5. 엔터프라이즈 DRM의 성공적 도입 전략

Tech Guide - 엔터프라이즈 DRM(문서보안)

중요한 지적 자산 보호위한 DRM 적용 필수

문서보안 전략수립부터 교육까지 체계적 도입해야 … DRM 전문 기술 인력 보유 시급

김재하
파수닷컴 수석컨설턴트
momo@fasoo.com

DRM은 디지털 콘텐츠를 보호하는데 필수적인 솔루션이다. 지금까지 4회에 걸쳐 기업 내 중요 문서 보안에 효과적인 엔터프라이즈 DRM에 중심을 두고 DRM의 개념과 기술요소, 표준화 동향 및 국내 업체 동향까지 살펴봤다 마지막 회에서는 이 엔터프라이즈 DRM을 기업 내에 성공적으로 도입하고 기존 기업의 정보 공유 시스템과 효율적으로 통합하기 위한 방안을 살펴보도록 한다. <편집자>

기업 내 지식정보관리시스템의 중요한 지식자산을 보호하기 위해 DRM기술을 적용하는 것은 필수적이다. 그러나 적용하고자 하는 조직의 문화나 체계가 이를 받아들일 수 있는 여건이 마련되지 않은 상태에서 무작정 DRM을 도입하는 것은 그리 바람직스럽지 못한 결과를 종종 나타내게 된다. 지식정보의 관리는 지식정보를 효율적으로 관리함으로써 지식정보의 가치를 극대화하는 것을 목표로 삼고 있다. 따라서 지식자산의 보호를 수행함에 있어서도 이러한 취지를 충분히 고려해 적절한 보호수단이 강구돼야 할 것이다.

DRM 통합을 위한 선행 요구분석
그러면 지식정보의 이용 촉진과 보호라는 측면을 동시에 만족할 수 있는 방법은 무엇일까. 지금까지의 네트워크 또는 시스템 기반의 보안 솔루션 분야에는 많은 보안 방법론이 개발되어 사용되고 있지만, 문서 단위의 콘텐츠 보안을 위한 적절한 보안 방법론은 파수닷컴이 자체 개발한 FCMONE 등이 있으나 현재까지 완전하게 정립되지 않은 상태다. 그러나, 다음 항목들은 현재까지 DRM 기반의 다양한 문서보안솔루션을 구축하는 과정에서 그 동안의 수행 경험을 바탕으로 DRM의 도입을 위해 우선적으로 충분히 검토해야 할 선행 요구분석 항목들을 정리한 것들이다.

1. 문서보안 전략 수립: 지식정보의 ‘활용 대 보호’에서 무게 중심은 어디에 있는지를 결정한다.

2. 문서 보안 요구 기능 도출: 문서보안의 필요성 및 요구 기능들을 충분히 도출하도록 한다. 뚜렷한 목표 설정돼 있지 않은 상태에서 DRM을 도입하게 되면 오히려 사용자의 정보공유를 가로막아 불필요한 시스템을 만들어 버리는 결과를 초래하게 된다.

3. 문서 보안 위험 요소 분석: 문서보안이 꼭 필요한 문서들의 나열이 가능한지, 그리고 어떻게 관리되고 있는지를 파악한다. DRM은 시스템 보안이나 네트워크 보안과는 달리 콘텐츠의 보안 솔루션이다. 따라서 시스템 또는 네트워크 단위의 위험요소 나열 및 대책 마련은 DRM기반의 문서보안시스템 구축에 전혀 도움을 주지 않기 때문에 문서단위의 위험요소 도출 및 보호방안을 마련할 수 있는 접근 방식이 필요하다.

4. 문서 유통 환경 분석: 문서의 흐름 및 KMS, EDMS, 그룹웨어 등과 같은 기업 내 지식정보관리시스템에서 문서의 흐름 및 권한관리 체계가 어떻게 수행되고 구성돼 있는지를 파악한다.

5. 보안 도메인 파악: 문서 권한 관리를 위한 보안 도메인의 구조를 파악한다. 보안 도메인(Security Domain)은 문서의 권한 통제가 허용되는 범위를 말하며, 하나의 기업 내에도 조직 체계 또는 애플리케이션의 수에 따라 여러 개의 보안 도메인이 존재할 수 있다. 따라서 문서의 관리체계 및 시스템의 구성에 따라 동일한 문서에 대해서도 상반된 권한관리 요구가 도출될 수 있다. 따라서 이렇게 상반된 권한관리 체계를 어떻게 일관된 모습으로 정비할 것인지에 대한 구체적 계획과 실천이 필요하다.

6. 문서 관리 체계 수립: 문서 별 보안 등급 및 권한관리를 명확히 구분할 수 있도록 가이드라인이 준비되어 있는지를 파악한다. 기존의 ACL 기반의 보안 정책은 특정 정보에 대한 접근여부만을 판별하는 것이 고작이었으나 상당수의 많은 기업들은 이러한 체계 없이 운영되고 있는 실정이다. DRM은 ACL 보안 정책 외에도 문서의 보기, 인쇄, 수정, 유효기간, 사용회수 등 다양한 종류의 권한관리가 가능하기 때문에 기업 전반에 걸쳐 문서관리체계의 재정립 및 정책 마련이 우선적으로 고려돼야 한다.

7. 권한관리 주체 및 범위 결정: 기존의 기업 내 문서보안정책에 DRM의 권한관리를 확장할 경우 권한관리의 범위 및 관리 주체를 결정한다. 새롭게 구축되는 시스템과는 달리 이미 기업 내에 구축되어 운영되고 있는 지식정보관리시스템들은 ACL 정도의 보안체계만 지원할 수 있도록 시스템이 설계되고 구축됐다. 비록 DRM이 ACL 이외의 다양한 권한관리가 가능하다고 하더라도 기존 시스템의 변경을 많이 요구할 수는 없다. 따라서 기존 시스템의 보안체계와 DRM의 권한관리체계가 효율적으로 통합 관리될 수 있는 방안 마련이 준비돼야 한다.

8. 교육 및 확산 방안 수립: DRM 도입으로 인한 사용자의 예상 충격도를 파악하여 도입 범위를 결정한다. DRM은 문서보안을 위한 최적의 솔루션임에는 틀림없으나, 대부분의 사용자들은 개념조차도 생소한 기술이기 때문에 새로운 개념과 새로운 기능에 대한 사용자의 교육이 반드시 시행돼야 한다. DRM의 도입범위를 전면적으로 고려하는 경우에는 단기적 기간 내에 사용자에 대한 교육을 실시하는 방안의 마련이 필요하게 된다.