 액세스 수준을 결정하는 데 도움이 됩니다. 예를 들어, 매우 민감한 데이터는 권한이 있는 소수의 직원만 액세스할 수 있고, 덜 민감한 데이터는 더 많은 직원이 액세스할 수 있습니다.

데이터 암호화

데이터 분류를 통해 조직은 어떤 데이터에 암호화가 필요한지, 필요한 암호화 수준을 결정할 수 있습니다. 예를 들어, 매우 민감한 데이터는 저장 시와 전송 중 모두 암호화해야 하는 반면, 덜 민감한 데이터는 저장 시에만 암호화하면 될 수 있습니다.

데이터 백업 및 복구

데이터 분류는 조직에서 백업해야 하는 데이터와 백업 주기를 결정하는 데 도움이 됩니다. 예를 들어, 매우 중요한 데이터는 매일 백업하여 안전한 외부 위치에 저장하고, 덜 중요한 데이터는 매주만 백업해야 할 수 있습니다.

규정 준수

데이터 분류는 일반 개인정보 보호 규정(GDPR), 의료정보 이동 및 책임에 관한 법률(HIPAA), 결제 카드 산업 데이터 보안 표준(PCI DSS) 등의 데이터 보호 규정을 준수하기 위해서도 사용됩니다. 이러한 규정은 종종 조직이 민감한 데이터를 보호하기 위한 특정 보안 조치를 구현하도록 요구하며, 데이터 분류는 어떤 데이터가 이 범주에 속하는지 결정하는 첫 번째 단계입니다.

데이터 분류 FAQ