클라우드 서비스 및 장치 : 데이터 흐름, 데이터 범주 및 데이터 사용 관련 국제 표준화 동향*
상명대학교 / 서광규 교수
ISO/IEC 19944 표준화 문서는 장치(device) 및 클라우드 서비스의 생태계와 클라우드 서비스, 클라우드 서비스 고객, 클라우드 서비스 사용자 및 해당 장치 간의 관련 데이터 흐름에 대한 설명을 제공한다. 이는 클라우드 컴퓨팅 환경의 맥락에서 장치에서 데이터를 사용하는 방법과 그러한 사용으로 인해 발생하는 관련 위치 및 ID 문제에 대한 지침을 제공하는 데 필요하다.
본 고에서는 ISO/IEC 19944 표준화 문서의 내용을 소개하기로 하는데, 이 문서는 클라우드 서비스 공급자가 클라우드 서비스 고객이 정책 및 관행의 투명성을 향상시킴으로써 자신의 데이터 및 사용자 데이터의 개인 정보 및 기밀을 이해하고 보호할 수 있도록 도와주는 데이터 사용 정책의 구조를 제안하고 있다.
*이 문서는 「ISO/IEC 19944 Information technology?? Cloud computing ? Cloud services and devices: Data flow, data categories and data use (First edition, 2017-09)」를 토대로 작성되었음.
장치 및 클라우드 서비스 에코 시스템 개요
클라우드 서비스에 접속하는 클라이언트로서 많은 종류의 장치가 사용되고 있다. 이러한 장치는 장치와 클라우드 서비스 사이에 연관성이 있는 클라우드 서비스의 지원에 의존한다. 고유 식별자가 생성 및 유지되어 해당 연관성이 활성화된다. 장치와 클라우드 서비스 간의 상호 작용은 장치, 클라우드 서비스, 클라우드 서비스 고객 및 클라우드 서비스 제공자 간의 데이터 흐름을 이해해야 한다. 또한 이러한 상호작용은 데이터 분류, 접근 및 사용에 대한 논의를 더욱 복잡하게 만든다.
장치별 클라우드 서비스를 제공하는 클라우드 서비스 제공업체는 일반적으로 이러한 클라우드 서비스를 제공하기 위해 고유한 식별자와 클라우드 서비스 사용자 계정을 필요로 한다. 이 식별자와 사용자 조합은 일련의 서비스, 애플리케이션에 대한 액세스, 풍부한 광고 및 소매 인프라를 제공할 수 있는 자체 맞춤형 클라우드 서비스의 핵심이 된다.
일부 장치의 상시 작동 및 상시 작동 특성은 장치 및 장치에서 실행되는 애플리케이션에서 흘러나오는 정보의 추적에 기반하여 유용한 제안을 함으로써 사용자의 일상생활에서 매우 중요한 측면을 이용하도록 지원하는 새로운 종류의 애플리케이션을 구동한다.
[그림 1]은 클라우드 지원 장치 및 클라우드 서비스의 에코시스템을 보여주는데, 장치가 클라우드 환경에서 작동하는 일반적인 방법을 보여준다. 장치에서 사용되는 클라우드 서비스의 범주는 다음과 같다.
- 응용 프로그램 마켓 플레이스를 포함 할 수 있는 장치 플랫폼 클라우드 서비스.
이러한 "핵심” 클라우드 서비스는 장치 플랫폼 공급자가 제공하며 장치를 구성하고 온라인 사용자 신원 관리를 포함하여 응용 프로그램 마켓 플레이스 및 관련 클라우드 서비스로 고객 (그리고 필요한 경우 장치의 기본 사용자)을 등록하는 데 사용된다.
- 장치 플랫폼 CSP(Cloud Service Provider)가 아닌 클라우드 서비스 공급자 (예 : 소셜 네트워킹, 날씨, 뉴스 또는 조직 별 응용 프로그램)가 개발하고 지원하는 응용 프로그램을 지원하는 응용 프로그램 클라우드 서비스. 이러한 응용 프로그램은 장치 플랫폼을 지원하기 위해 제공되는 클라우드 서비스와는 다른 자체 클라우드 서비스와 상호 작용한다.
두 범주 모두 장치와의 상호 작용과 데이터 트래픽을 전달하며 클라우드 서비스 고객 데이터 또는 최종 사용자 식별 정보 (EUII; End User Identifiable Information)를 잠재적으로 포함한다. 예를 들어 응용 프로그램 마켓 플레이스는 장치에서 다운로드한 응용 프로그램을 알고 있으며 장치 플랫폼은 호출되는 빈도와 사용 기간을 알고 있다.
[그림 1] 장치 및 클라우드 서비스 에코시스템(Devices and cloud services ecosystem)
출처: ISO/IEC 19944 Information technology?? Cloud computing ? Cloud services and devices: Data flow, data categories and data use
장치 사용자는 일반적으로 일상생활에서 다양한 역할을 맡는 동시에 동일한 장치를 사용하며, 종종 [그림 2]와 같이 동시에 시민/유권자가 소비하는 도시/정부 서비스, 의사 사무실이나 병원에서 의료 서비스를 받는 환자, 학생이 출석하는 학교 , 운전기사 또는 통근자, 몰/커피 숍/상점의 소비자, 공항 또는 기차역의 승객, 직원이 될 수 있다.
예를 들어, 시민, 학생, 환자 및 직원은 각각 데이터 및 개인 정보 보호에 대한 고유 한 요구 사항과 요구 사항을 갖고 있다. 그럼에도 불구하고 각 사용자 하위 역할은 잠재적으로 동일한 장치 응용 프로그램 마켓 플레이스 생태계의 일부가 될 수 있는 장치의 로컬 저장소를 포함하여 동일한 개인 장치를 사용하며 장치의 운영 체제에서 제공하는 동일한 장치 서비스를 사용한다.
[그림 2] 장치 사용 시나리오에서 사용자가 가정할 수 있는 역할의 사례(Example of roles a user can assume in device use scenarios)
출처: ISO/IEC 19944 Information technology?? Cloud computing ? Cloud services and devices: Data flow, data categories and data use
클라우드 참조아키텍처(CCRA)를 디바이스 및 클라우드 서비스 에코시스템으로 확장
장치 및 클라우드 서비스 생태계는 ISO/IEC 17789에 설명된 클라우드 참조아키텍처(CCRA; Cloud Computing Reference Architecture)를 확장해야 한다.
모바일 장치와 관련된 여러 구성 요소를 설명하기 위해 사용자 계층의 기능 구성 요소에 대한 설명을 확장해야 한다. 이는 특히 생태계 내에서 발생하는 데이터 흐름을 이해하는 데 중요하다. 클라우드 서비스 고객 역할과 그 하위 역할에는 클라우드 서비스와 함께 장치를 사용할 때 존재하는 추가 활동과 책임을 설명하는 관련 확장이 있다. 클라우드 서비스 공급자 역할과 그 하위 역할의 비슷한 확장도 필요하다.
데이터 분류(Data taxonomy)
장치 및 클라우드 서비스 에코 시스템에서 일련의 데이터 범주를 정의하면 다음과 같다.
데이터를 획득, 전송, 처리 및 사용하는 방법은 대개의 경우 관련된 특정 데이터 범주에 대한 명확성을 요구한다. 장치 및 클라우드 서비스 에코 시스템에는 다양한 데이터 개체가 있으며 이러한 데이터 개체를 처리하거나 사용하는 여러 가지 방법이 있다. 투명성에 대한 한 가지 접근 방법은 각 데이터 객체의 이름을 지정하고 정의하고 처리 및 사용 방법을 설명하는 것이다. 이러한 접근법은 포괄적이지만 이 접근법에는 두 가지 한계가 있다. 첫째, 기술, 장치 및 클라우드 서비스가 발전함에 따라 생태계의 데이터 객체가 끊임없이 변화하여 목록에 지속적인 개정이 적용된다. 둘째, 객체와 사용 목록이 길고 복잡하며 복잡해지기 때문에 이해 관계자는 다수의 개별 데이터 객체를 검토하여 실제로 데이터를 관리하는 방법을 효과적으로 이해할 수 없게 된다. 투명성을 촉진하기 위해 클라우드 서비스 제공 업체는 데이터 객체의 가장 크고 가장 추상적 인 세트를 다루는 선언문을 사용하여 가능한 한 가장 간단한 방법으로 데이터를 처리하고 사용하는 방법을 설명해야 한다.
데이터 처리 및 사용에 대한 간단한 설명을 돕기 위해 가능한 가장 높은 추상화 수준에서 데이터 범주의 분류법이 중요하다. 분명히 "데이터”는 너무 추상적이어서 유용한 설명이 아니지만 "고객 식별 가능 정보가 없는 디스크 액세스 로그 파일”수준에서 데이터 범주를 논의해야 실제 투명성이 감소할 수 있다. 가능한 모든 유형의 범주(category)를 이 범주들 간의 모든 가능한 관계 유형과 함께 식별하는 완전한 분류법은 이 문서의 요구 사항을 넘어 복잡한 수준을 도입한다. 대신 여기에서는 상속/하위 유형 관계가 있는 계층 구조에서 "데이터 범주”를 정의한다. 이 계층 구조는 다른 국제 표준에 설명 된 네 가지 기본 데이터 범주(즉, ISO/IEC 17788/ISO/IEC 17789 및 ISO/IEC 19086-1)에서 분기되는데, 클라우드 서비스 고객 데이터, 클라우드 서비스 파생 데이터, 클라우드 서비스 공급자 데이터 및 계정 데이터가 포함된다. 이 네 가지 범주 각각은 관련 데이터 객체의 하위 유형 정의로 더 나뉘며 그 중 일부는 다시 하위 유형으로 나뉜다.
[그림 3] 데이터 범주 (Data categories)
출처: ISO/IEC 19944 Information technology?? Cloud computing ? Cloud services and devices: Data flow, data categories and data use
이 데이터 분류법의 한 가지 용도는 광범위한 정책 진술을 지원하는 것이다. 데이터 분류에 다른 접근법이 가능하지만 계층 구조의 장점은 분류법에서 가장 높은 적절한 분기(가장 높은 추상화)에 정의된 대로 가능한 가장 광범위한 데이터 범주에 적용 할 수 있다는 것이다. 따라서 계층 구조의 각 범주는 데이터 분류 계층 구조의 다양한 부분에서 세분화 요구 사항을 고려하여 가능한 한 포괄적으로 만들어진다. 이 문서에서 설명하는 데이터 분류법은 포괄적인 것은 아니지만 확장 가능하도록 설계되었다. CSP는 클라우드 서비스의 요구에 맞게 데이터의 새로운 하위 유형을 정의하기 위해 분류법을 확장 할 수 있다. 규제, 표준 및 계약 요구 사항에 따라 데이터 범주 중 하나는 고객 콘텐츠 데이터이다. 특히 클라우드 서비스가 처리하는 고객 콘텐츠 데이터의 성격을 반드시 이해하는 애플리케이션 기능 클라우드 서비스의 경우이다.
CSP가 데이터의 추가 하위 범주를 사용하는 경우, CSP는 각 새로운 하위 유형에 대한 명확한 정의를 제공하고 다른 범주와의 관계를 설명할 필요가 있다.
제공자들이 그들의 전반적인 데이터 처리와 사용 정책을 설명하는데 필요한 총 문장의 수를 최소화할 때 투명성이 향상된다. 결과적으로, 데이터 유형의 하위 유형은 분류 체계에서 처리 또는 사용 조항에 대한 설명에서 보다 구체적인 데이터 개체 집합을 다루어야 한다는 인식에 근거하여 정의된다.
따라서 이 조항은 일반적인 목적, 포괄적 분류법을 제안하는 것이 아니라, 데이터 흐름과 데이터 사용을 분석하기 위한 목적에 적합한 단일 뷰(view)를 제안한다. "faceted view”는 순수 계층적 뷰를 통해 이용할 수 없는 단일 특성을 공유하는 일련의 데이터 범주에 적용되는 진술을 구성하는데 사용될 수 있다.
예를 들어, 특정 데이터 범주에 "개인 식별 정보(PII; Personally Identifiable Information)”가 포함되어 있는지 여부를 나타내는 특성이 있을 수 있으며, 이러한 정의는 국가마다 다를 수 있으며, 따라서 단일 글로벌 데이터 범주의 계층에 포함하기가 어려울 수 있다. 클라우드 서비스 제공자 및 고객의 특정 요구에 따라 추가 뷰를 개발할 것이다.
데이터 처리 및 사용에 대한 설명은 모든 하위 유형을 포함하여 명명된 데이터 유형의 모든 인스턴스에 적용된다고 가정한다. 처리 및 사용에 대한 일부 설명은 부모 /수퍼 유형(parent/super type)을 참조하지만 명령문에서 하나 이상의 하위 유형을 제외하여 명령문을 단순화하기 위해 정의 된 하위 유형을 이용할 수 있다. 예를 들어 클라우드 서비스 제공 업체는 파생 데이터의 각 하위 유형에 이름을 지정하고 원격 측정을 생략하는 대신 "원격 측정을 제외한 모든 파생 데이터”를 암호화한다고 명시할 수 있다.
데이터 처리 및 사용 범주
장치와 클라우드 서비스 간에 흐르는 데이터로 이루어진 처리와 사용을 이해하기 위해서는 발생할 수 있는 다양한 데이터 처리 범주, 발생할 수 있는 데이터 사용 범주 및 처리와 사용 범위 (본질적으로 어떤 기능, 클라우드 서비스 및 당사자가 참여할 수 있는지)를 고려하는 것이 유용하다.
데이터 처리 범주는 장치 및 클라우드 서비스 에코 시스템에서 발견되는 일부 데이터 처리 기술에 대해 설명한다. 이러한 데이터 처리 기술에는 데이터 콘텐츠의 변형과 콘텐츠 변환 없이 이동 또는 저장이 포함된다. 데이터 처리 및 변환 분류법은 확장 가능하며 장치 및 클라우드 서비스 생태계에서 데이터를 처리하고 데이터 개인 정보 보호와 관련된 영역을 강조 표시하는 처리 기술에 대한 설명을 지원한다.
데이터 사용 범주는 다음과 같다. 프로그램과 서비스는 복잡한 방식으로 데이터를 사용하여 매우 단순하게 보이는 기능을 제공한다. 예를 들어, 언어 명령, 사람과 일상의 상호 작용에 대한 응답으로 이동 경로를 제공하는 모바일 장치의 기능은 음성 인식 및지도 데이터를 제공하는 응용 프로그램과 지원 서비스 간에 매우 복잡한 상호 작용이 필요하다. 또한 애플리케이션과 서비스 간에 전송되고 저장되는 데이터는 지침을 제공하는 것보다 여러 가지 면에서 유용하며, 음성 엔진의 전체 성능을 향상 시키거나 광고 타겟팅을 향상시키는 데에도 사용될 수 있다.
이해와 신뢰를 높이기 위해 공급자는 일반적으로 사용되는 비기술적인 단어를 사용하여 데이터 사용을 설명한다. 이러한 일반 용어는 사용자와 공급자에 대해 동일한 의미를 가질 수 없다. 다음 절은 장치 및 클라우드 서비스 생태계의 맥락에서 일반적인 용어의 허용되는 의미와 사용법을 완전히 설명하는 데 필요한 추가 범위 정보를 정의한다.
여기에서는 이러한 용어를 사용하여 데이터 사용문과 명확한 정의를 참조하면 공급자는 간단한 데이터 사용문을 만들 수 있을 뿐만 아니라 고객, 정책 결정자 및 규제자에게 데이터 사용의 특성에 대한 투명성을 제공할 수 있다.
범위 정의와 달리 사용 정의는 서로 구축되지 않는다. 예를 들어 "개선”의 사용은 "제공”을 의미하지 않는다. 보다 구체적인 정의는 예를 들어 "서비스 제공을 위해 필요한 경우 제3자 파트너 및 데이터 프로세서와 공유”와 같은 다른 데이터 공유를 의미하지 않는다.
각 데이터 사용에는 명시적인 데이터 사용 명세서가 있어야 한다. 명령문에는 지정된 범위와 데이터 범주에 대한 여러 용도가 포함될 수 있다.
데이터 사용 명세서
클라우드 서비스 공급자는 클라우드 서비스 및 관련 응용 프로그램에서 다양한 범주의 데이터가 사용되는 방법을 설명해야 한다. 데이터 사용에 대한 명확한 설명은 다중 소유, 개인 정보 보호, 기밀 유지, 지적 재산권 및 데이터 위치에 대한 우려를 해결하는 데 도움이 된다. 클라우드 서비스 공급자가 온-프레미스 IT 시스템의 경우와 다른 방식으로 데이터를 사용하는 데는 여러 가지 이유가 있다. 주로 지속적인 프로세스 및 서비스 개선은 모바일 및 클라우드 컴퓨팅의 필수적인 특성이며 이러한 개선의 대부분은 기계 학습 및 데이터 흐름을 기반으로 하는 서비스의 자동화 된 적응을 기반으로 한다. 또한 많은 모바일 및 클라우드 서비스 공급자는 서비스를 통해 흐르는 일부 데이터의 상업적 사용을 통해 자금을 지원 받고 있다.
PII 처리 측면에서 CSP는 CSC(Cloud Service Customer)의 지침에 따라 PII를 처리할 때 PII 프로세서를 말한다. 이 사건은 실무에서 자주 발생한다. 그러나 특정 유형의 클라우드 서비스에서 CSP는 PII 제어기가 될 수 있으며, 특히 CSP가 자체의 목적을 달성하기 위해 PII를 처리하는 경우, 특히 최종 사용자가 소비자 지향 클라우드 서비스의 클라우드 서비스 고객인 경우에는 PII 제어기가 될 수 있다.
클라우드 서비스 고객 및 규제 기관은 클라우드 서비스 공급자가 각 범주의 데이터를 사용하는 방법을 명확하게 설명해야 한다. 이 표준문서에서는 데이터 사용에 대한 일관된 설명을 제공하는 데 사용할 수 있는 장치 및 클라우드 서비스 생태계 내에서 데이터 사용 문에 대한 구조를 제공한다. 데이터 사용 내역은 연장 될 수 있으며 추가 분류 분류를 사용할 수 있다.
사용자로부터 수집된 데이터는 클라우드 서비스를 제공, 유지 관리, 향상 및 잠재적으로 수익을 창출하는 데 사용될 수 있다. 이러한 데이터를 수집, 처리, 저장 및 사용하는 방법을 표현하는 구조화된 방법을 사용하면 클라우드 서비스 고객, 클라우드 서비스 공급자, 규제자 및 기타 이해 관계자의 일관성과 투명성이 향상된다. 이러한 명확성은 데이터 및 그 사용에 대한 보다 나은 관리를 제공하는 데 필요하다.
[그림 4] 사용 명세서 구조(수동) (Use statement structure (passive))
출처: ISO/IEC 19944 Information technology?? Cloud computing ? Cloud services and devices: Data flow, data categories and data use
[그림 5] 사용 명세서 구조(수동) 사례 (Example of use statement structure (passive))
출처: ISO/IEC 19944 Information technology?? Cloud computing ? Cloud services and devices: Data flow, data categories and data use
?결언
클라우드 서비스가 확대되면서 클라우드 서비스를 이용하는 장치 및 클라우드 서비스의 생태계와 클라우드 서비스, 클라우드 서비스 고객, 클라우드 서비스 사용자 및 해당 장치 간의 관련 데이터 흐름에 대한 이해는 더욱 더 중요해 지고 있다. 이는 클라우드 컴퓨팅 환경에서 장치에서 데이터를 사용하는 방법과 그러한 사용으로 인해 발생하는 다양한 데이터 관련 이슈 해결하는데 필요하기 때문이다.
본 고에서는 ISO/IEC 19944 Information technology?- Cloud computing - Cloud services and devices: Data flow, data categories and data use (First edition, 2017-09)의 국제 표준화 문서의 내용에서 다루고 있는 장치 및 클라우드 서비스 에코 시스템 개요, 클라우드 참조아키텍처(CCRA)를 디바이스 및 클라우드 서비스 에코시스템으로 확장, 데이터 분류(Data taxonomy), 데이터 처리 및 사용 범주, 데이터 사용 명세서의 내용을 설명하였다. 본 고에서 기술한 내용 외에 보다 세부적인 내용은 ISO/IEC 19944의 국제표준화 문서를 참고하면 된다.
?참고문헌
- ISO/IEC 19944 Information technology?- Cloud computing - Cloud services and devices: Data flow, data categories and data use.
- ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
- ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.
- ISO/IEC 19086-1, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts.
- ISO/IEC 38505-1, Information technology - Governance of IT - Part 1: The application of ISO/IEC 38500 to the governance of data.