비즈니스 상의 거의 모든 문서가 전자화되고 전자문서를 공유할 수 있는 시스템 도입이 증가됨에 따라 엔터프라이즈 DRM은 가장 대표적인 문서보안 솔루션으로 안정적인 입지기반을 다져오고 있다. 국내ㆍ외적으로 빠른 성장세를 보이고 있는 엔터프라이즈 DRM 솔루션은 현 보안 시장의 요구사항을 섬세하게 충족시키기 위해 다양한 기술의 진화를 선보이고 있으며 이러한 기술이 적용된 신제품들은 보다 스마트한 정보보호 솔루션을 요구하는 시장에서 재빨리 요구되고 있다.

과거 해킹이나 바이러스에 의한 정보유출 사고의 대부분이 최근에는 허가된 내부자나 관계자에 의해 금전적 목적을 동반한 사고로 확대되면서 기존 보안 솔루션이 가지고 있었던 취약점에 대한 보완의 목소리가 높아지고 있다.

이에 핵심 정보를 담고 있는 콘텐츠 자체를 직접 암호화하고 사전에 정의된 권한에 따라 사용을 통제하는 DRM 솔루션은 이러한 시장 요구를 만족시키는 핵심 보안 인프라로 굳건히 자리매김하게 되었다.

지난 2008년 5월, 국내IT 시장조사 기관인 KRG(Knowledge Research Group)가 조사한 ‘2008 IT 시장백서’에 따르면 국내 엔터프라이즈 DRM 시장은 2004년부터 2008년까지 연평균 45.7% 급성장을 이어오고 있으며 2008년 기준으로 325억원 시장 형성이 예상된 바 있다. 

한편 해외 엔터프라이즈 DRM 시장은 이미 2006년부터 본격적인 성숙기에 접어든 이래 지속적으로 큰 성장폭을 이어가고 있으나 상대적으로 부각되고 있는 선두기업은 아직 출현하지 않고 있는 상황이다. 대표적인 엔터프라이즈 DRM 솔루션 기업으로는 자체 DRM 솔루션을 보유하고 있는 마이크로소프트를 비롯, 어도비(파일라인 인수), 이엠씨(오쎈티카 인수), 오라클(씰드미디어를 인수했던 스텔렌트 재인수)과 같이 대형 ECM(기업콘텐츠관리시스템, Enterprise Content Management) 벤더들이 역량 있는 엔터프라이즈 DRM 전문 기업(위 괄호 참조)을 인수 합병하면서 DRM 단독 기능보다는 전체 보안 인프라의 핵심 기능의 일환으로 DRM 기술을 활용하는 데 그치고 있다. 현재까지 엔터프라이즈 DRM에만 집중하고 있는 대표적인 기업으로는 미국 DRM 벤더인 리퀴드머신스 정도를 꼽을 수 있다.

지난 2008년 9월, 미국의 콘텐츠 기술 및 DRM 컨설팅 전문 업체인 길베인그룹(Gilbane Group)에서 조사한 기업용 문서보안 연구 결과 발표에 따르면 전 세계 기업용 문서보안 시장 수요가 급속히 증가하고 있음을 시사하고 있다.

기업 75%는 이미 엔터프라이즈 DRM에 대해 알고 있으며 34%가 도입계획이 있다고 밝혀 엔터프라이즈 DRM의 중요성 및 도입이 필요하다는 인식이 상승하고 있음을 확인할 수 있다.

뿐만 아니라 얼마 전 미국의 리서치 기관인 글로벌 인더스트리 애널리스트(Global Industry Analysts, Inc.)에서 발표한 글로벌 엔터프라이즈 DRM 시장 보고서에 따르면 전 세계 엔터프라이즈 DRM 시장이 2015년까지 24억 달러 규모로 급성장할 전망이라고 밝혔다.

이는 내부자에 의한 정보유출이 기업 경영은 물론, 국가 경쟁력에도 타격을 준다는 경각심이 확대되고 있기 때문이며 정보보호 관련 법안 및 컴플라이언스 이슈가 현지 엔터프라이즈 DRM 시장 활성화 요소로 작용하고 있기 때문이다.

스마터 시큐리티 해법 제시

대한민국을 강타했던 L전자 입사지원정보 유출, A온라인기업 회원정보 유출, K은행 복권정보 유출, N게임회사 아이디정보 유출, G정유사 고객정보 유출과 같은 대형 개인정보 유출사건이 결국 실형 선고 및 배상금 판정으로까지 이어지면서 개인정보 보호는 더 이상 간과해서는 안될 보안 투자의 영순위로 떠올랐다. 

정부에서도 개인정보 보호의 중요성을 보다 심각하게 인식하고 정보보호 기본전략 수립을 위해 본격적으로 팔을 걷어 부치고 나섰다. 바로 개인정보 및 정보보호 관련 법률체계의 기반을 다지기로 한 것으로 신규 법안 제정을 위한 준비부터 기존 법률의 개정ㆍ시행을 넘나들며 개인 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신ㆍ수신과정 중에 정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한 관리적ㆍ기ㅣ술적 수단을 의무화하기 시작한 것이다.

이미 정보통신망법 제6조 개정으로 올해 7월 1일부터는 정유사, 직업소개소, 자동차매매업, 체육시설업 등 14개 업종이 준용사업자로 추가 지정되면서 총 21만9,697개 사업체에서는 의무적으로 개인정보 보호조치를 준수해야 한다.

지난 8월에는 방송통신위원회에서 개인정보 보호조치를 강화하는 내용으로 정보통신망법 하위 고시인 ‘개인정보의 기술적ㆍ관리적 보호조치’ 기준을 개정함에 따라 내년 1월 29일부터는 개인정보가 도난 및 누출되지 않도록 안전성을 확보하기 위하여 취하여야 하는 기술적겙桓??보호조치 기준까지도 피할 수 없게 되었다. 

위 보호조치 기준 중에서도 가장 강화된 항목인 제6조 개정 내용은 개인정보의 암호화에 대한 내용으로 주민등록번호나 계좌번호, 신용카드번호와 같은 금융정보에 대해서는 반드시 암호화하여 저장해야 하고 특히 정보통신서비스 제공자는 이용자의 개인정보를 PC에 저장할 때 반드시 암호화하여 저장해야 함을 명시하고 있다.

이는 개인정보 유출사건이 접근 권한이 있는 내부자나 관계자에 의한 것이 대부분이기 때문이며 정보보호의 우선 순위 및 그 무게 중심 자체가 핵심 정보를 담고 있는 콘텐츠 보호 단위로 이동하고 있음을 반증하고 있는 것이기도 하다.

이에 따라 실제 개인정보를 취급 및 관리하는 수 많은 기업은 물론, 확대된 준용 사업체에서는 개인정보보호 솔루션 도입을 서두르고 있는 추세이다.

일반적으로 네트워크 보안을 위해 VPN이나 방화벽을 도입하는 것은 이미 어느 정도는 범용 궤도에 오른 듯 하다. 또한 인터넷 전송 구간에서 개인정보를 암호화 해주는 보안서버 도입도 안정적으로 정착되고 있다. 이어서 DBMS에 접근을 통제하거나 이를 암호화하는 DB보안 솔루션 도입도 늘어나게 되었다. 또한 사내의 개인정보보호 현황을 파악하고 취약점 분석을 위해 개인정보 라이프사이클에 대한 보안 컨설팅 서비스까지 요청하는 기업들도 생겨나기 시작했다. 

특히 제6조 개정안에서 의무화하고 있는 암호화 조치를 위하여 실제 개인정보가 유통되거나 유출되는 형태인 파일을 직접 암호화하고 사전에 정해진 권한에 따라 접근 및 사용을 컨트롤하는 DRM 솔루션을 도입하는 기업이 빠르게 늘고 있는 추세이다.

이처럼 오피스 문서보안을 목적으로 도입하기 시작한 엔터프라이즈 DRM 솔루션은 최근 개인정보 유출사건 유형이 내부 관계자에 의한 경우가 다반사가 되면서 개인정보보호 시장에서도 러브콜이 늘어나고 있다. 그러다 보니 기존의 엔터프라이즈 DRM 솔루션들은 근본적으로 DRM이 가지고 있는 강도 높은 보안 기능은 유지하면서도 현행 법제나 다양한 고객 니즈를 반영할 수 있는 스마트한 기능을 보강한 새로운 모습을 공개하고 나섰다. 

기존 DRM 권한의 적용 기준을 파일에 포함된 콘텍스트(내용) 레벨로 내려 보호해야 할 콘텍스트에 따라 보안 정책을 컨트롤한다던가, 파일에 들어있는 주민번호, 카드번호, 계좌번호와 같은 특정 콘텍스트를 시스템이 자동으로 감지하여 그 파일에 일괄적으로 보안 정책을 적용하는 등, 보안 적용의 세밀도를 향상시킨 기능 등을 대표적인 예로 들 수 있다.

이미 기업 보안의 핵심 인프라로 범용적인 선택을 받아온 엔터프라이즈 DRM 솔루션의 이 같은 진화는 개인정보 파일의 생성부터 폐기까지의 감사 및 보안 관리 용도로 사용될 수 있도록 최적화 되어 있어 점차 강화 및 확장되고 있는 개인정보보호 관련 법ㆍ규제에도 신속히 대응할 수 있게 되었다.

이로써 법안 준수 및 지속적인 정보보호 목적으로 개인정보보호 솔루션 도입을 고민하고 있는 현업에서도 빠른 호응을 이끌어내고 있으며 금융, 유통겮?洲? 의료 분야와 같이 직접적으로 개인정보 보호에 민감한 산업군을 중심으로 그 수요는 더욱 더 확산되어 나갈 것으로 전망된다.

<글 : 안혜연 파수닷컴 CTOㆍ부사장(ahn@fasoo.com)>

[월간 정보보호21c 통권 제112호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>