기업의 생존을 위한 필수 요소 DRM

IT 기술의 진화는 사람들에게 여러가지 편리성 및 신속성을 제공하고 있지만 여러 가지 위협요소를 동시에 제공하고 있다. 특히 인터넷을 이용한 온라인 유통경로가 활성화되고 저장매체의 대용량화로 인해 기업내부의 중요 정보가 한 번에 많이, 그리고 여러 유출경로를 통해 유출될 수 있는 위협요소가 더욱 커지고 있다.

IT 기술의 진화는 사람들에게 여러가지 편리성 및 신속성을 제공하고 있지만 반대급부로 여러 가지 위협요소를 동시에 제공하고 있다.

오래 전 Floppy Disk를 사용하던 시절에는 정보유출에 대한 보안관리자의 고민은 외부에서 들어오는 침입(Inbound)에 대해 보안방안을 마련했지만 최근의 IT 기술은 인터넷을 이용한 온라인 유통경로(웹메일, 웹하드, P2P 등)가 활성화되고 저장매체(USB,이동식디스크 등)의 대용량화로 인해 기업내부의 중요 정보가 한 번에 많은 양의 데이터가 여러 유출경로를 통하여 내부자에 의하여(Outbound) 유출될 수 있는 위협요소가 더욱 커지고 있다.

 

또한 예전과 달리 사회전반적으로 평생직장의 개념이 무너지고 IMF 이후 벤처 활성화 정책에 따른 무수한 벤처 기업들의 창업과 요즘 젊은 세대의 기업관이 변화하면서 늘어나고 있는 이직율은 내부 보안관리자에게 많은 숙제를 안겨주고 있다.

그림 1과 같이 보안사고 공격자 비율을 보더라도 현직 사원 및 퇴직 사원에 의한 보안 사고 사례가 전체 사고의 69%을 차지하고 있으며 유형별 보안사고 사례를 보면 출력물을 통한 복사와 핵심 인력의 매수가 전체 피해의 70%를 차지하는 것을 볼 수 있다.

 

디지털 자료 보안의 제품군

최근의 보안시장의 요구는 IT기반시설인 네트워크와 시스템에 대한 보안분야가 성숙기에 접어들고 기업의 핵심자산인 디지털자료(Contents)에 대한 보안 요구사항이 점차 강조되고 있는 것이 현실이다. 디지털 자료 보안의 제품군은 PC 보안기술을 이용한 접근통제 보안 분야에서 DRM을 이용한 데이터 유출방지 보안으로 발전했으며 최근에는 개인정보 보안의 이슈 해결을 위해 DB보안 분야 및 개인정보 유출방지 보안분야와 DLP(Data Loss Prevention)와 같이 정보유출 모니터링 및 통제 분야까지 다양하게 시장을 형성하고 있다.

 

Legacy System Data에 대한 DRM 적용방안

초기 DRM 시장은 반도체, 전자 및 이동통신 회사, 중공업과 같은 대형 제조업군 회사에서 생성되는 중요 OA 문서 및 설계도면에 대한 보안 요구사항에서 시작되었다.

기업 내에는 그룹웨어, ERP, PLM 등 다양한 업무시스템이 운영되고 있으며 해당 업무시스템에서 관리되는 중요 파일에 대하여 DRM을 통해 보안을 적용하고 있다.

대상 업무시스템에 DRM을 적용하게 되면 대상 업무시스템에서 문서를 다운로드 받을 때에 DRM Interface를 통해 암호화된 파일이 사용자 PC에서 Viewing되며 해당 OA 및 도면파일은 대상 시스템의 보안 정책에 따른 ACL(Access Control List) 정책에 따라 문서의 열람횟수, 인쇄횟수, 유효기간, 워터마킹, 저장, 편집 통제기능이 적용되게 된다.

 

기본적으로 서버에 대한 DRM 적용은 업무시스템 서버에서 관리되는 데이터 파일의 허가되지 않은 불법유출을 근본적으로 방지하는 기능을 제공하며 업무시스템에서 관리되는 문서분류 등급에 따라서 내부 통제 기능을 제공할 수 있다.

 

PC 생성 데이터에 대한 DRM 적용방안

기업 보안관리자들은 초기 DRM 시장에서 Legacy System Data에 대한 업무시스템 DRM 적용을 한 이후에 또 다른 고민을 하게 된다. 서버 Farm 데이터에 대해 보안을 적용했지만 서버에 문서를 업로드한 사용자 PC에는 원문 데이터 파일이 존재한다는 보안 이슈에 대해 대안을 찾게 되었고 DRM 솔루션 업체들은 PC에서 생성되는 파일에 대한 원천 암호화 기능을 탑재하게 되었다. 

 

PC DRM으로 불리게 된 이 기능은 사용자 PC에서 생성되는 OA 및 도면파일을 중앙 보안관리자의 정책에 따라 대상 사용자 및 그룹군 PC에서 만들어지는 모든 파일은 자동 암호화되어 사용자 PC에 저장되는 기능이다.

자동암호화된 파일은 사내에서는 자유롭게 유통이 가능하지만 허가받지 않은 절차(웹메일, 메신져, 웹하드, USB 등)에 의해 외부로 반출시에는 사용이 불가능하며 허가된 반출절차를 통해 외부 반출을 해야 외부에서 문서의 사용이 가능한 기술이다. 

보안적인 관점에서는 다양한 온라인, 오프라인 유출경로를 신경 쓰지 않아도 보안이 적용되는 데이터 암호화 보안이기에 선풍적인 인기를 끌고 있는 기술이기도 하다. 최근까지도 많은 공공기관, 금융기관, 일반 기업(제조업 포함)들이 도입을 하고 있기도 하다. 또한 다양한 산업분야에서 만들어지는 데이터는 일반적인 OA문서 외에 제조업과 같은 경우에는 다양한 CAD군과 같이 특수한 분야의 문서파일 형태까지도 요구사항이 점점 복잡화 되어가고 있으며 최근에는 SAP ERP와 같이 Database의 메타정보가 파일로 생성되는 경우 및 DW의 경우 OLAP 툴을 이용하여 파일로 생성되는 경우, X-Internet과 같은 OLE 형태에서 파일이 생성되는 경우까지 DRM을 이용하여 보안을 적용하고자 하는 요구로 확산되고 있는 현실이다.

 

웹 본문 컨텐츠 데이터에 대한 DRM 적용방안

데이터 보안 분야의 DRM 기술은 문서 및 도면파일에 대한 보안 적용기술이었다. 하지만 기업의 정보는 꼭 파일 형태로만 존재하는 것은 아니다. 기간시스템의 업무환경이 브라우져를 통한 웹 환경으로 구축됨에 따라 웹 본문 컨텐츠에 중요 정보가 업로드되는 경우에 대해 보안방안을 필요로 하게 되었으며 DRM 솔루션 업체들은 웹 본문 컨텐츠에 대한 보안기술을 선보이기 시작했다. 

 

웹 본문 컨텐츠 보안은 브라우저에서 Viewing되는 본문 데이터에 대해 불법 유출을 방지하는 기술이다. 브라우저 데이터의 블럭복사 방지, 화면캡쳐 방지, 메뉴 및 툴바를 통한 유출 방지, 인쇄시 워터마킹 출력, 웹페이지 소스보기 방지, 캐쉬파일 보호기능을 제공한다.

 

외부 반출 데이터에 대한 DRM 적용방안

기업 보안 담당자들은 DRM 기술을 이용해 서버와 PC에서 관리되는 중요 데이터에 대하여 보안을 적용하여 내부정보 유출방지의 토대를 마련했다. DRM 기술을 이용하여 암호화된 데이터는 기업 내부에서 사용하기에는 운용성 측면에서 큰 무리가 없었다. 다만 기업의 조직에 따른 업무를 분류해보면 사외 협력업체 및 상급 기관과의 문서 유통에 대한 문제가 생기기 시작했다. 불법적인 유출은 방지했으나 합법적인 업무절차에 의해 외부와 문서를 유통 시에는 보안을 유지한 채로 어떻게 전달 하는가에 대한 요구사항이 나오게 되었고 DRM 업체들은 외부반출 보안방안을 내어놓게 되었다.

 

DRM을 적용 전에 사용하던 업무환경(메일, USB 등)을 통해 암호화된 문서를 반출할 수 없기에 별도의 반출 프로세스를 제공하게 되었고 독립적인 반출시스템을 제공하는 DRM 업체들도 생겨났으며 고객사의 그룹웨어 메일을 연동하여 정해진 절차(결재요청/승인)를 통하여 반출을 허용하는 고객과 협력사와 별도의 도면배포시스템을 개발하여 해당 시스템에 DRM을 적용하는 고객사도 생겨나게 되었다. 반출절차에는 정해진 Rule이 존재하지 않는다. 고객사의 업무환경과 필요성에 따라 최적화된 반출절차를 운영하는 것이 옳은 방향이라 판단이 된다.

 

로그분석 및 사후 운영을 통한 관리적 보안방안

DRM 솔루션의 장점은 기업내부의 데이터를 원천적으로 암호화하여 유통한다는 데에 있다고 볼 수 있다. 여러가지 IT 인프라환경을 고려하지 않아도 된다는 뜻이다. IT 인프라 환경은 시간이 지날수록 더욱 급속히 발전을 할 것으로 보이며 그 발전속도는 보안 관리자에게 더 많은 숙제를 줄 것이기 때문이다.

 

DRM 솔루션을 도입한 대다수의 고객들은 그런 장점에 매료되어 솔루션 검토를 하게 되고 도입하여 운영하고 있다. 다만 그런 장점에 비례하여 업무의 연속성과 편리성은 반비례적으로 떨어지게 되는 것 또한 현실이다. 오랜 기간 DRM 솔루션을 도입하여 운영하고 있는 고객들의 이야기를 들어보면 이런 고민을 안고 있으며 해결방법을 찾고 있다.

 

그 해결방법은 보안성과 편리성의 적절한 운영의 묘를 찾고 싶다. 보안레벨을 강하게 설정하여 운영하면 편리성은 떨어지기에 기업문화에 맞는 보안레벨을 설정하기를 권고한다. 몸에 안 맞는 옷을 사 놓고도 입지 않듯이 최적화된 솔루션 운영정책이 필요하다고 말하고 싶다.

DRM 솔루션은 원천적인 사전 통제 보안 솔루션이기는 하지만 DRM이 보안의 100% 해결책은 아니다. 이러한 사항은 모든 시스템 보안 솔루션들이 가지고 있는 숙제이기도 하다. 많은 경영자와 최고 보안관리자들은 큰 비용을 들여 보안솔루션을 도입하면 보안이 완벽히 해결 되는 줄 아는 고객들이 있다. 최근에는 많은 기업의 보안관리자들이 기술적으로 관리적으로도 그렇게 생각하는 고객들은 많이 줄었지만 ROI 측면에서 고민이 되는 것이 현실이다.

 

DRM의 로그유형을 살펴보자. DRM의 로그는 솔루션 업체별로 근소한 차이는 있지만 일반적으로 문서의 사용이력(열람/저장/편집/인쇄) 로그와 문서의 외부반출 로그를 제공하고 있다. 로그를 살펴보면 사후 모니터링 및 추적의 개념에서 살펴보면 운영적인 측면에서 Raw Data 성격이 강하다.

 

즉 운영을 잘못 하였을 때 Garbage Log로 남을 수 있다는 이야기다. 정제되지 않은 로그 데이터는 관리자에게는 무용지물이다. 최근의 사례를 살펴보면 고객들은 정제된 로그를 원하고 있다. 일반적으로 솔루션 도입 후 분기, 반기를 운영하여 보면 축적된 로그분석을 통하여 해당 기업의 평균적인 업무특성을 추출하여 볼 수 있을 것이다. 축적된 로그분석 데이터는 관리자에게 사후 운영의 관리 포인트를 제공한다.

Raw Data Log를 고객사 관리 포인트에 따라 일정한 임계치(Rule Set) 설정을 통하여 임계치에 위배되는 행위에 대한 Log만을 추출하여 관리자에게 자동 알림 기능을 제공함으로써 보안 관리자는 효용성 있는 로그를 제공받으며 추출된 임계치 위배 로그는 보안 관리자가 기업 내부의 사용자에게 주기적인 공지를 통하여 관리적인 보안지침을 공지하고 보안 의식을 홍보하는 것이 좀 더 효과적인 DRM 솔루션 운영이라고 제안하고 싶다. 결국 보안의 궁극적인 보안 목표는 인적 보안이기 때문이다.

 

DRM과 타 보안 솔루션과의 융합화ㆍ복합화

최근 시장에서 나오는 보안사업의 RFP를 살펴보다 보면 예전과 달리 단일 보안솔루션 사업으로 나오는 경우는 드문 것을 볼 수 있다. DRM 시장 상황도 마찬가지다. 내부정보 유출방지의 개념에서 기존 PC 보안솔루션과 DB보안, 출력물 보안, 개인정보 보안과 같은 타 보안솔루션과의 SI 사업이 많이 나오는 것을 볼 수 있다.

 

이러한 경향은 하나의 사업에 여러 보안솔루션을 도입하는 고객이 있기도 하지만 기존 도입된 보안 솔루션에 DRM 솔루션을 연동하여 적용하고자 하는 고객이 많아지고 있기 때문이다. 솔루션군별로 제품의 Coverage 나 장단점을 살려 최적화된 운영을 하고 싶어 한다는 반증이기 때문이다.

 

DRM 시장에서 제일 많이 요구되는 부분으로는 예전에 PC보안의 매체통제 기능과의 통합과 출력물 보안과의 단일제품 요구사항이 가장 많았지만 최근에는 개인정보보호법이 강화되고 지침이 각 기관에 내려가면서 개인정보 유출에 대한 보안 요구사항이 대세를 이루고 있다. 이러한 요구사항은 공공기관, 금융기관, 유통업체, 병원 및 학교 등에서 필수적인 보안 요건사항으로 대두되고 있으며 DRM 사업에 필수적인 보안요구 항목으로 요구되어 지고 있다.

 

이러한 요구사항에 따라 DRM 솔루션 업체들은 전문 검색엔진 기능을 탑재하기 시작했다. DRM으로 암호화된 문서가 적법한 절차에 의하여 외부로 반출되는 경우에, 해당 파일의 본문에 전문검색(FTR) 을 통하여 반출되는 파일에 특정 키워드 검색을 통하여 개인정보(주민번호,계좌번호 등)가 포함된 경우 모니터링 기능과 통제 기능을 제공하고 있다. 이러한 검색엔진과의 융합은 좀 더 고객에게 편리한 관리 기능을 제공하게 된다.

 

Mobile DRM의 요구

최근 스마트폰 열풍이 과히 폭발적이다. 조금 더 두고 봐야 정착이 되겠지만 국내에 어떠한 플랫폼의 스마트폰이 대세를 이룰지는 아직 아무도 판단하기는 어렵다. 예전에 대기업들을 보면 임원급에게 일부 스마트폰을 지급하여 업무를 보게 하던 시절은 일부 있었다. 하지만 최근에는 그룹사의 경우 포털사업 및 업무시스템을 구축하면서 이동식 사무환경을 고려하여 모든 사업에 스마트폰 지원요건이 나오고 있다. 아직은 기업에서 고민하고 있는 것이 내부 메일을 확인하는 정도로 협소하지만 계속적으로 해당 적용 범위는 광범위해질 것으로 예측이 되고 있다.

 

이런 경우 DRM이 적용된 기업들은 스마트폰에서 DRM이 걸린 파일을 열어 볼 수 없는 문제가 발생하게 된다. 아마도 조만간에 DRM 솔루션 업체들은 이러한 요구사항에 대한 문제에 직면하게 될 것이고 그 요구사항을 미리 준비하지 못하는 솔루션 업체는 시장에서 도태될 수 있을 수도 있다는 생각을 해본다.

<글 : 성귀철 마크애니 DRM 사업본부장(skcc2136@markany.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>