데이터쉴드는 내부정보유출 해결이라는 고민과 유출된 근원을 어떻게 찾을 것인지에 대한 근본적인 해결책을 마련한다는 취지에서 개발됐다. 기존의 그룹웨어기반 문서보안 제품들은 PC 기반의 업무시스템에서 유출되는 정보를 차단할 방법이 없었으며, 매체기반의 유출방지 시스템은 다양한 업무 환경 특성과 기술 발전에 따른 문서 유통 경로의 다양화 등으로 근본적인 차단 솔루션이 아니었기 때문이다.
데이터쉴드의 기본 개념은 문서의 유통을 막을 근본적인 방법은 존재하지 않으며 강제적인 문서유통 방법 변경은 내부 업무에 불편을 초래하고 사용자의 불편을 초래하면 보안시스템의 도입 취지와는 상관없이 업무의 생산성을 중요시하는 기업의 환경에 적합하지 않다는 것이다. 따라서 문서보안 솔루션은 기존의 기업 고유의 업무 방식을 되도록 변경치 않게 해야 한다는 데서 출발했다.
독특한 ‘원천암호화’ 방식 적용
데이터쉴드의 원천암호화 개념은 회사나 단체의 PC에서 문서가 생성시부터 보안 대상이라는 개념에서 출발한다. 문서가 생성되면 즉시 암호화돼 보관되며 별도의 인증 승인 절차 없이 보안문서를 해제(복호화)할 수 없다. 물론 암호화 대상이 돼야 할 문서의 종류와 애플리케이션의 종류는 각 기업의 실정에 맞게 조정할 수 있다. 즉 일반적인 오피스 문서는 보안대상으로 하고 그림판이나 HTML 파일등은 보안 대상에서 제외할 수 있는 것이다.
현재 알려져 있는 대부분의 파일 포맷이나 애플리케이션은 보안 대상으로 지정 또는 해제할 수 있다. 보안 대상으로 지정된 문서도 기업내에서는 자유로운 유통이 가능하며 기존의 문서 유통 방식을 변경할 필요가 없다. 이것은 인증서 방식 문서 보안의 장점이며 같은 그룹의 인증서로 인증 받은 문서는 그대로 이용할 수 있다. 인증서를 통하여 현재 사용자가 기업내의 누구라는 신원만 확인되면 문서보안을 위해 따로 비밀번호를 관리 한다거나 암복호화 과정을 위한 별도의 절차가 전혀 없는 것이다. 물론 동일한 파일을 사외로 유출할 경우에는 신원이 확인되지 않을 경우 암호화된 문서 파일의 사용이 원천 금지된다.
데이터쉴드는 각 PC의 문서를 보안 영역과 비보안 영역을 파일 포맷으로 구분한다. 보안 영역으로 구분된 파일 포맷에서 비보안 영역으로 구분된 파일로 복사 및 붙이기가 원천 금지 되지만 비보안 영역의 문서 포맷에서 보안 영역의 문서 포맷으로 복사 및 붙이기는 제한이 없다. 따라서 보안 영역의 문서를 화면 캡쳐등 임의로 복사하여 비보안 영역으로 옮기는 작업은 원천적으로 금지된다.
보안커널에서 제어 가능 ‘안전’
또한 데이터쉴드는 각 애플리케이션의 메뉴 등을 직접 제어하지 않고 ‘데이터쉴드 시큐어(DataShield Secure) I/O 매니저’와 ‘데이터쉴드 시큐어 서브시스템(DataShield Secure Subsystem)’이라는 보안커널 상에서 담당한다. 이러한 보안커널단의 독립성은 오피스 등 각 애플이케이션이 업그레이드된다 하더라도 특별한 사안이 발생하지 않는 한 보안커널을 업그레이드 시키지 않아도 된다. 이렇게 커널단의 기능을 중요시한 덕분에 프로그램 크기 자체가 최소화됐으며 암복호화 과정에 별도의 시스템 부하를 유발시키지 않고 최소의 범위에서 리소스를 이용하게 된다.
데이터쉴드 제품이 도입되면 PC를 사용하는 개인은 인증서를 발급받아야 한다. 이는 기업이나 단체의 조직원이라는 확인을 위해서이며 일단 인증을 받게 되면 조직내의 하드웨어나 소프트웨어자원을 기존과 동일한 권한과 방법으로 접근할 수 있다. 이에 따라 문서보안 제품을 도입했다 하더라도 각 개인은 하루나 이틀에 한번 정도 인증을 받는 정도로 불편함이 마무리된다. 물론 조직내의 파일을 보안해제(복호화) 상태로 외부로 유출할 경우는 기업내의 다양한 정책에 따라 제약 사항이 따르게 된다.
일반적으로는 외부로 내보낼 파일을 사내 보안서버에 등록, 원본 보관 후 내보낼 수 있다. 물론 보안이 중요한 이슈로 있는 기업에서는 각 직원의 보안등급과 파일의 보안등급에 따라 보안관리자의 검토 및 승인 후 내보내기 기능을 이용하게 할 수 있다.
데이터쉴드 제품은 문서가 생성될 때부터 암호화해 저장된다는 원천암호화 개념을 도입했다. 문서가 생성 당시부터 보안 대상으로 유통 된다는 전제 이외에는 실제 사용자에게는 아무런 제약 사항도 가해 지지 않는다. 또한 정보유출자의 부인을 방지하기 위해 인증서 기반으로 제품을 일체화 했음으로 법적으로 인정받을 수 있는 명확한 근거를 제시하며 악의적인 사용자가 무모하게 유출했다 하더라도 인증서 기반의 사용이므로 그 책임을 명확히 물을 수 있는 감사 기능을 수행할 수 있다.
패키지화로 어디나 적용 ‘간편’
또한 데이터쉴드의 가장 경쟁력 있는 부분은 제품을 패키지화했다는 것이다. 기존의 문서보안 제품들과 달리 데이터쉴드는 초기부터 표준화된 솔루션을 지향했으며 그 결과로 산출된 것이 원천암호화 기술의 표준화다. 때문에 이 제품은 현재까지도 기존의 오피스 환경의 변화 없이, 즉 기존 파일의 경로나 명칭, 유통 방식의 변화 없이 원천암호화 할 수 있는 솔루션으로 자리 잡은 것이다.
최근 타사 제품도 원천암호화를 표방하기는 하지만 데이터쉴드 추구하는 원천암호화와는 근본적인 차별성이 있다. 여타 제품은 특정 경로에 저장을 강제하거나 별도의 보안 문서 지정 절차를 거친 후 서버 등에 보관하는 방식이기 때문이다. 또한 모든 문서에 100% 호환이 되는 데이터쉴드와 달리 원천암호화라는 개념이 모호하기 때문에 OLE 등 기술독립성에서 자유롭지 못하다. 즉 문서 보안을 위해 오피스 애플리케이션의 일부 기능을 포기 해야만 하는 것이다.
한인터네트웍스는 제품에 대한 자신감으로 무상체험 서비스를 실시하고 있다. 데이터쉴드 하드웨어일체형 어플라이언스 모델을 1개월간 무상으로 설치 사용해 보고 구매 의사를 결정하게 하는 서비스다.
한인터네트웍스 김명락 사장은 “이런 파격적인 대 고객 서비스는 제품에 대한 자신감에서 비롯된 것”이라며 “실제 한월네트웍스가 오래전부터 실시해 오고 있는 일부 제품에 대한 무상 체험 제도는 90% 이상의 납품 실적으로 연결된 바 있다”고 강조했다.
■ 문의: 한인터네트웍스
■ 전화: 02-860-8000
■ www.haninternet.co.kr
