DRM의 미래는 없다는 전망은 틀렸다. 클라우드로 전환되면서 DRM이 한계를 맞게 됐다는 분석도 있지만, 클라우드 스토리지를 사용하는 환경이라면 DRM으로 문서를 보호할 수도 있다. DRM은 문서 보호를 위해 가장 강력하고 안전한 방법이다. 다만 전사 문서에 DRM을 적용하는 것은 비효율적이며 생산성을 크게 저하시킨다. 거버넌스 관점에서 문서의 종류·중요도·활용되는 환경에 맞춰 보안 기술을 적용해야 하며, 그 한 방법으로 DRM이 선택될 수 있다. DRM의 현실적인 한계와 해별 방법, 차세대 문서보안 기술을 소개한다.<편집자>
기업 핵심 자산 문서, 암호화로 보호해야
문서는 기업의 핵심 자산이며, 가장 안전하게 보호하는 방법은 암호화이다. 문서를 암호화하는 DRM은 문서보안에 가장 최적화된 기술로 인정받아왔다. 그러나 DRM은 이제 저무는 시장이라는 전망이 지배적이다. “DRM의 미래는 없다”는 혹독한 평가도 공공연하게 나오고 있으며, DRM이 갖고 있는 문제를 해결하기 위해서는 DRM을 버려야 한다는 지적도 나온다.
DRM의 미래가 없다는 평가는 2009년부터 지속적으로 제기돼 온 것이다. DRM은 PC 애플리케이션을 후킹 해 강제로 암호화 하는 방식으로, PC에 설치된 보안 솔루션이 해킹으로 인식하고 프로세스를 중단시키는 장애가 빈번하게 발생했다. 후킹 방식을 사용하지 않고는 실행되는 문서를 로컬에서 암호화 저장하지 못한다. PC에 암호화된 샌드박스 영역을 만들고 이 곳에 저장하는 방법도 있지만, 이 역시 후킹 방식을 이용하기 때문에 장애 발생을 완벽하게 차단할 수는 없다.
엔드포인트 보안 솔루션에 DRM을 화이트리스트로 등록해 시스템의 장애를 막고 있지만, 새로운 보안 솔루션이 등장할 때 마다 화이트리스트 등록을 해야 한다. 애플리케이션 버전이 바뀔 때 마다, 기능·보안 패치가 배포될 때 마다 DRM 수정이 필요하며, 새롭게 버전 업데이트하는 솔루션은 2개월~6개월 가량 걸리는 DRM 솔루션의 수정 작업이 끝나야 사용할 수 있다.
외부 업체와 협력할 때에도 같은 DRM 솔루션의 같은 버전이 있어야 공유될 수 있기 때문에 여러 기업과 업무를 하는 협력업체는 DRM 솔루션별로, 버전별로 갖춰야 업무가 진행될 수 있다.
클라우드, BYOD, 문서중앙화로 업무 환경이 바뀌면서 DRM 지원 문제는 더 어렵게 됐다. 새로운 업무 환경에서도 DRM으로 보호된 문서가 끝까지 보안 정책을 따라 유통돼야 하는데, 일부 서비스에서는 DRM 암호화가 쉽게 풀려 보안을 보장하지 못하는 경우도 있으며, DRM의 암호화를 지원하지 못해 문서를 열거나 저장하지 못하는 경우도 있다.
최종욱 마크애니 대표는 “현재와 같은 방식의 DRM으로는 변화하는 미래 업무 환경을 지원하지 못하는 것이 사실”이라며 “차세대 문서혁명을 위한 차세대 DRM이 필요한 시기”라고 밝혔다.
안전한 업무 위해 문서 보안 필수
DRM의 가장 큰 문제는 애플리케이션 종속성이 높다는 점이다. DRM을 애플리케이션 후킹이 아니라 커널기반 암호화를 이용하면 장애를 줄일 수 있다고 주장하지만, 이 방법은 애플리케이션과 커널을 모두 제어해야 해 DRM 문제를 해결하지 못하고 관리만 더 복잡해지는 문제가 생긴다.
김동화 마크애니 전자문서사업부 이사는 “애플리케이션 종속성을 없앤 DRM을 개발하기 위해서는 자체적으로 문서 편집기를 만들어야 한다. MS가 윈도우10에 DRM 기능을 기본으로 탑재한 것은 오피스 문서 편집 제품을 자체 개발해 공급하고 있기 때문”이라며 “문서 전체를 암호화하면서 언제, 어디서나 수정·열람이 가능하도록 하는 것은 매우 어려운 일”이라고 말했다.
DRM의 현실적인 한계로 인해 문서를 위험에 방치한다는 것은 있을 수 없는 일이다. 문서는 기업의 핵심 자산이며, 업무의 결과물이므로 생성, 유통, 보관, 폐기 전 과정을 보호해야 한다.
배환국 소프트캠프 대표는 “IT를 통한 업무 환경에서 문서는 소통을 위해 반드시 필요한 수단이다. 사람이 일을 하는 한 문서는 없어지지 않을 것이며, 문서를 보호하기 위한 기술은 절대적으로 필요하다”며 “문서를 암호화하고 접근을 통제하는 기술은 필수적이다. 기존 DRM을 수정·보완하는 형태이든, 혹은 완전히 다른 기술을 이용한 것이든 상관없이 문서는 반드시 보호해야 한다”고 말했다.
클라우드 지원 제한으로 DRM 미래 불투명
문서를 보호하기 위한 방법으로, 단순 유통의 경우 이미지화하거나 PDF로 바꿀 수 있지만, 이미지는 용량이 커 유통·보관이 어렵고, PDF는 편집제한 기능을 쉽게 무력화 할 수 있다. 전자문서에 2차원 바코드를 삽입해 문서의 위변조 여부를 판독하는 기술도 있지만, 바코드를 읽을 수 있는 전용 솔루션이 필요해 활용에 한계가 있다.
김기영 플라이하이 대표는 “공문서의 3%는 위변조 된 상태로 유통된다. 위변조 방지 기능이 있는 워터마크를 적용했다 해도 리더가 없으면 위변조 여부를 알 수 없으며, 바코드 이미지에 문서 전체 내용을 넣어야 해 엄청난 데이터가 소모되고 부하가 심하다”며 “이미지, PDF, 바코드 등 현재 사용되는 문서 위변조 방지 기술은 한계가 분명하다”고 지적했다.
문서를 외부와 공유하고 편집해야 한다면 문제가 더 복잡해진다. 암호화된 문서를 권한 내에서 풀어서 열어보고 수정한 후 다시 암호화해 보관하거나 유통시키는 과정이 복잡하고 번거롭다. 클라우드에서 DRM을 사용하는 것은 불가능에 가깝다.
클라우드 스토리지에 암호화된 문서를 저장하는 수준이라면 PC에서 암호화 한 후 클라우드에 올리면 된다. 이 때 암호화 문서의 키관리만 잘 하면 그리 큰 문제가 될 것은 없다. 그러나 오피스365, 구글독스와 같은 웹 오피스에서 문서를 직접 편집한다면 클라우드 앱을 수정해야 해 SaaS 업체와 협력을 통해 공동개발을 하지 않으면 DRM을 적용할 수 없다.
암호화된 가상영역을 두고, 접근권한이 있는 사람만 접속해 편집하는 영역DRM의 경우, 외부 협력업체와도 협업을 진행할 수 있디. 그러나 가상영역이 PC라면 기존 DRM과 마찬가지로 애플리케이션을 후킹해 강제로 암호화 영역에 저장하기 때문에 장애·충돌·애플리케이션 종속 문제에서 자유롭지 못하다. 윈도우 엣지가 이 방식을 사용해 웹 보안을 강화하고 있는데, 엣지를 사용하는 웹 환경에서는 후킹을 통한 암호화 영역으로 강제 저장하거나 DRM을 적용하기 어렵다.
문서중앙화 환경에서는 PC에 문서가 저장되지 않기 때문에 PC에서 암호화하는 DRM이 필요가 없다. 문서중앙화 서버는 일반 파일서버와 다른 구조를 갖고 있으며, 저장되는 문서를 자체 포맷에 맞게 해체해 암호화 저장해 DRM의 의미가 없다.
