[보안뉴스=컴트루테크놀로지 컨설팅팀] 직장인들은 하루에 얼마나 많은 문서를 작성할까? 이 글 뿐만 아니라 오늘 작성한 보고서, 경쟁 프레젠테이션까지 직장인의 하루는 문서로 시작해 문서로 끝난다고 해도 과언이 아니다. 특히 제조, 설계, 반도체 업체의 중요도면 및 설계기술문서, 주요 업체들의 재무제표, 회계, 영업기밀 등 기업내부 중요문서에 대해서는 특별한 보안이 필요하다. 이에 내부정보유출방지 영역 중에서도 기업의 중요 정보가 일목요연하게 들어가 있는 문서를 보호하는 트렌드와 방안을 알아보고자 한다.

기존의 내부정보유출방지(DLP) 솔루션이 데이터가 나갈 수 있는 채널, 예를 들어 e-mail의 경우 네트워크를 차단하고 문서의 경우 USB 포트를 제어했다면, 문서보안은 이보다 더 원천적으로 데이터인 문서 자체를 보호한다. 문서를 안전한 중앙서버 한 군데로 모으거나 문서 자체를 암호화하는 방식을 활용한다. 이 경우 파일이 외부로 유출이 될지라도 내용 노출을 방지하므로 2차 피해발생을 없애고 보안을 유지할 수 있다. 물론 어떠한 채널을 거쳐 외부로 유출되었는지 알기 위해서는 DLP와의 결합이나 시스템 상 기능이 필요하다.

문서암호화 솔루션

문서보안 중 가장 널리 알려진 방식은 DRM(Digital Rights Management) 방식이다. 디지털 콘텐츠의 무단 사용을 막기 위해 권한설정 및 암호화를 진행해 파일을 유통시킨다. 문서 DRM은 이를 업무용 문서에 활용하여 보안을 진행한다. 문서의 생성시점에서 암호화하고 권한을 설정하는 것이다. 생성 시점이라 함은 문서 작성 후 저 장하는 순간을 말한다. 암호화는 자동적으로 진행된다. 문서의 라이프사이클 중 생성 시점이야 말로 이후 파일복사, 파일전송 등 다양하게 퍼져나가는 문서 원본을 보안할 최적의 시점이다.

최근에는 Lite한 방식의 문서보안 솔루션도 등장하고 있다. 개별파일에 대한 세세한 권한제어로 무겁고 활용도가 떨어지는 기존 솔루션의 문제를 최소화 한 것이다. 컴트루테크놀로지 셜록홈즈 문서보안의 경우 세부권한 제어보다 문서암호화에 초점을 맞춘다. 사내에서는 암호화 된 문서를 간편하게 생성, 수정하여 활용하지만 공용키로 암호화된 이 문서는 외부로 나가게 되면 열어볼 수 없다. 외부에 반출하고자 하는 문서는 결재 프로세스를 통해 외부 반출을 하게 된다. 문서 암호화를 통해 내부정보유출 방지 목적은 달성하되 업무흐름에 방해 없이 간편하고 편리하게 적용하는 방식이다.

활용 편의성을 강화한 문서보안

사내 문서 전체를 암호화하면 안전성면에서는 훌륭하지만 이를 활용하는 직원들에게는 불편함이 가중될 수 있다. 최근에는 전사의 모든 문서를 암호화 하는 것이 아닌 여러 방식으로 활용할 수 있는 문서보안 기능들이 나오고 있다.

1. 선택적인 문서 암호화(중요 문서파일만 암호화)

최근의 문서보안 솔루션의 경우 선택적인 문서 암호화를 지원한다. 모든 문서 파일을 암호화 하면 안전하겠지만 이 경우 불필요 파일까지 암호화해 업무 불편만 증가시킬 수 있다. 이를 위해 암호화 제외 파일을 미리 설정하거나 암호화 할 파일만을 설정할 수 있다.

제조업체의 CAD와 같은 설계도면, 디자인 파일, 개발소스 파일과 같은 특수 파일만 암호화 하고 일반 오피스 문서는 원활하게 유통함으로써 사내 핵심 파일만을 보안할 수 있다.

2. 개인정보나 중요 키워드가 있을 경우에만 암호화

내용인식기반기술을 가진 문서보안 솔루션의 경우 문서 내용 중에 개인정보 패턴이나 중요 키워드가 발견되는 경우에 한정해 자동 암호화를 진행할 수 있다. 2014년 1분기기획서, 고객정보 등 중요정보문서에 대한 암호화가 가능하다. 이 경우는 개인정보파일의 안전성 확보조치로 암호화를 요구하는 개인정보보호법까지 만족시킨다고 볼 수 있다.

3. 암호화 문서의 외부 활용을 위한 기능

암호화된 문서라 하여도 외부 반출 자체가 금지되는 것은 아니다. 암호화 된 고객정보 파일을 외부 수탁 업체에 보내 이벤트 우편발송을 해야 하기도 하고 사내 신제품 제안서를 미팅에 활용하기 위해 내보내기도 한다.

이 경우 문서 암호화 제한을 풀거나 사용 권한을 걸어 내보낼 수 있다. 예를 들어 이 문서는 n번만 볼 수 있다와 같은 권한이다. 암호화 제한을 푸는 경우 자칫 파일 자체가 분실 될 수 있는 위험이 있어 주의를 요한다. 암호화 된 파일 자체에 권한을 걸어 내보내는 경우 외부 업체에 별도의 뷰어가 있어야 한다는 단점이 존재한다.

최근에는 웹 뷰어를 통해 별도 뷰어 설치 없이 외부 업체에 파일을 안전하게 보내는 방식이 추가되었다. 고객정보 파일을 통째로 보내는 것이 아니라 웹 뷰어에 접속할 수 있는 URL을 보내 파일을 읽을 수 있도록 하는 것이다. 이 경우 수탁업체는 업체별 로그인을 통해 파일을 볼 수 있지만 복사, 저장 등의 권한은 제한되게 된다.

문서는 곧 기업의 자산이다. 문서 암호화는 기업자산 보호와도 같다. 무조건 적인 암호화가 아니라 어떻게 보호해야 효율적으로 적용할 수 있을지 충분히 고려하고 진행해야 할 것이다. 사전에 고려할 요소로는 전사의 문서 생성 및 흐름 분석이다. 어떤 부서가 어떠한 프로그램을 가지고 문서를 생성하고 있는 지 파악하고 중요도를 설정한다. 핵심 파일, 중요 정보 문서의 경우에는 암호화를 진행 한다. 영업이나 마케팅 등 고객 정보를 보유한 부서는 개인정보보호 기능을 추가적으로 활용 할 수 있는 지 여부도 파악해야 할 것이다. 이러한 충분한 파악과 유연한 정책 설정을 통해 업무 흐름을 막지 않는 문서 보안을 수행해야 할 것이다.

[글_컴트루테크놀로지 컨설팅팀(consulting@comtrue.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>