[주현주] 국내 DRM 기반 문서보안솔루션 리뷰

최근 기업의 주요 기밀 문서의 유출 사고가 빈번하게 발생함에 따라 문서 보안에 대한 필요성이 강조되면서 DRM이 기업 환경의 문서 보안 대책으로 관심이 대상이 되고 있다.

침입차단시스템(Firewall), 침입탐지시스템(IDS), 가상사설망(VPN) 등 네트워크 상에서 전송되는 패킷 단위의 저수준 데이터에 대한 보안으로는 악의적인 접근이나 해킹으로부터 내부 자산을 보호하는 것은 가능하지만, 대부분의 보안 대책들은 인가된 사용자, 즉 내부자에 대한 가용성 보장을 기본으로 하기 때문에 인가된 사용자에 의한 자료 유출 시도에 대해서는 취약할 수 밖에 없는 근본적인 한계를 가지고 있다.

많은 기업들이 PDM, KMS 또는 EDMS와 같은 집중화된 정보공유시스템을 구축했거나 구축을 준비하고 있는 상황에서, 내부 인가자에 의해 대량의 정보가 손쉽게 유출될 가능성은 더욱 높아지고 있으며 내부자에 의한 정보 유출 경로를 차단하는 것은 기업 경쟁력을 확보하는데 있어 필수 불가결한 요소임이 분명하다.

DRM(디지털저작권관리, Digital Rights Management)이란 디지털 자료의 암호화 기술을 이용해서 디지털 콘텐츠나 문서가 유통되는 환경에서 저작권에 대한 추적이나 유통 경로를 파악함으로써 안전한 자료 유통 경로를 확보하는 것을 가능케하는 기술이다.

DRM 기술 자체는 이미지나 동영상 등 멀티미디어 콘텐츠의 온라인 유통에 대한 보안 대책의 방법으로 연구/개발되었으나 온라인 콘텐츠 유통에 대한 표준이나 체계가 제대로 갖춰지지 않은 주변 환경과 기대 이하의 유료 콘텐츠 시장의 성장 속도로 인해 많은 DRM 개발 회사들이 기업 환경에서의 문서보안 대책의 방법으로 DRM의 영역을 확대하고 있다.

국내에도 많은 기업이 DRM 기술을 기반으로 하는 문서보안 솔루션을 개발/공급하고 있으나, 자체 기술력으로 안정적인 제품을 공급하는 회사는 많지 않다. 대표적인 기업으로는 자체 기술력으로 솔루션을 개발 공급하고 있는 마크애니, 파수닷컴, 소프트캠프와 외산 솔루션을 공급/구축하고 있는 엠쓰리테크놀로지 정도를 대표 기업으로 들 수 있겠다.

DRM 문서보안솔루션이 제공하는 일반적인 기능과 국내 대표적인 DRM 문서보안솔루션의 기능을 간략히 소개하고자 한다.

◆DRM 문서보안솔루션의 일반적인 기능

1)불법 복제 방지

사용자가 문서를 서버로부터 다운로드 받는 시점에서 문서는 암호화가 되어 전송이 된다. 암호화된 문서를 복호화하기 위해서는 복호화 키가 필요하며, 복호화 키는 사용자의 고유 하드웨어 정보를 이용해 생성되므로 인가된 사용자가 아니면 문서를 복호화하지 못한다.

해당 문서를 E-mail 이나 CD-R 등으로 외부로 반출하더라도 사용자 고유 정보가 일치하지 않는다면 해당 문서를 열어보는 것은 불가능하다.복호화키는 사용자의 PC에 설치되어 있는 DRM 클라이언트 모듈에 의해 관리되며, 사용자가 암호화된 문서를 응용프로그램을 통해 호출할 때 DRM 클라이언트의 관여로 실시간 복호화가 된다.

2)사용 권한 제어

사용자의 문서 전송 요청 시 서버에서는 문서 암호화와 함께 사전에 정의되어 있는 해당 사용자의 문서 사용 권한 정보를 삽입하여 전송하게 된다. 일반적으로 통제하게 되는 권한은 '조회', '편집', '저장', '출력' 등이며, 문서별로 통제를 하게 되므로 사용자가 자신이 만든 문서를 작업하는데는 불편을 주지 않으며, 보안이 적용된 문서를 사용할 때만 권한을 통제하게 된다.

3)인쇄 제어

디지털 문서의 전자적인 유통에 대한 통제는 가능하더라도 물리적인 형태로 인쇄가 된 이후의 문서 유통에 대해서는 추적이 힘들다. 그러므로, DRM 문서보안 적용 시 사용자의 인쇄에 대해서는 별도 권한을 부여해서, 출력 권한, 출력 가능 횟수 등을 통제하게 된다.

4)보존 연한 제어

디지털 자료의 특성상 일단 저장된 자료는 반영구적인 보존 연한을 가지게 된다. 중요한 문서를 사용자가 장기간 보관하는 경우 비록 보안이 적용되어 있다 하더라도 무제한 열람이 가능한 경우 보안에 취약할 수 있다. 배포되는 문서에 열람 횟수나 저장 기한을 제한함으로써 보존이 허가된 기간이 경과하는 경우 해당 문서는 자동으로 삭제되게 되므로 중요 정보가 노출될 수 있는 가능성을 최소화 할 수 있다.

5)사용 내역 관리 및 추적

아무리 완벽한 보안이 적용되어 배포되더라도, 배포 현황이나 유통 상황에 대한 추적이 불가능하다면 정보에 대한 소유권을 가진 기업의 입장에서는 마음을 놓고 있기가 힘들다. 주요 문서의 다운로드 현황이나 사용 현황, 보안에 위배되는 시도 등 배포된 문서가 폐기되기까지의 모든 사용 내역을 수집하고 추적하는 것은 DRM 기본적으로 갖춰야 하는 기능이다.

◆각사별 DRM 문서보안솔루션 특장점

Document Safer /마크애니특장점: PDM 등 다양한 CAD 도면 자료에 대한 보안 구축 경험. 다수 수상 경력.

FSD(Fasoo Secure Document) / 파수닷컴특장점: 문서 배포 및 배포된 문서에 대한 권한 통제 등 시스템 유연성 탁월

Document Security / 소프트캠프특장점: SecureOS 기술을 기반으로 한 문서보안 구현.

Trustee for Enterprise / 엠쓰리테크놀로지특장점: 외산 솔루션. 별도의 Client module 이 없는 완벽한 웹 기반 문서 보안 구현.

◆DRM 문서보안솔루션 기능 비교

DRM 문서보안솔루션은 제조/금융/공공 등 산업 전분야에 걸쳐 내부 정보 유출 방지를 위한 대책 수립의 방안으로 많은 기업들이 이미 도입을 했거나 도입을 검토 중이다. 모든 분야가 마찬가지겠지만, 새로운 기술과 제품을 도입하기 전에 그 기술의 필요성과 적합성에 대한 검증이 우선해야 한다.

DRM 문서보안솔루션은 단순 설치 후 사용하는 패키지 개념의 소프트웨어가 아니라 기간 정보관리시스템과 유기적으로 결합되고 통합돼야 하는 제품이므로, 기 운영 중인 정보관리시스템의 구성에는 문제가 없는지, 회사의 보안 지침이 새로운 기술에 적합하게 개정될 필요성은 없는지, 솔루션이 우리 회사의 특수성과 요구 사항에 만족할 수 있는지, 문서보안시스템 자체의 보안상 취약한 부분은 없는지 등 많은 부분에 있어 사전 검토를 충분히 해야만 완벽한 문서보안 대책을 수립하는 것이 가능하다.

이에 제품의 공급만이 아닌, 다양한 컨설팅과 분석 역량을 가진 업체를 선택하는 것이 무엇보다도 중요하다 할 수 있겠다.