세상 모든 보안 이야기

보안 백과사전

용어를 이해하면 보안이 보입니다

보안용어 백과사전

누구나 손쉽게 따라하는

보안 가이드

Coming Soon

ISMS 체크인 가이드북

Coming Soon

보안 유출사고 대응전략

좌우로 움직여보세요

정보유출방지

DRM

포스팅 뷰12746

drm

DRM(Digital Right Management)의 정의 및 역할

DRM(Digital Right Management)은 원래 음악, 영화 등 디지털 콘텐츠의 저작권 관리를 위해 개발된 솔루션이다. 하지만 국내에서는 문서 보안 솔루션으로 많이 활용되고 있다. 문서 보안 솔루션으로서의 DRM은 사전에 설정된 정책에 따라 문서 파일을 암호화하고, 특정 조직이나 사람에게만 복호화할 수 있는 권한을 부여하여 회사의 중요한 정보를 보호하는 역할을 한다.

DRM의 주요 기능과 동작 방식

문서 보안 솔루션의 기본 기능으로는 문서 파일의 암복호화와 해당 파일에 대한 접근 권한 관리, 암복호화 키의 관리, 파일 복호화 기능 등이 있다. 


예를 들어 PC에 저장된 PPT, DOC, HWP, JPG 등의 파일을 DRM 에이전트가 암호화하면, 권한이 있는 사람만 해당 파일을 열람하거나 편집할 수 있다. 또한, 파일 복호화 권한을 부여 받은 사람은 승인 절차에 따라 암호화된 파일을 복호화하여 저장할 수 있는 정책을 설정할 수 있다. 

DRM 도입 시 고려사항

1. 다양한 운영체제 지원 여부 확인

DRM 에이전트가 PC, Mac 등 다양한 운영체제에서 설치될 수 있는지 확인해야 한다. 각 운영체제별로 지원되는 기능이 다를 수 있기 때문에, 필요한 기능이 모두 제공되는지 검토하는 것이 중요하다.

drm 다양한 운영체제 지원 확인

2. 암호화 및 복호화 키 관리

문서 보안 솔루션의 핵심은 문서 파일을 암호화하고 복호화하는 키 관리이다. 키의 유효 기간, 보관 장소와 방법의 안전성을 사전에 충분히 검토하고, 키 변경 방법의 편리성과 안전성을 미리 검토해야 한다.

drm 암복호화 키 관리

3. 사용자별 권한 설정

문서 종류별로 사용자에게 읽기, 쓰기 등 별도의 권한을 부여할 수 있는지 확인해야 한다. 또한, 열람 횟수, 사용 기간, 인쇄 횟수 등의 세부 설정이 가능한지도 고려해야 한다.


정보유출방지를 위한 세부 주의 사항

drm 정보유출방지를 위한 세부 사항

1. 암호화되지 않은 파일을 통한 정보 유출

일부 파일 종류만을 암호화하면 암호화하지 않은 파일 종류를 통해 정보가 유출될 수 있으므로, 암호화되지 않은 파일을 통한 정보 유출 경로가 존재하는지 파악하고 이를 차단할 수 있는지 검토해야 한다.


예를 들어, JPG 파일을 암호화하지 않으면 암호화된 문서 파일을 JPG로 변환해 유출하거나, 텍스트 파일을 암호화하지 않으면 문서 내용을 복사하여 텍스트 파일로 만들어 유출하는 경우도 있을 수 있다. 

2. 텍스트 파일을 통한 정보 유출

암호화된 문서 내용을 텍스트 파일로 복사해 유출할 가능성도 있다. 문서 외에도 메모장이나 기타 텍스트 편집기에서 발생할 수 있는 보안 취약점을 고려해 암호화 대상을 확장해야 한다.

3. 복호화 과정에서의 보안 취약점

승인된 절차를 통해 문서를 복호화하거나, 보안 솔루션을 우회하여 문서를 복호화하는 경우 보안 범위를 벗어난다. 특히 협업 중 다른 기업에 문서를 전달할 때 복호화가 필요할 수 있으므로, 이에 대한 별도의 대비책이 필요하다.

4. DRM 미지원 문서 애플리케이션

모든 문서 애플리케이션이 DRM을 지원하지는 않는다. 예를 들어, 구글독스나 오피스365와 같은 클라우드 기반 문서 작업에서는 DRM이 적용되지 않기 때문에 별도의 보안 대책을 마련해야 한다.

5. 외부 협력 시 보안 범위 이탈 가능성

문서 보안 솔루션을 사용하지 않는 외부 기업과 협력할 때, 문서를 복호화하여 전달해야 할 수 있다. 이 경우, 정보가 보안 솔루션의 범위 밖으로 나갈 수 있으므로, 협력사의 보안 수준을 확인하거나 추가적인 보안 대책을 검토해야 한다,


DRM 설치와 운영 시 유의점

1. 초기 설치 시 주의사항

문서 보안 솔루션을 처음 설치할 때 모든 PC와 모바일 기기에 저장된 지정된 종류의 파일을 암호화하므로 시간이 많이 걸릴 수 있다. 이로 인해 사내 구성원의 불만이 생길 수 있으므로, 설치 과정에서 생길 수 있는 문제에 대한 대비책을 솔루션 업체와 사전에 협의하여 마련해야 한다. 


또한, 문서 보안 솔루션은 애플리케이션에서 암호화된 파일을 읽어 들이면서 복호화하므로 같은 애플리케이션이라 하더라도 버전이 다르면 복호화되지 않을 수 있다. MS 오피스, HWP 등 애플리케이션의 버전이 변경될 때 이에 대한 대응을 어떤 속도와 절차로 하는지 솔루션 제공업체와 사전 협의하는 것이 좋다.

2. 솔루션 교체 시 고려사항

문서 보안 솔루션을 교체하거나 제거하고자 할 때, 암호화된 파일을 모두 복호화해야 한다. 따라서, 복호화 과정에서 발생할 수 있는 문제를 최소화하기 위해 솔루션 업체와 사전에 철저한 대책을 마련해두는 것이 필요하다.

3. 관리 및 탐지 기능 검토

대시보드, 이상 행위 탐지, 로그 분석 기능 등을 통해 문서 보안 솔루션이 중요 문서 보호와 사고 예방뿐만 아니라 유출 사고를 신속하게 탐지하고 대응할 수 있어야 한다. 예를 들어, 주말이나 휴일, 새벽에 대량으로 문서를 복호화하는 행위는 이상 행위로 간주될 수 있으며, 이러한 상황을 즉각 파악하여 조치를 취하는 것이 중요하다.

법적 요구사항에 따른 솔루션 선택

문서 파일을 암호화하면 개인정보(또는 공유식별정보와 바이오정보)를 PC나 모바일기기, 보조저장매채에 저장할 때 암호화하라는 개인정보보호법과 개인식별정보 및 개인신용정보를 암호화하라는 신용정보법을 준수할 수 있다.


정보유출방지 솔루션, 문서 보안 솔루션, 문서 중앙화 솔루션은 서로 영향을 받으며 기능을 추가하고 있어서 어떤 솔루션이 적합한지 심도 있게 검토할 필요가 있다.