디지털 콘텐츠 보호를 위한 『DRM』(3)

강력한 불법복제방지 기술로 디지털 콘텐츠를 사수하라!

 

디지털 저작권 관리의 기술 개요

디지털 콘텐츠에 대한 불법적인 사용이나 복제를 방지하기 위한 기술적인 접근방식은 크게 소극적인 보호기술과 적극적인 보호기술로 구분할 수 있다. 소극적인 보호기술(Passive Protection Technology)은 일종의 스피드 범프(Speed Bump)와 같은 역할을 제공하는 기술로, 허가되지 않은 사용자에게 비록 디지털 콘텐츠의 사용은 허가하되 법적인 자각심을 유도하여 스스로 불법적인 행동을 자제하게 만드는 효과를 기대하는 방식이다. 적극적인 보호기술(Active Protection Technology)은 암호화 기술을 이용하여 사용이 허가되지 않는 사용자에게는 디지털 콘텐츠의 접근을 차단시키는 강력한 불법복제방지 기술을 사용하는 방식이다.

소극적 보호 기술

1. 저작권 정보 표시 (Copyrights Information)

저작권 정보의 표시방식은 디지털 콘텐츠를 사용하기 전에 사용자가 저작권에 대한 정보를 볼 수 있도록 함으로써, 사용자로 하여금 무단도용 혹은 복제 및 배포에 대한 행위를 자제하게 하는 역할을 한다.

대표적인 예로는 영화의 앞부분에 저작권에 대한 공지를 보여주거나, 전자문서의 표지나 문서 하단 부분에 저작권 정보를 표시하는 것들이 있다. 저작권 정보의 표시는 디지털 콘텐츠 제작 업체나 공급업체가 나름대로의 형식으로 저작권 정보를 콘텐츠 내부에 직접 추가하는 것이 일반적이지만, 인터넷에 게시되는 디지털 콘텐츠에 대해서 저작권 정보를 자동으로 생성해 주는 ‘Creative Commons’와 같은 표준화 된 툴과 정보형식을 사용하기도 한다.

2. 디지털 워터마킹(Digital Watermarking)

디지털 워터마킹 방식은 저작권 정보를 담고 있는 워터마크 정보를 원본의 내용을 왜곡하지 않는 범위에서 혹은 사용자가 전혀 인식하지 못하도록 디지털 콘텐츠에 삽입하는 기술이다. 이렇게 삽입된 워터마킹 정보는 저작권에 대한 침해 사례가 발생하였을 경우, 복제된 디지털 콘텐츠의 내부에서 저작권 정보를 추출하여 저작권 소유에 대한 증거 자료로 활용될 수 있다.

3. 디지털 핑거프린팅(Digital Fingerprinting)

디지털 핑거프린팅 방식은 디지털 워터마킹과 비슷한 기술이지만 저작권자나 판매자의 정보가 아닌 사용자의 디지털 콘텐츠의 사용내역 정보를 삽입함으로써 사후에 발생하게 될 콘텐츠의 불법 복제자를 추적하는데 사용하는 기술이다.

디지털 핑거프린팅 방식은 디지털 콘텐츠를 사용하는 사용자 고유의 정보를 담고 있는 핑거프린팅이 삽입되므로, 정상적인 사용자인 경우 서로 다른 핑거프린팅을 가진 콘텐츠를 사용한다는 것이 워터마킹 기술과의 차이점이다. 또한 디지털 워터마킹은 불법 사용 여부를 확인 할 수 있는 정보만을 제공하지만, 디지털 핑거프린팅은 사용자가 디지털 콘텐츠를 사용할 때 사용내역이 삽입되기 때문에 디지털 콘텐츠의 불법복제 경로 추적을 위해 사용될 수 있다.

적극적 보호 기술

저작권 정보를 표시하는 방법이나 디지털 워터마킹을 사용하는 등의 소극적인 보호기술은 비록 허가되지 않은 사용자라고 하더라도 디지털 콘텐츠의 접근을 허용하는 것에 비해 적극적인 보호기술은 허가되지 않은 사용자로부터 접근을 원천적으로 차단함으로써 콘텐츠를 적극적으로 보호하는 기술이다.

적극적인 보호기술은 기술적인 특성에 따라 접근제어(Access Control) 방식과 사용제어(Use Control) 방식, 그리고 복제방지(Copy Protection) 방식으로 크게 구분할 수 있다. 접근제어 방식은 사용자 혹은 디바이스가 특정 디지털 콘텐츠에 대해 접근권한이 있는 경우에만 해당 디지털 콘텐츠의 사용을 허가하는 기술이다. 이 방식은 디지털 콘텐츠에 대한 정당한 권한을 가지고 있는 사용자만이 콘텐츠에 대한 접근 및 이용을 할 수 있도록 하는 것으로, 대표적인 예로는 방송 콘텐츠의 유료채널 보호를 위해 사용되는 CAS(Conditional Access System: 수신제한 시스템) 기술과 E-mail의 보호를 위해 사용되는 PGP(Pretty Good Privacy) 등이 있다.

그러나 접근제어 방식은 비록 암호화 기술을 이용하여 콘텐츠를 암호화한다고 하더라도 허가된 사용자에겐 암호화된 콘텐츠를 복호화하여 원본 콘텐츠를 제공하기 때문에 지속적인 보호가 불가능하다는 한계점을 지니고 있다.

사용제어 방식은 사용권한이 있는 사용자라 하더라도 부여된 권한에 따라서 디지털 콘텐츠의 사용권한을 지속적으로 통제하는 방식이다. 협의적 의미로 사용되는 N-DRM이 이 방식에 해당되는 대표적 기술이다. 복제방지 방식은 디지털 콘텐츠를 저장매체나 또는 디바이스에 유일하게 부여된 정보를 키로 사용하여 암호화함으로써, 다른 매체나 디바이스로 복제가 되어도 의미 없는 데이터가 되게 하는 기술이다. 복제방지기술의 대표적인 예로는 5C의  DTCP1) 와 4C의 CPPM/CPRM, 그리고 Intel의 HDCP HDCP2) 등이 있다.

디지털 저작권 관리의 핵심 기술

DRM 시스템은 여러 종류의 기술들의 집합으로 구성되어 있으며, 대표적인 DRM의 핵심기술은 다음과 같다.

암호화 기술(Cryptography)

DRM은 콘텐츠와 라이센스의 기밀성과 무결성 보장, 그리고 비허가자에 대한 접근성을 제한하기 위해 암호화 기술을 사용한다. 콘텐츠와 라이센스의 기밀성을 보장하기 위해DES/3-DES, AES-128 등의 대칭키(Symmetric Key) 방식의 암호화 알고리즘이 사용되며, 무결성 및 인증 처리를 위해 PKI 인증서 기반의 전자서명 기술을 이용한다.

암호화 기술에 대한 강인성은 암호화 알고리즘 자체의 강인성 측면과 키 길이에 따른 강인성으로 구분하여 생각할 수 있다. 암호화를 위해 사용되는 키 길이의 증가는 암호화된 콘텐츠의 보안성을 증가시키게 되며, 설령 해독할 수 있다고 하더라도 해독하기 위한 비용이 정보의 가치보다 높게 만듦으로써 불법적인 공격을 무력화시키는 효과를 누릴 수 있다.

암호화 알고리즘 자체의 강인성도 매우 중요한 요소이다. 암호화 알고리즘으로 많이 알려진 것은 DES와 3-DES 알고리즘이었으나 최근 이들 알고리즘의 취약점이 드러나면서 최근에는 AES(Advanced Encryption Standard) 알고리즘이 많이 사용되고 있다.

키 관리 기술(Key Management)

일반적으로 DRM은 허가되지 않은 사용자로부터 디지털 콘텐츠를 보호하기 위해 콘텐츠를 암호화하고, 허가된 사용자에게 복호화를 위한 키정보를 전달함으로써 콘텐츠의 보호를 실현하게 된다. 콘텐츠의 암호화는 랜덤하게 생성된 암호화 대칭키(CEK)를 이용하게 되며, 이러한 암호화 대칭키는 라이센스에 권리정보와 함께 콘텐츠의 이용자에게 전달되어 콘텐츠를 복호화 할 때 사용된다.

따라서 디지털 콘텐츠의 암호화를 위해 사용된 CEK는 매우 안전하게 관리되고 배포되어야 한다. CEK 키를 관리하는 방식은 CEK를 저장하는 방식에 따라 중앙관리 방식과 Envelop 방식으로 구분된다. 중앙관리 방식은 CEK를 중앙의 키관리 서버(KMS : Key Management Server)에 저장하는 방식이고, Envelope 방식은 콘텐츠의 DRM 패키징시에 사용된 CEK를 Secure Container 내부에 저장하는 방식이다.

DRM 패키징 포맷(Secure Container)

DRM에서의 패키징 기술은 디지털 콘텐츠의 보호 및 신뢰성 있는 유통을 위해 디지털 콘텐츠를 암호화하고, 메타데이터를 추가하여 하나의 전자적 정보구조체 형태(Secure Container)로 구성하는 기술이다. 일반적으로 콘텐츠의 패키징은 콘텐츠별로 랜덤하게 생성된 비밀키(CEK)를 이용하여 암호화함으로써 기밀성을 보호하게 된다. 생성된 Secure Container를 전자서명 함으로써 유통되는 콘텐츠의 무결성 보장과 저작권 소유에 대한 인증처리를 하게 된다.

디지털 콘텐츠의 패키징을 위해서는 암호화된 콘텐츠와 메타데이터, 그리고 기타 유통관련 정보들이 하나의 Secure Container 파일로 구성될 수 있어야 하는데, Secure Container의 포맷은 이러한 구조체 정보들이 삽입될 수 있는 전자적 정보구조체를 제공한다.

디지털 콘텐츠 식별체계(Identification)

디지털 콘텐츠 식별체계는 디지털 콘텐츠의 글로벌한 식별을 가능케 함으로써 유통 과정에서의 콘텐츠 관리 및 가치 사슬간 콘텐츠의 정보교환을 용이하게 하는 기술이다. 대표적인 식별체계로는 미국출판협회(AAP, Association of American Publisher)에서 개발한 DOI(Digital Object Identfier)가 있으며, RFC 2396에서 정의하고 있는 URI(Uniform Resource Identifier), 그리고 한국전산원에서 개발한 UCI(Universal Contents Identifier) 등이 있다.

메타데이터(Metadata)

메타데이터는 디지털 콘텐츠에 대한 식별정보, 내용정보, 그리고 특성정보 등을 표현하는 기술로, 디지털 콘텐츠의 체계적인 관리 및 원활한 검색에 활용됨으로써 이용의 효율화를 높여준다. 현재까지 메타데이터에 대해 범용적인 사용을 목적으로 확정된 국제 표준은 없는 상태이며, MPEG-21, TV-Anytime, SMPTE, W3C, AAP, OeBF, INDECS 등과 같은 국제 표준화 단체에서 이에 대한 연구를 추진 중에 있다.

권리 표현기술(Rights Experssion)

디지털 콘텐츠의 사용 권한은 일반적으로 디지털 콘텐츠 배포자로부터 허가된 사용자에게 제공되는 라이센스에 명시되어 전달되며, 이러한 라이센스는 기계가 해독할 수 있는 형태의 권리표현 기술을 이용하여 생성되고 전달된다. 권리 표현기술은 디지털 콘텐츠에 대한 사용 권한과 조건을 표현한다. 디지털 콘텐츠에 대한 사용 권리는 다양한 비즈니스 환경에 따라 표현이 달라질 수 있는데, 이에 따른 다양성과 확장성 그리고 유연성을 충분히 보장하는 표현 기술이 필요하다.

권한 통제기술(Rights Enforcement)

권한 통제기술은 디지털 콘텐츠를 라이센스에 명시된 사용 권한과 사용조건의 범위에서만 사용될 수 있도록 지속적으로 통제하는 기술이다. 이에 대한 사용 통제는 콘텐츠 처리 응용프로그램에 대한 직접적인 제어를 필요로 한다.

변조 방지기술(Tamper Resistance)

DRM은 정해진 사용권한 범위 이외의 행위를 기술적으로 차단하는 기술을 포함하고 있다. 그러나 이러한 차단 기술은 악의적인 목적을 가진 사용자에 의해 소프트웨어의 구조변경이나 기술적 보호조치의 무력화 등 다양한 해킹 위협에 노출되어 있다. 변조 방지기술은 이러한 해킹 위협으로부터 DRM 소프트웨어를 안전하게 보호하기 위한 기술이다.

사용자·디바이스 인증기술(Authentication)

인증기술은 부여된 사용권한이 허가된 사용자 또는 디바이스에서만 유효하도록 통제하기 위해서 사용되는 기술이다. 일반적으로 인증처리를 위해 사용되는 기술은 사용자 인증과 디바이스 인증이 있다..

도메인 권한 관리기술(Domain Rights Management)

현재 상용화된 대부분의 DRM 제품은 사용자가 디지털 콘텐츠를 구입했을 때 특정 기기에서만 이용이 허락되고 다른 기기로의 콘텐츠 이동성이 허락되지 않고 있다.

그러나 최근 미국 등의 선진 국가에서 디지털 콘텐츠의 사적복제 보장을 통한 콘텐츠의 이용 편리성 보장(Fair Use)에 대한 사회적 인식이 점차 확대되고 있어 DRM에서도 이를 지원하기 위한 연구가 활발하게 이루어지고 있다. 도메인 권한 관리기술은 사적복제권이 허락되는 장비에 한하여 콘텐츠의 자유로운 전송 및 편집 작업이 가능할 수 있도록 DRM이 지원하는 것을 목표로 하고 있다.

도메인 권한 관리기술은 아직까지 사적복제 범위에 대한 법적인 해석이 불분명한 관계로 인하여 도메인의 제한 범위를 어느 정도에서 제한해야 하는지, 그리고 기술적인 구현을 어떻게 해야 하는지에 대해서 명확한 기준이 없는 상태이다. 그렇지만 IBM은 xCP 기술을 Thomson Multimedia는 Smart Rights 기술 등을 발표하는 등 이에 대한 연구를 활발하게 진행하고 있는 것으로 알려져 있다.

각주

1) DTCP (Digital Transmission Content Protection) 디지털 데이터의 복사 방지 기술의 하나. 미국 인텔사와 일본 히타치사 등 5개사가 주축이 되어 미국 DTLA(digital transmission licensing administrator)사를 설립하고, 동사를 통하여 1998년부터 IEEE 1394 인터페이스용 DTCP 기술의 라이센스 공여를 개시하였다. 디지털 데이터는 음질과 화질의 열화를 수반하지 않고 간단히 복사하거나 기타 처리를 할 수 있으므로 영화 회사를 필두로 한 콘텐츠 제작자는 디지털화에 소극적인 태도를 보이고, 특히 AV 기기가 IEEE 1394 규격의 디지털 입출력 단자를 구비하는 문제에 대해서 난색을 표시했다. 그래서 DTCP 기술 보유 5개사는 업계 단체인 CPTWG(copy protection technical working group)에 대해 DTCP 기술의 수용을 제안해서 1998년에 사실상의 표준을 받아들였다. DTCP의 특징은 다음과 같다. ㉠장치 간 전송 데이터를 암호화함에 따라 DTCP에 준거한 장치 간에서만 데이터 전송이 가능하며, ㉡콘텐츠 제공자가 콘텐츠를 설정한 속성(복사 금지, 1회만 복사 가능 등)을 장치 간 송수신해서 부정 복사를 방지할 수 있는 것 등이다.

2) HDCP (High-bandwidth Digital Content Protection)디스플레이 분야 복제방지 기능의 저작권 보호 규격

3) 황성운, 윤기송, 최신 DRM 유통 시스템 현황, 전자통신동향분석 제20권 제4호, 2005, p.132. Secure container는 크게 헤더, DIDL block, resource block으로 구성된다. 헤더는 컨테이너 식별정보, 포맷 버전, DIDL과 리소스에 대한 위치정보를 포함한다. DIDL block은 유통되는 콘텐츠의 메타데이터 정보를 포함하며, MPEG-21 DIDL 규격을 이용하여 기술한다. Resource block은 원본 콘텐츠(리소스)가 암호화되어 저장되는 부분으로, 복수 개의 리소스가 저장될 수 있다. 각각의 리소스 위치 정보는 DIDL 내의 RP에 의해서 명시적으로 기술된다.

4) 황성운, 윤기송, 최신 DRM 유통 시스템 현황, 전자통신동향분석 제20권 제4호, 2005, p.132.

라이센스 서버는 패키저로부터 보호된 콘텐츠에 대한 라이센스 발급에 필요한 정보를 등록 받고 이들 데이터를 관리하며 구매자(유통업자 또는 최종 소비자)에게 라이센스를 발급한다. 또한 라이센스 발급 시 이전 유통단계에서 설정한 라이센스 발급 범위 내에서 라이센스가 발급될 수 있도록 한다. 이를 위해서는 패키저로부터 전달된 정보의 전자서명 확인, 라이센스를 파싱해서 권한 정보 추출 및 관리, 라이센스 발행에 필요한 정보 갱신, 라이센스 갱신(기 발행된 라이센스의 권한 및 조건을 추가, 삭제, 변경) 등의 기능을 수행한다.

라이센스 서버에 의해 생성된 라이센스는 유통 과정에서 사용 권한을 통제하기 위하여 사용되고 MPEG-21 Part5의 REL[2]를 이용하여 표현되며, secure container처럼 MPEG-21 DIDL을 전송 컨테이너로 사용한다.
 

<글: 주상식 SM엔터테인먼트 개발팀 팀장, 동국대 정보보호대학원> 

 

[보안뉴스(info@boannews.com)]