IT Life

DRM, 기업 내부 자산 보호를 위한 선택

2013. 7. 10. 09:43

 

‘DRM’에 대해서 들어본 적 있으신가요? DRM은 Digital Rights Management의 약자로, 그대로 풀이하면 ‘전자 권리 관리’인데요. 간단히 얘기하면 디지털 저작물 보호 및 관리를 의미합니다. 많은 사람이 DRM에 대해 모르고 있는데요. 오늘은 DRM의 다양한 분야와 또 알려지지 않은 부분들에 관한 이야기를 해보려 합니다.

우리가 보통 알고 있는 DRM은 2가지입니다. 하나는 기업에서 많이 사용하고 있는 문서 DRM, 문서 보안 솔루션인데요. 이는 문서를 저장할 때 보안을 걸어 사용자 인증을 받지 못한 사람은 문서를 열람하지 못하게 하는 것입니다. 다른 하나는 멜론, 도시락 등 유료 음원 서비스에서 제공하고 있는 음원 DRM이라 불리는 디지털 음원 보안 솔루션입니다. 일반 사람들에게는 후자인 음원 DRM이 많이 알려졌는데요. 멜론 DRM이나 도시락 DRM, 애플의 아이팟 등에서 사용했던 애플 DRM 등이 음원 DRM에 속합니다.

이 글에서 다룰 부분은 바로, 문서 DRM이라 불리는 문서 보안 솔루션입니다. 시장에서는 주로 음원 DRM을 퍼스널 DRM, 문서 DRM을 엔터프라이즈 DRM이라고 얘기하는데요. 최근에는 기업에서 만들어져 내부적으로 유통되는 다양한 멀티미디어 파일(음원 파일, 동영상 파일 등)에 대한 관리도 같이 진행되곤 하므로 음원 DRM도 엔터프라이즈 DRM 영역에 들어간다고 할 수 있습니다. 이 때문에 기업에서 사용하는 DRM 서비스를 엔터프라이즈 DRM으로, 개인이 사용하는 서비스를 퍼스널 DRM으로 구분하기도 하는데요. 보통 엔터프라이즈 DRM은 문서 DRM을 지칭하는 말로 기업에서 도입하는 보안 솔루션입니다.

기업에서 도입하는 보안 솔루션은 흔히 3가지로 나눌 수 있습니다. 첫 번째는 외부의 보안에 대한 위협으로부터 방어하는 외부 보안 솔루션입니다. 방화벽 시스템이나 IPS, IDS와 같은 위협 감지/탐지 시스템, 좀비 PC 방어시스템(안티바이러스 시스템) 등이 외부 보안 솔루션 범주에 속합니다. 두 번째는 관제 시스템입니다. 관제 시스템은 시스템의 위협을 직접 막지는 못합니다. 하지만 예측해서 위험을 알려주고 통계 결과를 통해 앞으로의 일에 대비할 수 있도록 합니다. ESM(Enterprise Security Management)이라 불리는 통합 보안 관제 서비스나 TSM(위협 관리 시스템), LMS(로그 관리 시스템) 등이 바로 이 범주에 들어갑니다. 마지막으로 내부 보안 시스템이 있습니다. EAM(권한 관리 시스템)이나 접근제어 시스템, DLP, 그리고 오늘 얘기하고자 하는 문서 DRM이 바로 내부 보안 시스템의 영역에 들어가는데요. 내부 보안 시스템은 내부 시스템의 데이터를 보호하고 데이터 유출을 방지하고자 내부 사용자에 대한 권한 관리나 접근 제어를 통해서 허가받지 않은 사용자의 접근 및 사용을 차단합니다.

또한, DRM은 데이터 자체를 보안합니다. 기술적으로는 데이터 파일을 암호화하고 접근이 허용된 사용자나 PC, 혹은 PC 안의 프로세서가 접근할 때만 암호화된 내용을 복호화하여 사용할 수 있도록 하는 것인데요. 여기에 사용자, 혹은 프로세스별 권한을 제공하고 권한에 맞게 사용에 제한을 둡니다. 문서를 예로 들면, 작성한 사람이 직책이나 직급에 따라서 문서의 열람 권한을 달리해서 만들 수도 있습니다. 이렇게 제한을 둔 문서의 경우, 허용되지 않은 부서나 사람은 열람이 되지 않거나, 문서를 열람할 수는 있으나 수정이나 인쇄를 할 수 없도록 하는 등의 사용 권한을 제한할 수 있습니다.

즉, DRM이 적용된 문서 파일이 밖으로 유출됐다고 해도 사용자 권한을 받지 못하면 문서를 열람할 수 없어 내부 내용이 유출되지 않고 기밀문서에 대한 보안이 가능한 것입니다. 이러한 탓에 문서보안 솔루션을 한때는 유출 및 복사 방지 솔루션으로 많이 도입하기도 하는데요.

다시 정확하게 DRM의 기능을 정리하면 데이터 파일 단위로 파일 자체에 보안을 적용하여 적법한 인증을 받지 못한 사용자에게 문서의 열람 권한을 제공하지 않는 것입니다. 이를 통해 데이터를 보호하고 불의의 사고로 파일이 유출되더라도 내용을 보호할 수 있는 솔루션이라 할 수 있습니다.

DRM의 기능을 살펴보면 기업에 꼭 필요한 솔루션이라는 생각이 드는데요. 하지만 DRM을 사용하는 사용자들은 DRM을 매우 불편해합니다. 그 이유로 몇 가지를 생각해 볼 수 있는데요. 먼저 기술의 불안정함 때문입니다. 기존 DRM 솔루션은 오피스 어플리케이션이나 이메일 어플리케이션 등 문서를 만드는 어플리케이션을 제어하는 기술로 운영체제와 어플리케이션 사이의 메시지 및 신호 전송을 가로채는 ‘후킹’이라는 기술을 사용하는데요. 이 기술이 매우 불안정하여 종종 장애를 발생시키기 때문입니다. 또한, DRM 사용 시, 회사 내 사용은 큰 문제가 없는데 타 회사에 문서를 전달해야 할 때 문제가 발생합니다. 해당 회사에도 같은 DRM 시스템이 갖춰져야 하거나 DRM을 적용하지 않은 상태로 전달해야 하는 불편함도 있습니다. 그 외에도 DRM 사용에 여러 불편함이 있는데요. 아무래도 보안이 적용되면 편의성은 상대적으로 떨어질 수밖에 없는 것이 현실이죠.

이런 불편함을 감수하고 기업이 왜 DRM을 도입하려고 할까요?
보안이라는 것은 스스로 자원을 보호하기 위해서 만들어진 기술입니다. 회사 안에서 기밀문서로 분류되어 만들어진 내용을 회사 내부의 직원이 내부에서만 사용하고 다른 곳으로 전달하지 않는다면, 즉 규칙 그대로를 잘 적용해서 사용한다면 DRM이라는 것을 도입할 필요가 없겠지요. 하지만 아쉽게도 현실에서는 내부 직원이 자신의 이익을 위해서 회사의 자료를 넘긴다든지, 유출된 파일을 자기의 임의대로 사용한다든지 하는 경우가 종종 발생합니다. 개인으로서는 불편하지만, 기업 입장에서는 자산을 안전하게 보호해야 할 필요가 있기 때문에 DRM을 도입할 수밖에 없죠.

위에서 잠깐 언급했던 음원 DRM 역시 마찬가지입니다. 분명 생산자의 소유권과 사용권에 대한 분쟁이 있을 수 있습니다. 개인은 돈을 주고 샀으니 음원의 소유권을 가져갔다고 생각할 수 있지만, 음원을 만들고 배포하는 입장에서는 돈을 주고 구매한 것은 음원의 사용권을 가져간 것이지 그 음원의 소유권을 가져간 것은 아니라고 생각합니다. 여전히 둘 사이에 법적으로 해결되지 못한 간극이 존재하고 있습니다. 문서 DRM 역시 문서를 만든 사람이 소유권을 갖고 있으며 후에 본인이 임의대로 사용할 수 있다고 생각합니다. 하지만, 기업 입장에서는 기업의 오더를 받아서 만든 문서이기 때문에 문서의 소유권은 기업에 있으며 기업의 자산이라는 입장인 것이지요. 이 때문에 문서의 소유권과 사용권에 대한 개인과 기업 사이의 논쟁이 있는 것입니다.

여러 관점과 이슈가 있지만, DRM은 기업이 기업의 자산 보호를 위해 필요한 보안 솔루션입니다. 최근 기업들은 외부 보안뿐 아니라 내부 보안에도 상당히 신경을 쓰는데요. 아무리 철벽 방어를 한다 하더라도 안에서 뚫리면 아무런 소용이 없기 때문입니다. 하지만 아무리 보안 솔루션이 잘 갖추어졌다 하더라도 사용자가 보안 인식을 가지고 있지 않다면 아무 소용이 없을 것입니다. 기본을 잘 지키면 여러 보안장치들이 필요 없겠지만, 그렇지 않은 현실 속에서 기업과 직원 간의 논쟁은 앞으로도 지속될 것으로 보입니다.

 

 

l 글 이학준 (http://poem23.com/ 필명: ‘학주니’)

Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로