디지털 콘텐츠 보호를 위한 『DRM』(2)

디지털 저작권 관리의 보호방법

DRM시스템은 음악, 영상, 문서 기타 다양한 디지털 콘텐츠를 안전하게 유통시킬 수 있는 장치를 제공하고 있다. 과거에는 상상할 수 조차 없었던 비즈니스 모델을 실현 가능하게 했다. 동시에 DRM 시스템은 콘텐츠 제공자, 특히 저작권자들이 DRM 시스템을 통하여 유통되는 그들의 창작 콘텐츠에 대하여 적절한 보상을 받을 수 있도록 보장하고 있다.

그러나 기술적인 관점에서 본다면 DRM 시스템은 매우 복잡한 문제점들을 안고 있다. 그렇다고 해서 DRM 시스템의 문제점이 단지 기술적인 측면만은 아니다. 우선 구조적인 측면에서 본다면 DRM 시스템의 호환성 확보 및 표준화는 여전히 해결해야 할 커다란 문제로 남아 있다. 법률적인 관점에서는 저작권으로부터 계약, 프라이버시 보호, 특허, 부정경쟁, 언론의 자유 등에 이르기까지 수많은 문제점들을 내포하고 있다. 따라서 DRM의 보호방법에 관해 좀 더 자세히 살펴볼 필요가 있을 것이다.

1. 기술에 의한 보호

디지털 콘텐츠를 사용하는 소비자가 그에 대한 대가를 지급하고 콘텐츠 제공자는 적절한 보상을 받을 수 있도록 하기 위해서 DRM 시스템은 디지털 콘텐츠 자체에 대한 접근과 이용을 통제할 수 있어야 한다. 이것은 암호화 기술에 의존하는 바가 크지만, 다양한 기술을 사용함으로써 구현될 수 있다.

우선 ‘디지털 컨테이너’(Digital Container)는 유통된 콘텐츠가 항구적으로 암호화되어 있는 상태로 유지되는 것을 가능하게 한다. 또, 복제통제(Copy Control) 기술은 사용자가 디지털 콘텐츠를 복제할 수 있는 전체 수량을 통제할 수 있다.

디지털 콘텐츠 및 그에 대한 디지털 권리가 자동화되어 거래의 대상이 될 수 있도록 하기 위해서 DRM 시스템은 디지털 콘텐츠와 그에 관련된 매개변수(Parameter)를 공식적으로 표현하기 위하여 메타데이터(Metadata)를 사용한다. 이로써 콘텐츠 제공자는 매우 세분화된 방법으로 소비자가 언제 그리고 어디서 특정한 콘텐츠를 어떤 목적으로 사용하는가를 자동적으로 통제할 수 있다.

메타데이터 시스템은 디지털 콘텐츠를 나타내는 표준으로 DOI1) , ISBN, ISRC2) , ISMWC 또는 PII3) 등을 사용하며, 디지털 콘텐츠의 권리자를 표기하기 위해 CAE/IPI와 같은 표준을 사용한다. 또한 메타데이터는 디지털 콘텐츠의 사용조건, 즉 소위 사용규칙(Usage Rules)을 사용하는데, 이는 XrML4) , 또는 ODRL과 같은 권리 관리언어로 정의되어 있다.

메타데이터는 디지털 콘텐츠 형태의 특수한 헤더(Header)에 저장될 수도 있고, 디지털 워터마킹(Digital Watermarking) 기술에 의하여 직접 디지털 콘텐츠 내에 삽입되기도 한다. 뿐만 아니라 고도의 보안을 유지하기 위하여 다양한 기술이 사용되며, 디지털 콘텐츠 자체, 디지털 콘텐츠에 수반하는 메타데이터 및 DRM 시스템의 하드웨어와 소프트웨어를 구성하는 여러 요소들의 무결성(Integrity) 및 신뢰성(Authority)을 보장하기 위해서도 다양한 기술이 사용된다.

게다가 보안이 훼손되는 것을 방지하기 위하여 변경이나 부정조작에 대한 보호기능, 즉 변조 방지기능(Tamper-Proof)이 내장된 하드웨어 및 소프트웨어를 사용한다.

또 디지털 콘텐츠가 전환된 후에 보호되고 있는 콘텐츠가 불법으로 복제되는 것을 방지하기 위하여 특수한 아날로그 보호시스템과 디지털워터마크가 채용된다. 이는 그러한 불법복제를 불가능하게 하거나 적어도 어렵게 한다. DRM 시스템은 단지 수동적인 보호시스템이 아니다.

DRM시스템은 보안을 훼손하는 것을 직접 방지하거나 또는 이에 능동적으로 대처하기 위한 여러 수단을 사용한다. 더욱이 대규모 시장에서 성공하기 위해서 DRM 기술은 소비자의 콘텐츠 사용 장치 자체에 표준화된 방법으로 내재되어 있어야 한다. 따라서 오늘날 우리가 시장에서 구입하게 되는 다양한 미디어 시스템들은 여러 개의 DRM 기술 중 하나를 사용하고 있는 것이다.

결국 DRM 시스템은 단순한 복제방지기술로부터 디지털 콘텐츠의 안전한 유통을 위한 매우 복잡한 시스템에 이르기까지의 다양한 기술의 복합체를 뜻하는 일반 개념으로 보아야 할 것이다.

그러나 DRM 시스템이 고도의 기술적 안전을 약속하고는 있지만, 현재로는 100% 완전한 보안을 보장하지는 못한다. 이미 과거에도 기술적 보호조치는 다른 기술에 의하여 무력화되었거나 회피된 바 있다. 이는 장래에도 마찬가지일 것이다.

이러한 면을 고려하여 DRM 시스템의 안전성을 증대시키기 위해 특별한 규정이 마련되었다. 이 규정에 의하면 기술조치를 무력화 내지 회피하는 것 및 그러한 기술조치를 회피하는데 사용될 수 있는 장치를 제조하고 이를 배포하는 행위, 즉 준비행위도 금지된다.

이러한 규정의 발단은 세계지적소유권기구(WIPO)의 주도하에 1996년 채택된 WIPO저작권조약(WIPO Copyright Treaty, 이하 WCT)과 실연·음반조약(WIPO Performa nces and Phonograms Treaty, 이하 WPPT)에서 찾을 수 있다.

미국에서는 1998년 디지털밀레니엄저작권법(Digital Millennium Copyright Act, 이하 DMCA)을 제정하면서 매우 복잡한 기술 조치 보호규정을 신설하였다(미국 저작권법 제1201조~제1205조). 물론 1992년의 Audio Home Recording Act(미국저작권법 제1001조~제1010조), 통신법(47 U.S.C. 제553조 및 605조) 및 영업비밀보호법 등의 규정들도 이에 속한다. EU에서는 최근에 제정된 멀티미디어지침에 기술조치의 회피 및 그 준비행위를 금지하기 위한 규정을 포함시키고 있다.

뿐만 아니라 l998년의 EU의 조건부 접근지침(Conditional Access Directive)은 기술조치 회피 준비행위에 대하여 다양한 조건부 접근지침서비스(예컨대 Pay-TV, 그러나 인터넷 서비스는 제외됨)를 보호하고 있다.

물론 이러한 지침들 이외에도 EU의 회원국들은 각각 자국내 법률에 기술보호조치를 회피하는 행위를 금지하는 규정들을 두고 있다. DRM 시스템의 메타데이터를 변경하거나 조작하는 행위를 금지하는 규정도 있다. 보통의 경우 이러한 규정들은 디지털 콘텐츠 자체, 그의 권리자 및 그 사용규칙 등을 식별하는 메타데이터를 보호하고 있다.

2. 계약에 의한 보호

DRM 시스템에서 콘텐츠 제공자는 기술 및 기술조치 보호규정만으로는 충분한 보호를 받지 못한다. 따라서 그들은 계약을 통하여 소비자들에게 보호받는 콘텐츠를 일정한 방법으로만 사용하도록 의무화하려고 한다.

이와 같이 계약에 의하여 보호받는 DRM 시스템의 경우, 소비자는 그들이 DRM기술이 채택된 하드웨어나 소프트웨어장치를 구입할 때 또는 그들이 DRM시스템 내에서 원하는 각각의 콘텐츠를 접근할 때에 위와 같은 계약을 체결하도록 요구 받는다. 소위 ‘클릭랩 계약’(Click Wrap Contract)이 성립하는 것이다.

이러한 DRM계약은 디지털 콘텐츠 및 DRM시스템 자체를 보호하기 위하여 사용되며, 이와 같은 계약에 의한 보호는 그 계약이 법률적으로 유효한 경우에만 도움이 될 수 있다.

DRM계약은 소프트웨어 양도시에 사용되는 ‘쉬링크랩 라이센스’(Shirink Wrap license)와 매우 유사하다. 따라서 소비자와 체결되는 DRM 계약은 무효가 될 가능성이 있지만, 미국 제7항소법원(7th Circuit Court of Appeals)의 판결과 ‘통일 컴퓨터 정보거래법’(Uniform Computer Information Transactions Act, 이하 UCITA)은 이러한 쉬링크랩 라이센스 계약을 유효한 것으로 보는 경향이 있다.

이는 각각의 체결방식 및 내용을 어떻게 형성하는가에 따라, 그리고 이를 실제로 구현하는 영업방법이 어떠한가에 따라 크게 차이가 날 수 있다. 따라서 DRM시스템에서 콘텐츠 제공자가 그들의 콘텐츠를 계약에 의해 보호하는 것이 전혀 불가능한 것은 아닌 것이다.

이상과 같은 계약에 의한 직접적인 보호 외에도 기술에 의한 보충적 보호도 가능하다. 이를 부연하면, 소비자와 체결되는 DRM계약은 소비자가 해당 콘텐츠를 사용하는 방법을 정의하고 있는 권리 관리언어(Right Management Language)로 메타데이터에 의하여 표현된 ‘사용규칙’을 포함하고 있다.

만일 계약의 내용에서 복제의 허용범위를 2회로 제한하고 있다면, 기술적인 방법으로 디지털 콘텐츠의 메타데이터도 단지 2회의 복제만을 허용할 뿐 그 범위를 벗어나는 복제행위는 불가능하게 할 수 있다. 이것은 계약 내용 이외의 행위는 법률에 의하여 금지할 뿐만 아니라, DRM시스템에 구현된 기술에 의해서도 금지될 수 있음을 의미한다.

법률적인 관점에서 소비자들이 계약상의 조건들을 준수하도록 단지 법률상의 강제뿐만 아니라 기술에 의해서도 그 계약조건의 준수를 보장한다는 점은 DRM시스템의 매우 중요한 특징이다. 이는 계약에 의한 디지털 콘텐츠의 보호가 추가적으로 기술에 의하여 보충된다는 것을 의미한다.

그러나 메타데이터의 변경이나 삭제행위는 DRM계약의 준수를 기술적으로 보호하는 것을 무력화시키기도 한다. 이러한 기술조치에 대한 훼손을 방지하기 위하여 법률은 특별히 메타데이터의 변경 또는 삭제를 금지하는 규정을 두고 있다. 기술조치보호규정에 의해 보충적인 보호가 이루어지는 것이다.

3. 라이선스에 의한 보호

많은 DRM기술은 특허에 의하여 보호되거나 영업비밀로 유지되고 있다. 따라서 컴퓨터나 기타 전자장치의 제조사들은 이러한 기술의 개발자와 기술라이선스 계약을 체결함으로써 암호화된 기술의 보호화키에 관한 정보, 기타 DRM 시스템에 적용된 정보를 얻을 수 있게 된다.

DRM기술에 대한 라이선스 계약은 콘텐츠 제공자의 이익을 보호하기 위해 사용될 수도 있으나 실제로는 콘텐츠 제공자가 DRM기술의 라이선스 제공자인 경우는 드물다. DRM기술의 개발자들이 그들의 기술이 소비자 장치에 구현될 때에는 반드시 콘텐츠 제공자의 이익이 보장되어야 한다는 조건으로만 그들의 기술을 라이선스하여 줌으로써 결국 DRM 기술의 라이선스를 통하여 간접적으로 콘텐츠 제공자의 이익을 보호할 수 있게 되는 것이다.

각주

1) 디지털 객체 식별자 (Digital Object Identifier)

인터넷 주소가 바뀌어도 사용자가 그 문서의 새 주소로 찾아갈 수 있도록 웹 파일이나 인터넷 문서에 영구적으로 부여된 식별자. 즉, 서적에 매겨진 국제 표준 도선번호(ISBN)처럼 모든 디지털 객체에 부여되는 고유 식별 번호다. 미국CNRI(Corpo-ration for National Research Initiatives)가 1997년 최초로 디지털 객체 식별자(DOI) 체계를 선보였으며, 1998년 국제 DOI 재단(IDF)이 결성되어 표준화 및 응용 사업의 다각화를 체계적으로 추진하고 있다. DOI에는 디지털 콘텐츠 소유, 제공자를 비롯하여 데이터에 관한 각종 정보가 입력되어 있어 디지털 콘텐츠의 주소나 위치가 바뀌어도 쉽게 찾을 수 있고, 저작자 보호와 콘텐츠의 유통 경로를 자동 추적하여 불법 복제를 막을 수 있도록 도와준다. 또한 전자상거래에서의 계약, 판매 등을 투명하게 기록함으로써 사이버 거래를 활성화하는 데에도 크게 기여하고 있다.

2) 국제 표준 녹음 코드 (International Standard Recording Code)

로열티 지불 보증을 위해 콤팩트디스크(CD), 뮤직 비디오, 기타 매체의 음악 및 영상 음악 녹음을 식별하는 데 사용되는 국제적 코드. 특히 디지털 녹음을 비롯하여 모든 녹음을 식별할 필요에 따라 국제표준화기구(ISO)가 1986년에 ISO 3901로 개발했다. 각 트랙이나 녹음에 12개의 문자 및 숫자로 되어 있는 국가명-등록자-기준 연도-목적 코드를 말한다. 예를 들면, GB-Z03-01-53900에서 국가명은 ISO가 지정한 국가별 2개 문자, 등록자는 3개의 문자 및 숫자, 기준 연도는 해당 연도의 끝자리 2개 숫자, 목적 코드는 5개 숫자로 제작자나 소유자가 지정한 코드이다. 중복 사용할 수 없으며 내용이 변경되거나 재생 시간이 달라지면 재등록해야 한다.

3) 개인 식별 정보 (Personally Identifiable Information)

개인을 직접 식별하거나 유추하여 알 수 있는 모든 정보. 이름, 주소, 이메일주소, 신용 카드 번호, 주민 등록 번호, 인터넷 주소, 기타 PII와 관련된 단일 식별자(UID) 등 개인 정보를 말한다.

5) 확장성 권리 생성 언어 (Extensible Rights Markup Language)

콘텐츠 및 서비스의 신뢰를 확보하기 위한 디지털 권한 언어. 디지털 콘텐츠와 서비스를 포함한 모든 자원과 관련된 권리 및 조건들을 보안적으로 규정하고 관리하는 일반적인 방법을 제공하며, 어떤 수준(개인, 그룹, 단체)의 권리 및 조건을 가진 단일 티어(tier)나 다중 티어에서도 사용된다. 또한 권한과 조건의 무결성을 유지하기 위해 신뢰 환경을 규정하고 있다.
 

<글: 주상식 SM엔터테인먼트 개발팀 팀장, 동국대 정보보호대학원> 

[보안뉴스(info@boannews.com)]