[내부문서보안 DRM ③] 기고 : 산업기밀 지키는 문서보안 솔루션

이재필 부사장(소프트캠프) ( ZDNet Korea )   2007/08/30

외부의 불법적인 침입으로부터 기업의 기밀 정보 유출을 차단하는데 맞춰져 있던 보안의 초점이 이제는 내부자에 의한 주요 정보유출 부분으로 옮겨가고 있다. 내부자로 인한 유출은 기밀정보의 접근 용이성으로 그 경제적 손실도 외부 공격보다 훨씬 크게 나타나고 있다. 기업 핵심 정보의 전자문서화 등 정보의 유통량이 증가하고 그룹웨어, 지식관리시스템(KMS) 등 도입으로 지적 자산이 증가하면서 기업 정보 유출이 늘어나고 있는 추세이다. 기업의 기밀정보 유출은 지속적으로 증가하는 추세를 보여주고 있으며, 2007년 6월 현재 11건으로 피해액은 37조원에 이르고 있다. 정보유출에서 자유로운 기업 없다 정부에서도 2007년 4월 '산업기밀유출방지법'등의 법제화를 통해 기업 기밀정보유출을 방지하고자 노력하고 있으나, 단순 법제화만으로는 기업 기밀 정보유출 방지 가능성은 그리 높아 보이지 않는다. 요 근래 기밀 정보의 유출이 대기업중심에서 중소벤처로 확대되고 있으며 국정원에 따르면 중소기업의 기술유출이 전체의 65%를 차지하고 있다. 그만큼 중소기업의 기술수준이 향상됐음을 의미함과 동시에 이제 어느 기업도 기밀 정보의 유출에서 자유롭지 못하게 되었음을 의미한다. 지식의 정보화 사회에서 기하급수적으로 늘어나는 정보의 관리에 대한 이슈는 여러 기업에서 제기되고 있으며 엄청난 인력, 시간, 공간의 낭비를 가져오는 기존의 문서 관리 방법론을 대체할 솔루션으로 다양한 정보 공유 시스템이 등장했다. 최근에는 지식자산, 정보의 효율적 관리 및 전자문서의 주요 정보시스템과 연계, 지식의 유통 및 활용을 통해 업무생산성을 높이는 통합문서 관리 솔루션 도입에 많은 노력을 기울이고 있다. 정보공유 늘수록 총체적 보안 필요 그러나, 다양한 정보 공유 시스템을 통해 문서의 관리와 업무의 효율성은 증대했으나, 그에 따르는 정보 공유 시스템 사용자 보안 방안과 사용자들에게 유통되는 문서에 대한 보호 방안, 그리고 사용자 실수에 의한 문서의 유출과 같은 부작용도 지속적으로 대두되고 있었다. 따라서 기업은 정보에 대한 총체적인 보안 관리 방안과 전자 문서보호에 대한 필요성에 따라 문서보안 솔루션에 대한 요구가 점차 확대되어 가고 있다. 문서보안 솔루션은 기업 내 중요 정보를 안전하게 보호하는 것을 주요 목적으로 하고 중요 문서의 생성과 보관, 내부 유통 및 외부 반출의 전체적인 흐름을 통합적인 보안 정책을 통하여 체계적으로 관리할 수 있도록 해야 하며 정보를 저장하는 장소나 네트워크를 중심으로 보호하기 보다는 내부 정보 자체의 생성과 유통, 저장, 폐기에 이르기까지 내부정보에 대한 전 Life-Cycle을 보호할 수 있어야 한다. 특히 기업의 중요 정보들을 저장 하고 있는 기업에서 사용하고 있는 정보시스템이나 신규 도입하게 되는 정보시스템과의 안전한 문서 공유 환경을 위해 정보 시스템과 문서보안 시스템과의 정책 연동을 통해 기업의 전 문서의 흐름에 대한 적절한 통제 방안과 유출을 예방하고 안전한 업무 환경을 구축할 수 있어야 한다. 전자 문서를 E-mail 이나 CD-R/W 등으로 외부로 반출하더라도 사용자 고유 정보가 일치하지 않는다면 해당 문서를 열어보는 것은 불가능하며 복호화 키는 사용자의 PC에 설치되어 있는 문서보안 클라이언트 모듈에 의해 관리되며, 사용자가 암호화된 문서를 응용프로그램을 통해 호출할 때 문서보안 클라이언트의 관여로 실시간 복호화가 된다. 또한 사용 권한 제어를 통해 사용자의 문서 전송 요청 시 서버에서는 문서 암호화와 함께 사전에 정의되어 있는 해당 사용자의 문서 사용 권한 정보를 삽입하여 전송하게 된다. 일반적으로 통제하게 되는 권한은 조회, 편집, 저장, 출력 등이며, 문서별로 통제를 하게 되므로 사용자가 자신이 만든 문서를 작업하는 데는 불편을 주지 않으며, 보안이 적용된 문서를 사용할 때만 권한을 통제하게 된다. 문서를 보호하는 방안이 중요한 만큼 전자 문서의 사용 내역 관리 및 추적에 대한 부분이 향후 발생할 수 있는 사고의 예방과 함께 보안사고 발생 시 대체 할 수 있는 예측 및 감사를 가능하게 한다. 아무리 완벽한 보안이 적용되어 배포되더라도, 배포 현황이나 유통 상황에 대한 추적이 불가능하다면 정보에 대한 소유권을 가진 기업의 입장에서는 마음을 놓고 있기가 힘들다. 주요 문서의 다운로드 현황이나 사용 현황, 보안에 위배되는 시도 등 배포된 문서가 폐기되기까지의 모든 사용 내역을 수집하고 추적하는 것은 문서보안이 기본적으로 갖춰야 하는 기능이다. 문서 보안 시스템은 KMS/EDMS/Groupware 등의 중앙정보관리 시스템이 있는 모든 기업 및 기관, 채권 등의 금융/상업 문서관리가 필요한 모든 금융기관, 각종 행정 공문을 관리하는 공공기관 등 조직 내 중요 정보가 전자 문서의 형태를 보이고 있는 대부분의 업종에서 사용 가능하며 기업의 정보보호를 위해 기본적인 보안 방안이라 할 수 있다. @