세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

정보유출방지

DRM

포스팅 뷰2635

DRM의 정의

DRM(Digital Right Management)은 원래 음악, 영화 등 디지털 콘텐츠의 저작권 관리를 위해 개발된 솔루션인데, 디지털 콘텐츠 저작권 솔루션 시장이 형성되지 않으면서 국내에서는 문서 보안 솔루션으로 방향을 틀었다. 문서 보안 솔루션으로서 DRM은 사전에 설정된 정책에 따라 기기에 저장된 모든 또는 특정한 종류의 파일을 암호화하고, 그것을 편집할 수 있는 애플리케이션에서 특정한 조직이나 사람에게 복호화할 수 있는 권한을 부여함으로써 회사의 중요한 정보를 보호한다.


예를 들어 PC에 저장된 PPT, doc, HWP, JPG 등의 파일을 DRM 에이전트가 암호화하면, 권한이 있는 모든 사람은 DRM 에이전트가 있는 기기에서 각 파일 종류에 따른 애플리케이션을 이용해 해당 파일을 열람·편집할 수 있다. 또한 파일 복호화 권한을 부여받은 인력은 별도의 파일 복호화 기능을 이용해 정해진 승인 절차에 따라 암호화된 파일을 복호화하여 저장할 수 있도록 정책을 설정할 수 있다.


DRM 도입 시 유의사항

  • PC, 맥(Mac) 등 회사 내 다양한 엔드포인트의 운영체제에 DRM 에이전트가 설치되어야 하므로 솔루션이 이를 지원하는지 확인한다. 일반적으로 동일한 보안솔루션이 여러 운영체제를 지원할 때 서로 기능이 다르므로, 윈도용 이외의 버전에서는 필요 기능이 제공되는지 확인해야 한다.

  • 문서 보안 솔루션의 기본 기능은 문서 파일의 암·복호화와 해당 파일에 대한 접근 권한 관리, 문서 파일을 암·복호화한 키의 관리, 파일 복호화 기능이므로 도입 시 이에 대한 검토가 필요하다.

    • 보안 측면에서는 키의 안전한 관리가 중요하므로, 키의 유효 기간, 보관 장소와 방법의 안전성, 키 변경 방법의 편리성과 안전성을 확인할 필요가 있다.

    • 한 문서 종류에 대해 사용자별로 읽기·쓰기 등 별도의 권한을 부여할 수 있다.

    • 기본 기능 이외에도 열람 횟수, 열람 가능한 PC 수, 사용 기간, 인쇄 횟수 등을 설정하거나 암호화된 파일의 외부 전달, 수신자 설정 등 다양한 세부 기능이 있으니 회사에 필요한지 검토하여 적절한 솔루션을 도입한다.


  • 일부 파일 종류만을 암호화하면 암호화하지 않는 파일 종류를 통해 정보가 유출될 수 있으므로 그러한 경로가 있는지, 솔루션에서 그 경로가 차단되는지 파악하여 적절한 대책을 세울 필요가 있다. 예를 들어 JPG 파일을 암호화하지 않으면 암호화 대상 파일을 JPG 파일로 변환하여 유출하거나 텍스트 파일을 암호화하지 않으면, 암호화 대상 문서 파일의 문장을 복사 + 붙이기를 통해 텍스트 파일을 만들어 유출하는 식이다. 사내 전체 문서 파일의 일괄 암호화 또는 일괄 복호화 기능이 안정적으로 잘 작동하는지, 시간은 어느 정도 걸리는지 사전 점검이 필요하다.

    • 문서 보안 솔루션을 처음 설치할 때 모든 PC와 모바일기기에 저장된 지정된 종류의 파일을 암호화하므로, 시간이 많이 걸리고 문제가 발생하여 사내 구성원의 불만이 생길 수 있으므로 솔루션 업체와 협의하여 그에 대한 대비와 대응을 잘할 필요가 있다.

    • 또한 문서 보안 솔루션을 교체하거나 제거하고자 할 때에 암호화된 파일을 모두 복호화하여야 하므로, 그에 대한 대책 또한 사전에 솔루션 업체와 협의해 놓을 필요가 있다.


  • 대시보드, 이상 행위 탐지, 로그 분석 기능 등 관리 UI에 있는 기능을 검토하여 문서 보안 솔루션을 중요 문서의 보호 및 사고 예방 기능뿐 아니라 유출 사고의 신속한 탐지 및 대응 솔루션으로도 이용하는 것이 바람직하다.

    • 복호화 로그를 주기적으로 검토하거나 일반 기준을 위반하는 이상 행위를 탐지하여 신속하게 대응할 필요가 있다. 예를 들어 주말이나 휴일, 또는 새벽에, 대량의 문서를 복호화하는 행위를 이상 행위로 볼 수 있다.


  • 문서 파일을 암호화하면 개인정보(또는 고유식별정보와 바이오정보)를 PC나 모바일기기, 보조저장매체에 저장할 때 암호화하라는 개인정보보호법과 개인식별정보 및 개인신용정보를 암호화하라는 신용정보법을 준수할 수 있다. 정보유출방지 솔루션, 문서 보안 솔루션, 문서 중앙화 솔루션은 서로 영향을 받으며 기능을 추가하고 있어서 어떤 솔루션이 적합한지 심도 있게 검토할 필요가 있다.

    • 문서 보안 솔루션은 애플리케이션에서 암호화된 파일을 읽어 들이면서 복호화하므로 같은 애플리케이션이라 하더라도 버전이 다르면 복호화되지 않을 수 있다. MS 오피스, HWP 등 애플리케이션의 버전이 변경될 때 이에 대한 대응을 어떤 속도와 절차로 하는지 솔루션 제공업체와 사전 협의하는 것이 좋다.

    • 승인된 절차를 통해 복호화하거나 우회 경로를 통해 암호화하지 않은 문서는 문서 보안 솔루션의 보안 범위를 벗어난다. 같은 문서 보안 솔루션을 갖추지 않은 다른 기업과 협업할 때에는 문서를 복호화하여 전달해야 하므로 역시 문서 보안 솔루션의 보안 범위 밖이다.

    • 구글독스나 오피스365 등 클라우드 기반 문서 작업에는 DRM이 적용되지 않는다.