\r\n

직장인들은 하루에 얼마나 많은 문서를 작성할까? 이 글 뿐만 아니라 오늘 작성한 보고서, 경쟁 프레젠테이션까지 직장인의 하루는 문서로 시작해 문서로 끝난다고 해도 과언이 아니다. 특히 제조, 설계, 반도체 업체의 중요도면 및 설계기술문서, 주요 업체들의 재무제표, 회계, 영업기밀 등 기업내부 중요문서에 대해서는 특별한 보안이 필요하다. 지난 기고에서 알아본 내부정보유출방지 영역 중에서도 기업의 중요 정보가 일목요연하게 들어가 있는 문서를 보호하는 트렌드와 방안을 알아보고자 한다.

\r\n

│컴트루테크놀로지컨설팅팀(consulting@comtrue.com)│

\r\n

\r\n

문서보안 솔루션과 방식

\r\n

기존의 내부정보유출방지(DLP) 솔루션이 데이터가 나갈 수 있는 채널, 예를 들어 e-mail의 경우 네트워크를 차단 하고 문서의 경우 USB 포트를 제어했다면, 문서보안은 이보다 더 원천적으로 데이터인 문서 자체를 보호한다. 문서를 안전한 중앙서버 한 군데로 모으거나 문서 자체를 암호화하는 방식을 활용한다. 이 경우 파일이 외부로 유 출이 될지라도 내용 노출을 방지하므로 2차 피해발생을 없애고 보안을 유지할 수 있다. 물론 어떠한 채널을 거쳐 외부로 유출되었는지 알기 위해서는 DLP와의 결합이나 시스템 상 기능이 필요하다.

\r\n

\r\n

문서암호화 솔루션

\r\n

문서보안 중 가장 널리 알려진 방식은 DRM(Digital Rights Management) 방식이다. 디지털 콘텐츠의 무단 사용을 막기 위해 권한설정 및 암호화를 진행해 파일을 유통시킨다. 문서 DRM은 이를 업무용 문서에 활용하여 보안을 진행한다. 문서의 생성시점에서 암호화하고 권한 을 설정하는 것이다. 생성 시점이라 함은 문서 작성 후 저 장하는 순간을 말한다. 암호화는 자동적으로 진행된다. 문서의 라이프사이클 중 생성 시점이야 말로 이후 파일복 사, 파일전송 등 다양하게 퍼져나가는 문서 원본을 보안 할 최적의 시점이다.

\r\n

\r\n

최근에는 Lite한 방식의 문서보안 솔루션도 등장하고 있다. 개별파일에 대한 세세한 권한제어로 무겁고 활용도 가 떨어지는 기존 솔루션의 문제를 최소화 한 것이다. 컴 트루테크놀로지 셜록홈즈 문서보안의 경우 세부권한 제 어보다 문서암호화에 초점을 맞춘다. 사내에서는 암호화 된 문서를 간편하게 생성, 수정하여 활용하지만 공용키로 암호화된 이 문서는 외부로 나가게 되면 열어볼 수 없다. 외부에 반출하고자 하는 문서는 결재 프로세스를 통해 외 부 반출을 하게 된다. 문서 암호화를 통해 내부정보유출 방지 목적은 달성하되 업무흐름에 방해 없이 간편하고 편 리하게 적용하는 방식이다.

\r\n

\r\n

활용 편의성을 강화한 문서보안

\r\n

사내 문서 전체를 암호화하면 안전성 면에서는 훌륭하지만 이를 활용하는 직원들에게는 불편함이 가중될 수 있다. 최근에는 전사의 모든 문서를 암호화 하는 것이 아닌 여러 방식으로 활용할 수 있는 문서보안 기능들이 나오고 있다.

\r\n

\r\n

1. 선택적인 문서 암호화(중요 문서파일만 암호화)

\r\n

최근의 문서보안 솔루션의 경우 선택적인 문서 암호화를 지원한다. 모든 문서 파일을 암호화 하면 안전하겠지만 이 경우 불필요 파일까지 암호화해 업무 불편만 증가시킬 수 있다. 이를 위해 암호화 제외 파일을 미리 설정하거나 암호화 할 파일만을 설정할 수 있다.

\r\n

제조업체의 CAD와 같은 설계도면, 디자인 파일, 개발소스 파일과 같은 특수 파일만 암호화 하고 일반 오피스 문서는 원활하게 유통함으로써 사내 핵심 파일만을 보안할 수 있다.

\r\n

\r\n

2. 개인정보나 중요 키워드가 있을 경우에만 암호화

\r\n

내용인식기반기술을 가진 문서보안 솔루션의 경우 문서 내용 중에 개인정보 패턴이나 중요 키워드가 발견되는 경우에 한정해 자동 암호화를 진행할 수 있다. 2014년 1분기기획서, 고객정보 등 중요정보문서에 대한 암호화가 가능하다. 이 경우는 개인정보파일의 안전성 확보조치로 암호화를 요구하는 개인정보보호법까지 만족시킨다고 볼 수 있다.

\r\n

\r\n

3. 암호화 문서의 외부 활용을 위한 기능

\r\n

암호화된 문서라 하여도 외부 반출 자체가 금지되는 것은 아니다. 암호화 된 고객정보 파일을 외부 수탁 업체에 보내 이벤트 우편발송을 해야 하기도 하고 사내 신제품 제안서를 미팅에 활용하기 위해 내보내기도 한다.

\r\n

\r\n

이 경우 문서 암호화 제한을 풀거나 사용 권한을 걸어 내보낼 수 있다. 예를 들어 이 문서는 n번만 볼 수 있다와 같은 권한이다. 암호화 제한을 푸는 경우 자칫 파일 자체가 분실 될 수 있는 위험이 있어 주의를 요한다. 암호화 된 파일 자체에 권한을 걸어 내보내는 경우 외부 업체에 별도의 뷰어가 있어야 한다는 단점이 존재한다.

\r\n

\r\n

최근에는 웹 뷰어를 통해 별도 뷰어 설치 없이 외부 업체에 파일을 안전하게 보내는 방식이 추가되었다. 고객정보 파일을 통째로 보내는 것이 아니라 웹 뷰어에 접속할 수 있는 URL을 보내 파일을 읽을 수 있도록 하는 것이다. 이 경우 수탁업체는 업체별 로그인을 통해 파일을 볼 수 있지만 복사, 저장 등의 권한은 제한되게 된다.

\r\n

\r\n

문서는 곧 기업의 자산이다. 문서 암호화는 기업 자산 보호와도 같다. 무조건 적인 암호화가 아니라 어떻게 보호해야 효율적으로 적용할 수 있을지 충분히 고려하고 진행해야 할 것이다. 사전에 고려할 요소로는 전사의 문서 생성 및 흐름 분석이다. 어떤 부서가 어떠한 프로그램을 가지고 문서를 생성하고 있는 지 파악하고 중요도를 설정한다. 핵심 파일, 중요 정보 문서의 경우에는 암호화를 진행 한다. 영업이나 마케팅 등 고객 정보를 보유한 부서는 개인정보보호 기능을 추가적으로 활용 할 수 있는 지 여부도 파악해야 할 것이다. 이러한 충분한 파악과 유연한 정책 설정을 통해 업무 흐름을 막지 않는 문서 보안을 수행해야 할 것이다.

\r\n

\r\n

[월간 시큐리티월드 통권 제204호(sw@infothe.com)]

\r\n

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>

\r\n