산업제어시스템(ICS) 등 특수목적 정보시스템의 경우 기밀성 뿐만 아니라 무결성, 가용성을 함께 고려할 필요가 있다.

상수도 시설에서 소독용으로 사용하는 화학약품의 양과 농도를 측정하고 화학약품을 투여하는 A 정보시스템이 있다고 가정해 보자.

A 정보시스템이 다루는 업무정보는 화학약품의 양과 농도에 관한 데이터이고 작업자의 실수, 기계적 오류, 사이버공격 등에 의해서 이 업무정보가 영향을 받는다면 국민의 생명과 건강에 영향을 끼칠 수 있다. 따라서, 넓게 바라보면 A 정보시스템은 C(Classified) 등급으로 분류되는 것이 바람직하다. N²SF 보안가이드라인이 제시하는 C/S/O 등급분류 기준 또한 정보공개법, 공공데이터법에 근거하고 있으며 국민의 생명과 건강에 영향을 끼치는 경우 C 등급으로 분류토록 하고 있다.

이를 좀 더 세밀하게 업무정보와 정보시스템을 구분하여 각각 기밀성, 무결성, 가용성의 전통적인 보안목표 수준에서 바라보자.

먼저 업무정보에 관해서 살펴보자. A 정보시스템이 다루는 업무정보(즉, 화학약품의 양과 농도에 관한 데이터)는 무결성 및 가용성 관점에서는 C 등급으로 분류하는 것이 바람직하다. 왜냐하면 데이터가 손상되면 과도하게(또는 과소하게) 화학약품이 투여될 위험이 있고 데이터를 읽을 수 없다면(즉, 모니터링 할 수 없다면) 적절한 수준의 약품투여를 결정할 수 없어 오염된 수돗물이 공급될 위험이 있기 때문이다. 그러나, 업무정보의 기밀성 관점에서는 O(Open) 등급으로 분류하여 상수도 시설의 안전성을 국민에게 알리고 이를 공공데이터로 활용토록 하는 것이 사회적 이득이 더 크다고 판단할수도 있다.

이번에는 업무정보를 처리하는 정보시스템에 대해서 살펴보자. A 정보시스템은 그 위치와 기계적 특성 등에 관해 외부에 알려지는 경우 공격의 표적이 될 위험이 있으므로 기밀성 관점에서 C등급으로 보는 것이 좋겠다. 무결성과 가용성 관점은 위에서 살펴본것과 동일하다.

이와 같이, 업무정보에 대한 C/S/O 등급분류와 정보시스템에 대한 C/S/O 등급분류는 해당 업무정보와 정보시스템의 특성에 따라 서로 다른 기준을 가질 때 N²SF 적용효과를 극대화 할 수 있다.

N²SF 보안가이드라인에서 제시하는 업무정보 C/S/O 등급분류 기준에 더해 기관 자체적으로 더 세밀한 C/S/O 등급분류 기준을 적용할 수 있지 않을까? 물론, 이 경우 반드시 보안성검토를 주관하는 국가정보원과 사전 협의를 통해 이에 대한 판단을 받는 것이 좋겠다.