상명대학교 / 서광규 교수


 

클라우드 컴퓨팅 생태계에서 데이터를 처리하기 위해 시행 중인 많은 정책과 관행은 그들이 다루는 데이터의 범주를 기반으로 설명해야 한다. 예를 들어, 개인 식별 정보(PII)는 보안 측면 뿐만 아니라 그러한 데이터와 관련된 클라우드 서비스 사용자가 해당 데이터의 사용 및 전송에 대한 통제를 행사할 수 있도록 하는 메커니즘과 관련하여 특정 데이터 관리 요구 사항을 부과한다. 서비스 품질 향상과 같은 운영 목적으로 사용할 수 있는 클라우드 서비스 사용 정보 및 클라우드 서비스의 원격 측정 데이터와 같은 조직 데이터는 특정 애플리케이션에 유용하기 위해 특정 품질 요구 사항을 충족해야 한다.

고객 콘텐츠 데이터는 지적 재산권과 관련될 수 있으며 클라우드 서비스 공급자(CSP)의 적절한 보호가 필요할 수 있다. 특정 데이터는 한 관할 구역에서 다른 관할 구역으로 이전될 수 있다. 데이터 범주에 따라 이러한 이전을 가능하게 하기 위해 다양한 문서(다국적 법률, 기업 구속력 있는 규칙, 양자 협정)가 적용된다.

이러한 정책 및 관행을 설명할 때 클라우드 컴퓨팅 생태계의 이해 관계자가 더 잘 표현, 평가, 분석 및 비교할 수 있도록 구조화되고 일관된 방식으로 설명하는 것이 좋다. ISO/IEC 19944는 국경 간 데이터 전송, 데이터 지리적 위치, 데이터 사용, 데이터와 같은 클라우드 컴퓨팅 생태계에서 데이터를 처리하기 위한 정책의 다양한 도메인에 적용될 수 있는 세분화된 데이터 범주 시스템을 정의하는 포괄적인 분류를 제공한다. 액세스 및 데이터 이식성, 데이터 품질 관리 및 데이터 보안을 포함한 데이터 관리 또는 데이터 거버넌스, 그리고 행동 강령(CoC) 내에서 데이터 처리 정책 및 관행을 설명하는 방법에 대한 지침을 제공한다.

이 표준화 문서는 원하는 데이터 처리 정책 및 관행을 표현하기 위한 구조적이고 일반적인 접근 방식을 설명한다. 또한 원하는 데이터 처리 정책 및 관행을 표현하기 위한 공통 구조와 접근 방식을 설명한다.

본 고에서는 ISO/IEC에서 2020년에 표준화가 완료된 ISO/IEC 22624:Taxonomy based data handling for cloud services 문서의 주요 내용을 제1부와 제2부로 나누어서 설명하기로 한다. 먼저 제1부에서는 공통 데이터 분류를 기반으로 하는 데이터 정책 및 관행의 구조화된 표현의 필요성을 포함한 클라우드 서비스에 대한 Taxonomy 기반 데이터 처리의 개요와 데이터 관련 정책 및 관행의 구조화된 표현을 위한 프레임워크에 대하여 설명한다.

 



 

1. 개요: 공통 데이터 분류를 기반으로 하는 데이터 정책 및 관행의 구조화된 표현의 필요성

기업 또는 정부 차원의 데이터 정책 및 관행은 원하는 정도의 정확성과 명확성을 통해 명확하게 표현되어야 한다. 다양한 정책을 효율적인 방식으로 비교 및 ??분석해야 하는 필요성과 함께 다양한 정도의 정밀도가 필요하기 때문에 이러한 정책 및 관행의 표현에 대한 공통적이고 구조화된 접근 방식, 즉 공통 데이터 분류를 기반으로 하는 접근 방식이 필요하다.

ISO/IEC 19944는 다음을 수행하는 데 사용할 수 있는 포괄적인 요소 집합을 제공한다.

  2. a) 주어진 데이터 세트에 데이터 범주를 할당(예: 개인 식별 정보(PII), 조직 식별 정보, 고객 콘텐츠 데이터)
  3. b) 해당 데이터에 적용되는 조치 클래스 제공(예: 서비스 제공, 최적화, 마케팅 정보 제공에 사용)
  4. c) 데이터 사용 수준(예: 서비스 수준 대 기업/조직 수준 대 제3자 사용)에 대해 설명하는 범위 포함
  5. d) 데이터 세트에 적용된 비식별화(또는 익명화) 수준을 정의("식별된", "익명화된", "집계된"과 같은 한정자)

이러한 요소는 ISO/IEC 19944(Cloud computing and distributed platforms - Data flow, data categories and data use - Part 1: Fundamentals)를 명시적으로 참조하지 않고 문서에서 "데이터 범주" 또는 "데이터 분류", "작업", "범위" 및 "한정자"라고 한다.

애플리케이션별 데이터 처리 정책 및 관행을 정의하려면 이러한 요소를 현재 애플리케이션 도메인에 적용해야 한다. 여기에는 데이터에 적용되는 보안 또는 위험 수준과 관련된 데이터 분류와 데이터의 기술적 및 조직적 자격이 포함된다. 따라서 이 문서에서 설명하는 접근 방식은 ISO/IEC 19944에 설명된 데이터 범주와 고려 중인 구체적인 응용 프로그램에 따라 달라지는 직교 정보를 고려해야 한다. 따라서 이 접근 방식을 설명하는 데 사용되는 예는 일반 데이터 분류(행) 및 응용 프로그램 특정 요소(열)의 직교 특성을 강조하는 표 형식을 사용한다. 따라서 예를 들어 일련의 클라우드 서비스에서 데이터를 사용하기 위한 기업 정책의 개발에 관심이 있는 사람의 경우 고려해야 할 모든 관련 사례를 볼 수 있다.

암시적으로 ISO/IEC 19944는 개인 데이터와 PII에 중점을 두고 있으며 비개인 데이터 또는 PII와 비개인 데이터가 모두 포함된 혼합 데이터 집합을 명시적으로 다루지 않는다. 비개인 데이터는 개인이 아니며 PII에 포함되지 않는 모든 데이터로 정의된다. 과학 데이터, 판매 데이터. 혼합 데이터 세트에는 조직 구조와 개인 직원 데이터를 모두 포함하는 인적 자원 데이터와 같은 PII와 비개인 데이터가 모두 포함된다. 서로 다른 정책과 규정이 각각에 적용될 수 있음을 인식하는 것이 중요하다. 예를 들어, EU GDPR[9]은 PII의 측면을 규제하고 비개인 데이터 규제의 자유로운 흐름은 비개인 데이터의 지리적 위치 및 이동에 관한 정책을 설정한다. ISO/IEC 19944에 따라 이 문서는 PII에 중점을 두고 비개인 또는 혼합 데이터 세트와 명시적으로 관련된 측면에 대해 더 깊이 다루지는 않는다.

 



 

2. 데이터 관련 정책 및 관행의 구조화된 표현을 위한 프레임워크

2.1 개요

이 문서는 ISO/IEC 19944에 명시된 분류 및 데이터 사용 표현 구조를 사용한다. 이 문서를 준수하고 분류 또는 데이터 사용 표현을 사용하는 모든 정책 또는 관행은 적절하게 ISO/IEC 19944의 요구 사항을 충족해야 한다.

주요 데이터 관리 주제를 다루기 위해, 본 절에서는 ISO/IEC 19944의 데이터 분류법을 사용하여 다양한 데이터 유형을 기반으로 데이터 관리에 대한 원하는 정책을 표현하는 조화된 구조를 설명한. 이 문서에서 지정한 공통 구조에 기반한 데이터 관리 정책은 표현하고, 비교하고, 협상한다.

이 문서는 하나 이상의 데이터 정책을 정의하는 것이 아니라 다른 사람들이 선택한 정책을 표현하기 위해 사용할 수 있는 공통 구조와 프레임워크를 제공한다는 점을 지적하는 것이 중요하다. 또한 이 문서는 데이터 분류와 관련된 정책 및 관행을 표현하는 데 사용되는 특정 형식이나 구문을 규정하지 않는다.

 

2.2 프레임워크 요소

1) 데이터 카테고리

ISO/IEC 19944에 설명된 데이터 분류는 아래 그림 1과 같이 4가지 주요 데이터 범주, 즉 고객 콘텐츠 데이터, 파생 데이터, CSP 데이터 및 계정 데이터를 정의한다.



2) 고객 콘텐츠 데이터

고객 콘텐츠 데이터는 장치에서 로컬로 실행되는 애플리케이션에 제공되는 유사한 데이터 개체를 포함하도록 확장된 CSC(클라우드 서비스 고객) 데이터이다. 여기에는 고객 및 고객의 사용자가 직접 생성한 콘텐츠와 고객이 서비스 또는 애플리케이션의 기능을 통해 클라우드 서비스에 제공하거나 고객을 대신하여 클라우드 서비스에 제공하는 모든 데이터가 포함된다. 여기에는 사용자가 앱이나 클라우드 서비스를 사용하여 의도적으로 생성한 데이터도 포함되며 이 데이터 범주에는 다양한 하위 범주가 포함되어 있다.

3) 파생 데이터

파생 데이터는 사용자가 장치에서 로컬로 실행되는 애플리케이션의 기능을 실행할 때 파생된 유사한 데이터 개체를 포함하도록 확장된 클라우드 서비스 파생 데이터이다.

4) CSP 데이터

이 범주에는 CSP가 독점적으로 제어하는 데이터가 포함된다. 시스템에 고유하며 CSP의 제어 하에 있다.

5) 계정 데이터

계정 데이터는 클라우드 서비스에 가입, 구매 또는 관리하는 데 필요한 각 CSC 고유의 데이터 클래스이다. 이 데이터에는 이름, 주소, 지불 정보와 같은 정보가 포함된다. 각 CSC는 일반적으로 자신의 계정 데이터를 입력, 읽고 편집할 수 있지만 다른 CSC의 기록은 입력할 수 없지만 계정 데이터는 일반적으로 CSP의 제어 하에 있다.

 

2.3 데이터 식별 한정자

모든 범주의 데이터는 개인을 식별하거나 연결될 수 있는 정보를 제공하거나 이에 기여할 수 있다. 개인이 데이터에서 직접 식별되는 정도와 데이터의 특성 집합을 개인과 연결하는 것이 얼마나 쉬운지는 다음 한정자 집합으로 설명된다(그림 2 참조).


- 식별된 데이터: 정보에서 PII를 관찰할 수 있기 때문에 특정 사람과 명확하게 연관될 수 있는 데이터
- 가명 데이터: 모든 식별자가 별칭 할당이 수행된 당사자가 아닌 다른 사람의 합당한 노력으로 되돌릴 수 없는 별칭으로 대체된 데이터
- 연결되지 않은 가명 데이터: 모든 식별자가 삭제되거나 할당 기능이 삭제되거나 되돌릴 수 없는 별칭으로 대체되어 해당 데이터를 수행한 당사자를 포함한 누구도 합당한 노력으로 연결을 다시 설정할 수 없는 데이터
- 익명화된 데이터: 연결되지 않고 데이터 단독으로 또는 다른 데이터와 결합하여 개인을 직간접적으로 식별할 수 없는 합리적인 수준의 신뢰가 있는 방식으로 속성이 변경된 데이터
? 집계된 데이터:. 개인 수준 항목을 포함하지 않고 개인 수준 속성을 식별할 수 없을 만큼 충분히 다른 사람에 대한 정보에서 결합된 통계 데이터

 

2.4 데이터 사용 범위

ISO/IEC 19944는 "범위"가 장치 및 클라우드 서비스 에코시스템에서 데이터 수집 및 사용의 경계를 명확하게 설명하는 방법을 제공한다고 정의한다. 이러한 범위는 데이터 사용과 관련된 애플리케이션 및 서비스를 설명하는 데 사용할 수 있다(그림 3 참조). 정의는 점점 더 넓어지는 범위에 나열되며 더 넓은 범위에는 더 좁은 범위가 포함된다. 단, 독립적인 범위에 존재하는 "제3자" 항목은 제외된다. 기능은 서비스 계약에 나열된 서비스 중 하나일 수 있는 애플리케이션 또는 클라우드 서비스의 일부이다. 이는 CSP가 제공하는 클라우드 서비스의 일부이며 CSP의 전체 제품 및 서비스의 하위 집합이다.



2.5 조치

ISO/IEC 19944:2017은 다양한 범주의 데이터에 적용할 수 있는 작업 목록을 정의한다(그림 4 참조).



2.6 데이터 분류

데이터 분류는 데이터를 안전하고 효과적이고 효율적으로 사용할 수 있도록 데이터를 특정 클래스로 구성하는 프로세스이다. 효과적인 데이터 분류 프로세스는 일반적으로 기업의 위험 평가 프로세스 및 위험 완화 전략의 요소이다. 이 분류는 일반적으로 정부 규제 기관, 외부 고객 또는 공급업체 또는 기타 당사자를 포함할 수 있는 분류되는 데이터의 다양한 이해 관계자의 요구 사항을 기반으로 한다. 대부분의 조직은 조직 경계를 넘어 데이터 이동을 포함할 수 있는 공급업체 및 고객 네트워크에 관여한다. 이러한 일이 발생하는 경우, 원천에서 확립된 동등한 보호가 각 목적지에서 유효하게 유지되도록 하는 조치가 필요하다.

데이터 분류는 다음을 포함한 다양한 기타 데이터 관리 관련 문제에 대한 정책을 정의하는 데 사용할 수도 있다.

- 데이터 보존 기간
- 액세스 정책
- 액세스 및 전송 속도에 관한 성능 요구 사항
- 데이터 규정 준수 및 위험 관리
- 데이터 사전 정의된 저장 장치
- 데이터 암호화의 단순화
- 데이터 인덱싱
- 데이터 보호

 



 

3. 제1부 결언

본 고에서는 ISO/IEC에서 2020년에 표준화가 완료된 ISO/IEC 22624:Taxonomy based data handling for cloud services 문서의 주요 내용의 제1부로 공통 데이터 분류를 기반으로 하는 데이터 정책 및 관행의 구조화된 표현의 필요성을 포함한 클라우드 서비스에 대한 Taxonomy 기반 데이터 처리의 개요와 데이터 관련 정책 및 관행의 구조화된 표현을 위한 프레임워크에 대하여 설명하였다. 제2부에서는 데이터 관련 정책 및 관행의 구조화된 표현을 위한 프레임워크 사용과 특정 관심 분야와 관련된 데이터 관련 정책의 표현에 대하여 설명하기로 한다.

 



참고문헌

  2. ISO/IEC 22624:2020, Information technology - Cloud computing - Taxonomy based data handling for cloud services
  3. ISO/IEC 19944-1:2020(en) Cloud computing and distributed platforms - Data flow, data categories and data use - Part 1: Fundamentals
  4. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
  5. ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.




저작권정책

K-ICT 클라우드혁신센터의 저작물인 『[1부] ISO/IEC 국제 표준화 기구에서의 클라우드 서비스에 대한 Taxonomy 기반 데이터 처리』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권 정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.