정보자산 분류 기준에 대한 새로운 아이디어

이번 프로젝트에서 나는 관리체계 진단 및 개인정보보호 부문으로 투입되었다. 하지만 그렇다고 해서 기술·인프라를 아예 등한시할 수는 없었다. 새로운 곳, 새로운 프로젝트에서만 겪을 수 있는 새로운 아이디어가 있을 가능성 때문이다. 그리하여, 기술·인프라 부문의 자료도 지속적으로 확인하던 중, 이곳은 자산 중요도 분류를 기존에 내가 갔던 곳들과는 다르게 했다는 것을 알게 됐다. 공무원분들의 특성상 이곳은 업무 순환을 고려하여 처음 직무를 맡는 사람도 문제를 겪지 않도록 자산 중요도를 더욱 현실적으로 수정한 것이다.

 

보통 주요정보통신기반시설에서는 기밀성, 무결성, 가용성의 3가지 기준을 적용하며, 이는 담당자들에게는 다소 추상적인 개념이다. 그것들이 무엇을 의미하는지 매번 설명해 주고는 있지만 말이다. 특히 무결성이라는 용어는 보안 관련 인물이 아닌 이상, '이게 대체 뭐지'라는 반응이 나오기 쉽다. 따라서 이런 것들을 더욱 쉽고, 현실적인 개념으로 풀어낸 것이다.

 

새로운 기준은 3가지다. 사실 꼭 3가지일 필요는 없다. 다만 이곳에서는 그렇게 정했을 뿐이다.

① 업무 영향도 ② 이용자 빈도 ③ 서비스 파급도

CIA에 비하면 훨씬 비즈니스 친화적인 용어처럼 느껴진다. ① 업무 영향도는 장애 발생을 비롯하여 서비스 중단 시 업무에 얼마나 큰 영향을 끼치는지를 의미한다. ② 이용자 빈도는 시스템별 일 평균 이용자 수를 나타내는 것이다. 중복을 포함해서 말이다. ③ 서비스 파급도는 서비스 중단 시 바로 영향을 미치는 타 업무 서비스를 의미한다.

 

각 항목의 점수 배분도 1:1:1이 아니다. 모든 항목이 '동등하게' 중요하다는 것은 사실 허황된 말이니 말이다. 여기서는 ex) 35:50:15 수준이다. 사실 이런 구체적인 숫자를 정하는 건 조금 까다롭고, 또한 번거로운 일이다. ②가 50%나 차지해야 하는 이유, 그에 비해 ③은 너무 귀여운 숫자인 15%인 이유에 대한 명확한 근거를 제시할 수 있어야 하기 때문이다. 따라서 정말 자산 중요도를 제대로 산정하기 위해서는 조직에서 중요한 것이 무엇인지, 그것의 우선순위는 어떻게 되는지, 그것을 정량화하면 어떻게 되는지를 파악하는 것이 선제돼야 한다. 이는 자산 중요도 분류를 떠나서 보안이라는 큰 틀에 있어서 매우 중요한 문제라 생각한다.

 

또한, 각 항목에는 특이사항도 존재한다. 예를 들어 ②에서는 10점을, ③에서는 5점을, 하지만 ①에서는 35점을 받은 자산이 있다고 가정한다. 이 자산의 점수는 100점 만점에 고작해야 50점밖에 되지 않는다. 자산 등급이 매우 낮은 자산이라고 할 수 있다. 그런데 이 자산이 ① 영역에서 너무도 중요한 자산이라면 어떻게 해야 할까? 그럼 말이 달라진다. 그런 경우를 대비하여 각 ①, ②, ③에서는 이른바 슈퍼패스 같은 특이사항을 하나 만들었다. 각 영역에서 지나치게 중요한 것이라면, 다른 항목을 고려하지 않고 자산 등급을 1등급 부여하는 것이다. 예를 들어, ② 이용자 빈도에서 50점 만점을 주는 기준이 일평균 이용자 1만명인데, 어떤 자산이 일 평균 이용자가 10만명이다? 그러면 그냥 1등급을 부여하는 것이다. 이용자 측면에서 너무도 중요한 시스템이기 때문이다.

 

그렇게 새로운 자산 등급을 만들고, 그것을 적용하는 것이 이번 사업 기술·인프라 분야의 첫 번째 과제였다. 장담컨대, CIA에 비해 기존 담당자들이 혼란스러워하는 경우가 많이 줄어들 것이다. 그리고 덕분에 우리의 기술 진단 인력들도 더욱 현싲럭인 보고서 작성 및 방안 제시를 할 수 있을 것으로 보인다.