연·재·순·서

1. 엔터프라이즈 DRM의 개념(이번호)
2. DRM의 핵심기술요소
3. DRM의 표준화 동향 및 표준화 기술 사양
4. 국내외 DRM 업체 및 제품 동향
5. 엔터프라이즈 DRM의 성공적 도입 전략

김재하
파수닷컴 수석컨설턴트
momo@fasoo.com

인터넷을 통한 디지털 콘텐츠의 유통이 부각됨에 따라 불법복제로 인한 저작권 침해를 방지하고 안전한 유통을 보장하기 위한 기술이 개발됐으며 이러한 기술들을 DRM(Digital Rights Management)이라 한다.
보안 영역의 한 분야로 분류되는 DRM은 보안 영역 중에서도 타 영역과는 다른 특징들을 보여준다. 대부분의 보안은 불법적인 모든 접근 자체를 봉쇄하는 형태이나 DRM은 접근은 자유로우나 사용 권한을 제어하는 형태를 취한다. DRM의 개념에서부터 표준화, 기술 발전 방향, 그리고 성공적 도입을 위한 전략에 대해 알아본다. <편집자>

음악, 영화 등과 콘텐츠는 과거부터 불법 복제가 큰 문제였다. 하지만 아날로그 시절에는 불법 복제품의 음질이나 화질이 그리 좋지는 않았기에 때문에 정품 유통 시장을 크게 위협하지는 않았다. 90년대 이후 인터넷의 보급과 디지털 기술의 발전에 힘입어 많은 콘텐츠가 디지털 형태로 생산 가공돼 유통되고 있다.
아날로그 콘텐츠와 달리 디지털 콘텐츠는 복제를 해도 그 질이 저하되지 않고, 대량의 복제가 가능하며 인터넷을 통해 전 세계로 순식간에 퍼져나갈 수 있기 때문에 불법 사용의 피해가 아날로그 시절에 비할 바가 아니다. 이러한 위협에 대한 적절한 대처 방안이 없다면 저작권자의 권리가 침해됨은 물론이고, 콘텐츠 유통 자체가 위축돼 정당한 비용을 지불하고 콘텐츠를 이용하고자 하는 사용자라도 원하는 콘텐츠를 구하기 어려운 상황이 되며 이는 결국 저작권자와 사용자 모두에게 피해를 주게 된다.

콘텐츠 안전한 유통 보장이 핵심
인터넷을 통한 디지털 콘텐츠의 유통이 부각됨에 따라 불법복제로 인한 저작권 침해를 방지하고 안전한 유통을 보장하기 위한 기술이 개발됐으며 이러한 기술들을 DRM이라 한다. DRM은 디지털 콘텐츠의 저작권을 관리하는 기술을 통칭하는 단어이다. 하지만 실제적으로는 즉 저작권의 디지털 관리방안(Digital Management of Rights)으로 정의될 수 있다. DRM을 저작권의 디지털 관리 방안 측면에서 바라보게 되면 콘텐츠를 주어진 권리 정보의 범위 내에서만 사용할 수 있도록 강제적으로 통제할 수 있는지가 중요한 기술적 범위가 된다. 이러한 관점에서 DRM을 정의하면 다음과 같다.
“DRM은 암호화 기술을 이용해 허가된 사용자가 허가된 권한 범위 내에서만 콘텐츠의 이용이 가능하도록 통제하는 기술이다.”
보안 영역의 한 분야로 분류되는 DRM은 보안 영역 중에서도 타 영역과는 다른 특징들을 보여준다. 대부분의 보안은 불법적인 모든 접근 자체를 봉쇄하는 형태이나 DRM은 접근은 자유로우나 사용 권한을 제어하는 형태를 취한다. 예를 들어 MP3 파일의 경우 DRM을 이용해 파일을 다운 받은 본인만 이용하도록 하거나 이용횟수 및 사용 기간을 제어하는 등 기존의 방어적인 보안 개념과는 다른 형태의 관리가 가능하다.
MP3나 동영상 파일, 전자책 등의 디지털 콘텐츠를 위한 DRM의 개념은 기업내의 문서나 설계도면 등 모든 콘텐츠에까지 그 개념을 확장, 적용이 가능하다. MP3와 같은 일반적인 디지털 콘텐츠는 불특정 다수에게 일정한 사용 권한만을 부여하고 과금하는 것에 목적이 있다면 기업내의 DRM은 불법적인 자료 유출을 막고 정당한 권한 사용자만이 정보를 이용할 수 있도록 하는 데 그 목적이 있다. 그래서 DRM은 그 적용분야에 따라 MP3, 전자책 등 콘텐츠 유통의 커머스-DRM(c-DRM), 기업 내 정보 자산 보호에 활용되는 엔터프라이즈 DRM(e-DRM)의 두 가지로 구분할 수 있다. 특히 국내에서는 이러한 e-DRM이 c-DRM 분야보다 먼저 활성화되고 있으며 관련 기술도 DRM 선진국인 미국 등에 비해서 1~2년 정도 앞서 있기도 하다.
e-DRM은 흔히 문서보안으로 알려져 있다. 이번 회에서는 엔터프라이즈 DRM의 개념을 알아보고 다음 회에서는 DRM의 핵심기술요소를 알아보도록 한다, 3회에서는 DRM의 표준화 동향 및 표준화 기술 사양에 대해 살펴보고 4회에서는 국내외 DRM 업체 및 제품 동향을 알아보도록 한다. 마지막으로 5회에서는 특히 엔터프라이즈 DRM의 성공적 도입을 위한 방안을 알아보도록 할 계획이다.

엔터프라이즈 DRM은 왜 필요한가
한국산업기술진흥원의 조사에 따르면 전체기업의 70% 이상이 퇴직사원에 의한 기밀 정보 유출을 경험한 것으로 나타났으며, 대기업의 경우는 퇴직사원뿐 아니라, 현직사원과 협력업체 직원을 통한 사내 정보의 유출도 심각한 수준으로 나타났다. <표 1>에서 볼 수 있듯 얼마 전 모 홈쇼핑에서의 대량의 고객정보 유출 사건, 모 반도체 회사에서의 기술 누출 사건 등이 이러한 상황을 알려준다. 특히 이러한 위험은 정보 자산이 디지털 형태로 보관되고 업무효율을 높이기 위해 정보공유 시스템이 확산되면서 더욱 커지고 있다. <그림 1>에서 보는 것처럼 공유량 증가에 따른 문서유출의 빈도는 기하 급수적으로 증가한다.
또 <그림 2>는 기업내의 정상적인 업무 수행을 위해 정보가 공유되는 과정에서 정보가 불법적으로 비 권한자에게 전달될 수 있는 정보 유출의 유형을 보여준다. e-DRM은 이러한 기업 정보의 유출을 막는데 최상의 솔루션이라 할 수 있다.

DRM의 기술 구조
90년대 중반부터 인터넷이 활성화되고 이를 기반으로 한 전자상거래가 활발해짐에 따라 거래 정보 및 지불 결제 관련한 보안 분야가 중요한 이슈로 떠오르고 있다. 이러한 이유로 여러 가지 암호화 관련 기술이 각종 인터넷 시스템의 보안을 위해 상용화되기 시작했다.
특히 공개키 기반 암호화 기술은 비밀성 및 위변조 방지 기능이 탁월해 인터넷에서 널리 쓰이게 됐으며 현재는 국내외에서 사용자 인증 및 암호화, 정보 보호용으로 널리 쓰이고 있다. 암호 기술은 또한 디지털 콘텐츠의 불법 복제 방지 및 저작권 관리 솔루션으로 사용되기 시작했다. <그림 3>은 공개키 기반 암호화 시스템 기반의 콘텐츠 보호 모델을 보여준다.
하지만 공개키 기반의 암호화 시스템을 DRM 솔루션으로 이용하기에는 몇 가지 문제점이 있다.

1. 콘텐츠가 사용자에게 배포될 때 수신자의 고유 키로 암호화해야 하기에 서버의 부담이 늘어나게 된다. 특히 이러한 단점은 동일 콘텐츠의 대량 배포가 중심인 c-DRM에서는 더욱 큰 문제로 나타나게 된다.
2. 암호화 및 복호화를 위해 사용되는 키 배포 및 관리의 부담을 사용자가 떠 맡아야 하나 이는 편리성 및 안정성 측면에서 많은 문제점을 내포하고 있다.
3. 암호화된 콘텐츠가 수신자에 의해 암호화가 해제되면 전송자의 의도와 상관없이 콘텐츠는 재 배포 되거나 수정될 수 있다.
4. 콘텐츠에 따라 사용자의 이용권한을 제어해야 하나 암호화 방식은 이용자의 권한 정보를 제어할 수 있는 방안을 제공할 수 없다.

DRM이란 암호화 기술 위에서 이러한 문제점을 해결하기 위한 방안으로서, 이러한 문제점의 해결이 DRM의 필수적인 기능이라 할 수 있다. 즉 서버의 부담을 줄이기 위한 미리 암호화를 하는 프리-패키징(pre-packaging)이나 동시에 다수의 사용자에게 배포할 수 있는 수퍼-디스트리뷰션(super-distribution) 기능을 지원해야 하며, 키 배포 및 관리는 사용자의 인식 없이 투명하게 처리돼야 한다. 콘텐츠의 권한을 제어할 수 있는 기능이 제공돼야 하며 수신자에게 전달 후에도 재 배포 및 내용 변경을 막을 수 있어야 한다.
특히 e-DRM에서는 문서로 대표되는 기업 정보들은 특별한 사유가 없는 한 언제나 암호화 돼 있어야 하며, 사용자 개별의 권한 관리가 아닌 기업의 조직과 연계한 권한 관리가 필요하다. c-DRM에서는 사용자의 편리성에 더 많은 무게를 두어야 하지만, e-DRM에서는 주요 문서의 정확한 통제가 더욱 중요하게 된다. 더불어 정보의 이용 내역에 대한 정확한 관리를 통해 정보의 유출 시에도 유출 경로를 파악할 수 있어야 하며, 실시간의 문서의 권한 정보를 변경할 수 있어야 한다.

지적 자산의 권리 보호로 각광
이러한 관점에서 DRM을 다시 한번 정의하면 다음과 같다.

·DRM은 암호화 기술을 이용해 디지털 콘텐츠의 지적 자산에 대한 권리를 지속적으로 관리 및 보호하는 기술로, 허가되지 않은 사용자로부터 콘텐츠의 접근 및 이용을 불가능하게 통제하는 수단을 제공한다.
·DRM은 응용 도메인에 따라 유료 콘텐츠의 불법복제 방지 및 신뢰성 있는 유통 프레임워크를 제공하기도 하며(c-DRM), 기업의 주요한 지적 정보 자산에 대한 문서 보안 시스템으로 제공될 수 있다(e-DRM). 이외에도 개인의 중요한 신상정보나 사생활의 정보를 타인으로부터 차단하기 위한 용도로도 사용될 수 있다.
·DRM은 다양한 응용 도메인에서 공통적으로 사용될 수 있는 저작권 보호 및 복제방지 기술의 프레임워크를 제공함으로써 디지털 콘텐츠의 신뢰성 있는 유통과 투명한 권리 보호를 뒷받침하는 기술이다.

이러한 정의하에서 DRM의 기술구조를 구성하면 <그림 4>와 같다. 수평적 DRM 프레임워크는 DRM을 구성하는데 필요한 기술들을 나타내며 버티컬 DRM 프레임워크는 DRM의 응용분야를 나타낸다. DRM 인프라는 DRM 기술을 바탕으로 각 활용분야를 구성하는데 필요한 기반 기술들을 보여준다. 다음 회에서는 이들 중 수평적 DRM 프레임워크에 대해 보다 상세히 살펴보도록 하겠다.