\r\n

\r\n

\r\n\r\n\r\n\r\n\r\n

\r\n

\r\n 김 정 은 | 소프트캠프(주) \r\n 마케팅부 전략마케팅팀 팀장 (jekim@softcamp.co.kr)

\r\n

문서보안 솔루션은 내부정보 유출을 방지하기 위해 앞장 선 금융권과 대기업, 공공기관에 의해 솔루션 도입속도를 빠르게 진전시켰다. 하지만 문서 외의 다양한 중요정보 데이터에 대한 보호가 필요한 자동차산업, 중공업, 기타 제조업체, 프로그램 개발업체 등 복잡하고 다양한 데이터를 취급하는 산업 분야에서 발생할 수 있는 정보유출 방지에 대한 이슈를 포괄적으로 수용하기는 어려움이 있었다.

\r\n

이에 가상영역에 대한 보안기술을 응용한 ‘영역보안’ 제품을 통해 가상의 영역단위 암호화 방식으로 사용자의 작업 공간 내부의 데이터를 모두 암호화시켜 작업 공간 내의 데이터는 외부영역으로 유출이 불가능하도록 하며, 복잡한 데이터 파일이나 대용량의 데이터에 대한 파손을 방지하고 기존 업무환경의 변화를 주지 않는 보안대책을 마련하게 되었다.

\r\n

\r\n

내부 정보보호기술의 변화

\r\n

초기 문서보안시장은 일반 문서들을 다루는 애플리케이션(훈민정음, MS-Office, 한글, Acrobat Reader 등)에 대한 보안대책을 주로 제시하였다.

\r\n

기업의 주요 정보들은 대부분 일반적인 형태의 문서라고 불리는 워드, 엑셀, 파워포인트, 한글 등의 형태로 생성 및 유통되고 있으며, 기간계 시스템을 통해 다운로드 받는 문서들도 유사한 애플리케이션을 사용하는 문서 파일들이 대부분이었다.

\r\n

그러나 최근의 유출사고를 살펴보면 이전과는 다르게 설계 문서, 설계도면이나 프로그램 소스 파일에 대한 정보유출 사고가 급증하고 있으며, 그 피해액도 천문학적인 규모다.

\r\n

21세기 글로벌 경쟁 시대에 걸맞게 첨단과학 기술은 기업을 넘어 국가경쟁력을 좌우하는 중요한 요소로 등장하였고, 우리나라의 우수한 기술경쟁력을 내부의 사용자가 경쟁사나 해외에 팔아 버림으로써 발생하는 피해액은 실로 어마어마하다. 또한, 이러한 피해는 과거에는 반도체/휴대폰 등 정보통신기술 분야가 70% 이상을 차지했지만, 최근에는 정밀기계의 도면도, 생명공학기술 등 산업 전반으로 확산되는 양상을 보이고 있다.

\r\n

이로 인해 내부정보를 보호하는 기술에도 변화가 생기고 있다. 내부 정보보호 솔루션 기업들도 내부정보에 대한 보다 세밀한 분석을 진행하게 되었으며, 기업에서 보호해야 하는 데이터가 다양한 형태로 존재하고 있고, 그 보호방안이 미비하다는 것을 인식하면서 이에 대한 보안대책을 강구하게 되었다.

\r\n

\r\n

영역보안 솔루션(SBS : Storage Based System)의 등장

\r\n

문서보안 시스템이 기업의 정보보호를 위해 대부분의 문서파일들에 대한 생성부터 폐기까지의 전 과정에 대한 보안방안을 제시하고 있기만, 문서작성 애플리케이션의 입출력(I/O) 구현 형태를 매번 분석하여 적용하기 때문에 해당 애플리케이션에 종속되는 문제와 다양한 애플리케이션에 대한 보안대책을 적용하는데 한계가 있다. 또한, 애플리케이션과 파일형식(확장자)을 일대일로 매칭시켜 암호화하고 제어함으로써(예 : MS Word-doc, MS Excel-xls 등) 다른 형식으로의 파일변환이 불가능하다.

\r\n

더욱이 대용량 파일을 다루는 애플리케이션이나 복잡한 파일구조를 다루는 애플리케이션과 같이 파일별 암호화 방식이 어려운 보안대상에 대해서는 효율성이 저하될 수 있으며, 애플리케이션 버전이 업그레이드될 때마다 개발수요가 발생되는 약점을 가지고 있다.

\r\n

이러한 특징으로 인해 다양한 확장자의 입력 파일들과 중간 단계마다 생성되는 임시 파일, 목적 파일(Object File), 공간정보(Geo-Spatial Data), 속성정보(Attribute Data) 등을 가지는 공간정보 데이터, 설계 및 도면 데이터는 단순하게 파일 몇 개를 암호화하는 것만으로는 보호될 수 없다.

\r\n

분석·설계·개발 애플리케이션에서 사용되는 파일, 특히 GIS 및 3D CAD 등 개발관련 파일의 경우 다양한 파일 포맷으로 변환이 가능하며, 여러 개의 파일이 유기적으로 얽혀있어 각 파일별로 암호화 또는 변환을 하게 되면 유기적인 관계 즉, 상호간의 링크(Link)가 끊어져 정상적인 GIS/CAD 데이터로서의 역할을 수행할 수 없다.

\r\n

또한, 제품 설계·개발은 일련의 업무 프로세스 순환과정으로 각 업무 프로세스에서 진행되는 단계별 과정의 결과에 따라 선행과정 산출물의 수정 및 보완작업을 필요로 하거나 최종 산출물이 라이브러리화 되어 재활용되는 등 데이터의 생성·사용 패턴을 단순화하기 어렵다.

\r\n

특히, GIS/CAD 파일의 경우 다른 GIS/CAD 툴과의 협업을 위해 파일포맷 변환(Export, Save as)등의 작업이 빈번하게 일어나며, GIS/CAD 작업의 특성상 외주 설계·제작·분석 용역이 빈번하여 이에 대한 보안대책이 절실하다.

\r\n

따라서 중요 공간정보 데이터, 설계도면 등 개발정보의 외부유출을 차단하기 위하여 사용자의 기존 업무환경은 그대로 유지하면서 사용자 단말기(PC) 밖으로의 정보유출을 원천적으로 방지해야 하는 기술적 과제를 해결해야 한다.

\r\n

이에 대용량 정보보호 솔루션의 경우 업무 환경의 변화 없이 대용량 데이터 사용의 효율성까지 고려된 저장영역기반 보안을 제공하는 ‘영역보안(Storage-based Security)’의 도입이 필요한 것이다.

\r\n

저장영역기반 보안(Storage-based Security)이란 중요 정보자산이 생성되고 활용되는 기업 내 중요정보의 보안영역 저장공간과 개인 업무 등의 일반 저장공간을 구분하고,이들 간의 이동에 대하여 로깅/승인/암호화/통제하는 보안방법으로 파일이 아닌 작업영역에 대한 보안을 수행하는 솔루션이다.

\r\n

\r\n

영역보안 솔루션의 주요 기능

\r\n

\r\n

\r\n

\r\n\r\n\r\n\r\n\r\n

\r\n

\r\n 영역보안 솔루션 구성(SBS:Storage-Based Security)

\r\n

\r\n

영역보안 솔루션은 기업 내 설계정보나 프로그램 소스 정보, GIS 정보 등의 복잡하고 대용량 정보에 대한 부적절한 접근 및 불법적인 유출을 원천적으로 방지하기 위한 전문 보안 솔루션으로 설계정보의 생성에서 사용·유통·폐기에 이르는 모든 행위가 사용자 단말기 내 가상의 안전한 보안영역 내에서만 이루어지게 한다.

\r\n

이를 통하여 외부 협력사와의 설계정보 공유 시에도 인가된 사용자가 가상의 안전한 영역 내에서만 설계 정보를 열람·사용 가능케 함으로써 신뢰성 있는 공동업무 환경을 지원한다.

\r\n

\r\n

사용자 인증

\r\n

영역보안 사용자가 보안작업을 위해 사용자 환경에서 보안영역에 접근하기 위해서는 로그인을 통한 사용자 인증작업이 필요하다.

\r\n

인증을 거치지 않은 사용자는 보안영역 내의 파일들에 대한 검색이나 활용이 불가능하며, 보안영역을 탐색할 수 있는 별도의 보안탐색기를 통해 암호화된 파일들에 대한 접근이 가능하다.

\r\n

일반 탐색기로는 보안영역의 탐색이 불가능하여 인증을 거치지 않은 사용자는 사용자 환경 내 보안파일들이 어디에 존재하는지조차 알 수 없게 된다.

\r\n

\r\n

데이터 활용

\r\n

기업정책에 따라 보안영역을 활용하게 될 사용자 작업시 사용되는 문서작성 및 설계, 개발 과정에서 필요한 각종 애플리케이션은 미리 정의될 수 있으며, 이렇게 정의된 애플리케이션을 통해 산출된 작업물은 오직 보안영역에만 저장할 수 있다.

\r\n

기업정책과 달리 사용자가 임의로 보안영역 이외의 공간에 저장하려 해도 저장이 불가능하며, 반대로 미리 정의되지 않은 애플리케이션을 통한 산출물을 보안영역에 저장하려는 시도도 무력화되어 강력한 보안기능을 제공받게 된다.

\r\n

또한, 사용자는 반출권한 획득을 통해서만 작업물의 반출이 가능하며, 반출되는 작업물은 반출물 획득자(내부/외부)의 보안영역 내에서만 사용이 가능하다. 외부로 반출된 파일도 인증된 사용자의 보안영역에서만 작업이 가능하며, 작업 완료 후 단순 완료된 파일만 반납하는 것이 아니라 작업영역 자체를 반납하여 외부로의 유출을 원천적으로 차단한다.

\r\n

이를 통해 잦은 협업이나 외주 용역을 통한 업무처리 시에도 안전한 업무환경을 구현할 수 있으며, 신뢰성 있는 작업환경을 제공할 수 있다.

\r\n

허가 받지 않은 사용자 및 애플리케이션은 보안영역에 접근할 수 없으며, 일반 영역에 있는 파일은 보안영역으로 옮기는 것만으로 암호화되어 기존 파일에 대한 보안도 손쉽게 적용할 수 있다.

\r\n

FTP 및 Explore 기능 및 여타의 애플리케이션 설치로 기능이 확장되는 윈도우 탐색기로는 여러 가지 보안 취약점이 있기 때문에 보안영역에 대한 접근이 불가능하며, 오직 전용 보안 탐색기로만 보안영역에 접근이 가능하다. 또한, 보안영역이 설치되면 가상의 새로운 보안 드라이브가 생성되고, 이 드라이브는 논리적으로 암호화되므로 전용 프로그램 없이는 이 드라이브를 인식 할 수 없어 강력한 보안기능을 제공한다.

\r\n

\r\n

사용권한 통제

\r\n

\r\n

\r\n

\r\n\r\n\r\n\r\n\r\n

\r\n

\r\n 영역보안 솔루션의 능동적 대응

\r\n

사용자 인증 후에 영역보안 솔루션으로 통제하게 되는 보편적인 권한은 보안파일에 대한 조회가능 권한, 보안문서의 편집(Copy & Paste)가능 권한, 저장(Save, Save As)가능 권한, 보안문서에 대한 출력가능 여부에 대한 권한, 보안파일에 대한 화면 캡처 권한 등이다.

\r\n

또한, 보안파일의 유통 및 통제를 위해 내부사용자에 대한 보안영역 반출 권한과 외주 협력업체 및 외부사용자를 위한 외부반출 권한, 그리고 영역보안 클라이언트를 설치하지 않아 인증이 불가능한 사용자를 위한 평문반출 권한 등 사용자별로 권한통제가 가능하며, 작업 특성상 권한 변경이 필요한 사용자는 보안관리자에게 자신의 권한 변경을 요청하여 권한 변경 후 작업이 가능하다.

\r\n

\r\n

효과적인 운영과 사용자 편이성

\r\n

영역보안 시스템은 기존 업무 환경의 별다른 변경 없이 사용자별 권한에 따라 작업이 이루어지게 되며, 새로운 애플리케이션에 대한 신속한 연동 지원도 가능하다. 신규 애플리케이션은 보안영역과 연동이 가능하도록 환경 분석 및 연동 작업을 진행하게 되고 이를 통해 바로 신규 애플리케이션의 활용이 가능해진다.

\r\n

또한, Sector 단위 암·복호화를 진행하기 때문에 대용량 파일의 작업 시에도 프로세스 저하나 암호화로 인한 효율성 저하가 발생하지 않는다.

\r\n

\r\n

효율적인 보안관리

\r\n

다양한 애플리케이션을 활용하는 조직에서 사용되는 영역보안 솔루션은 다양한 사용자 환경에 적합한 효율적이고 체계적인 보안관리 체계 및 방안이 제공되어야 한다.

\r\n

영역보안 솔루션은 조직 인사정보와의 연동을 통하여 신규 사용자의 등록, 보직변경, 퇴사 등에 따른 사용자의 상태변화가 동적으로 보안관리체계에 반영되도록 지원하며, 이를 통해 실제 인사정보와 연동되어 퇴사자 관리나 부서 이동에 대한 신속한 정책적 지원이 가능하게 된다.

\r\n

또한, 작업영역을 보호하는 방안이 중요한 만큼 작업영역에 대한 사용내역 관리 및 추적기능을 제공하며, 보안사고 발생시 대처할 수 있는 예측 및 감사를 가능케 한다.

\r\n

사용자의 사용이력에 대한 로그와 유통 및 편집에 대한 모든 로그를 제공하여 보안성 높은 관리체계를 지원할 수 있다.

\r\n

\r\n

적합한 보안 솔루션과 인적보안 간의 조화가 필수

\r\n

기업의 생존을 결정짓기도 하는 중요정보에 대한 유출주체와 방법은, 이전의 시스템적인 공격이나 바이러스와 같은 외부의 침입으로 인한 유출보다 현업에서 일하고 있는 사용자 또는 퇴직자들에 의한 유출이 대부분을 차지하고 있다.

\r\n

또한, 내부자라는 유출주체의 특성상 기밀정보의 접근이 용이하고 유출정보의 정확성으로 인해 내부자를 통한 유출은 외부의 공격보다 훨씬 더 큰 경제적 손실을 주게 된다는 점에서 내부의 지적자산 보호를 위한 근본적인 보안대책 마련이 무엇보다 시급하게 요구되고 있다.

\r\n

기업의 자산인 정보는 모두 같은 형태로 존재하는 것이 아니라 다양한 형태와 시스템으로 생성 및 관리되고 있으며, 그에 따라 정보보호 방안도 정보의 특성에 맞게 선별적으로 적용되어야 한다. 기업은 이를 위해 기업 내 보호대상을 명확히 하고 구체적인 관리방안과 보안대책에 대한 정확한 설계를 끝마친 후, 해당기업에 적합한 보안 솔루션을 채택·도입해야 한다.

\r\n

가장 우선적으로 보호되어야 하는 정보는 무엇이며, 우선순위는 어떻게 되는지 해당 정보에 대한 가치판단과 기업 내에서 정보는 어떻게 존재하고 어떻게 사용되고 있는지, 즉 정보가 기업 내에서 어떻게 생성·저장·사용·전송·폐기되는지의 라이프 사이클을 파악하여 정보의 성격에 알맞은 명확한 보호방안을 수립해야 한다.

\r\n

또한, 그 보호방안에 대한 시스템적인 구축뿐만 아니라 내부사용자들의 인식변화를 유도함으로써 강력한 보안정책으로 내부사용자들을 통제함과 동시에 구성원의 보안의식을 고취하는 일이 중요하다.

\r\n

내부정보 유출방지에 대한 전사차원의 공론화 과정과 함께 내부사용자의 정보보호 윤리의식이 강화되어야만 내부 정보보호대책도 보다 큰 효과를 발휘할 수 있는 것이다.