내부자보호 최선방안 ‘기업용 DRM’ 시선집중
내부 정보보호는 기업의 가장 큰 화두다. 외부로부터의 침입도 문제이지만, 내부 직원에 의한 정보유출은 민감한 정보가 새어나갈 가능성이 더욱 크기 때문이다. 2007년 12월 현대자동차 A과장에 의해 중국으로 자동변속기 설계도면 등이 유출된 사고는 내부 정보유출에 대한 위험성을 여실히 증명하는 사례다. 이에 내부 직원의 고의나 실수로 유출된 데이터에 대한 불법적인 이용을 막을 수 있는 디지털저작권관리(DRM) 기술이 각광받고 있다. DRM 시장을 살핀다. | 오현식 기자·hyun@datanet.co.kr |
아래에 언급한 사례는 모두 2007년 발생한 대표적인 산업기술유출 사건이다. 이들 사례 외에도 산업기술 유출은 비일비재하게 나타나고 있다. 국가정보원 산업기밀보호센터에 따르면, 2007년 10월말까지 10개월간 발생한 산업기술 유출사례는 27건이며, 피해금액은 79조원에 달한다. 연도별로 보아도 산업기밀보호센터가 설립된 2003년 6건에 불과하던 산업기술 유출 사고는 2004년 26건, 2005년 29건, 2006년 31건 등으로 지속적으로 증가하고 있다. 범위 역시 반도체, 휴대폰 등 첨단 IT 분야에서 정밀기계, 생명공학 등 산업전반으로 확산되고 있는 상황이다.
더욱 큰 문제는 이러한 기술유출이 기업 내부에서 이뤄진다는 점. 개발에 참여한 기술인력이 기술유출을 직접 시도하기도 하며, 기술개발 관련 임직원이나 관리 담당자가 기술유출에 참여하는 것. 이로 인해 유출시 큰 피해를 불러올 수 있는 1급 핵심정보가 새어나가고 있는 것이다.
30% 이상 시장 성장 ‘약진’
내부 정보유출 방지의 방안으로 DRM(Digital Rights Management)이 떠오르고 있다. 당초 디지털저작권관리란 이름처럼 DRM은 디지털 콘텐츠에 대한 저작권 보호를 위해 개발된 기술. 불법복제를 막고, 사용료 부과와 결제대행 등 콘텐츠의 생성에서부터 유통, 사용까지 디지털 콘텐츠 이용의 모든 과정을 지원해 콘텐츠 생성자의 권리와 이익을 보호하게 된다.
디지털 콘텐츠가 부상한 1990년대부터 기술개발에 대한 논의가 이뤄져 2000년대 초 실도입이 이뤄졌지만, 크게 활성화되지는 않았다. 초기에는 디지털 콘텐츠의 유료화를 뒷받침하는 기술로 관심을 모았지만, 인지 부족과 사용자들의 거부감으로 확산의 파도를 타지 못했다.
하지만, 기업내부보보 방안 마련에 대한 요구가 증대되면서 기업의 내부정보보호 솔루션으로써의 새로운 역할을 부여받으면서 DRM은 다시금 업계의 시선을 끌고 있다. 기업용 DRM 솔루션은 문서 등 기업 내부에서 사용되는 데이터의 불법 반출을 방지하고, 불법 반출시 열람이 불가능하도록 해 기업의 민감한 정보에 대한 보호를 수행한다.
DRM은 암복호화 기술을 기반으로 디지털 콘텐츠에 부여되는 고유번호로 콘텐츠의 정당성을 알게 하는 DOI(Digital Object Identifier)와 전자상거래에 필요한 데이터를 기록하는 인덱스(INDECS), 기밀정보를 기록해 불법복제와 변조를 방지하고 저작권 관련 내용을 확인할 수 있는 워터마킹 기술을 근간으로 해 이뤄진다.
2007년 국내 기업용 DRM 시장은 280억~300억원의 시장을 형성한 것으로 추정되고 있다. 2006년 200억원 남짓한 규모를 형성했다는 것을 고려한다면, 30%가 넘는 괄목할 만한 이뤄낸 것이다. 이에 파수닷컴은 대법원, 한국철도공사 등 공공기관을 시작으로, 금호아시아나항공, 동부정보기술, 롯데건설, 한국항공우주연구원, G마켓, 다나와닷컴, 교보증권, 동부생명 등 다양산 산업군의 레퍼런스 확보하는 성과를 올렸다.
소프트캠프의 경우에도 하나금융그룹 7사의 표준 DRM 솔루션으로 공급한 것을 비롯해 한진중공업, 현대자동차 등 대기업 그룹사와 새한미디어, 오스텐인플란트 등 중소·중견기업에 공급하는 등 레퍼런스를 크게 확대하는 결실을 거둬들였다.
이러한 급격한 성장 요인으로는 내부정보보호에 대한 기업의 요구 증대가 결정적 요인이다. 산업기밀보호센터의 통계 조사에서도 드러나듯 기업의 민감한 정보유출은 계속 증가하고 있으며, 주된 경로는 외부로부터의 침입이 아닌 전·현직 직원이나 사업 파트너 등 내부로부터의 유출로 나타나고 있다. 이에 기업 내부로부터의 유출을 방지하는 방안으로 DRM이 주목받는 것이다.
또 다른 요인으로는 기업용 DRM의 진화를 들 수 있다. 기업용 DRM은 지금까지는 문서에 국한됐다. 그러나 지난해부터는 문서보안이란 굴레를 깨고 소스코드, 지리정보나 설계도면과 같은 그래픽 데이터 등 다양한 분야로 영역을 확대하는 경향이 보다 뚜렷이 나타났다. 이러한 확장은 지난해 하반기부터 본격화됐기에 매출성장에 기여한 측면이 크지 않지만, 유출시 큰 피해가 발생할 수 있는 설계도면, 디자인도면 등에 대한 보안 요구가 높아 향후 시장 확산의 기폭제 역할을 담당할 것으로 기대된다.
기술진화 ‘가속’
국내 기업용 DRM 시장을 선도하고 있다고 평가받는 마크애니, 소프트캠프, 파수닷컴 등은 최근 기존 기술을 한층 강화시킨 차세대 버전을 출시, 시장의 발걸음을 재촉하고 있다. 먼저 파수닷컴(대표 조규곤 www.fasoo.com)은 지난해 8월 차세대 DRM 기술인 NX테크놀로지에 기반한 ‘파수 DRM원(Fasoo DRM One)’솔루션을 출시, 시장 공략의 불을 당겼다.
이와 관련, 김미현 파수닷컴 차장은 “DRM원은 문서 뿐 아니라 CAD, CAM 등의 전문 데이터까지 포괄하는 데 역점을 둔 솔루션”이라며, “출시 직후부터 수많은 문의사항이 쏟아져 전문데이터 보안 체제 구축에 대한 고객의 뜨거운 관심을 느낄 수 있었다”고 전했다.
파수 DRM원의 특징은 순수 DRM 기술만으로 설계도면, 소스 등과 같은 특수 데이터에 대해서도 파일 단위의 보안을 실현할 수 있다는 점이다. 설계도면에 주로 이용되는 CAD/CAM의 경우에는 용량이 다른 애플리케이션과 비교할 수 없을 정도로 대용량이란 점과 더불어 작업 과정 중 다른 애플리케이션과 연동됨으로써 일반 파일보다 더욱 복잡한 양상을 지닌다. 또한 협업으로 진행된다는 점에서 일반적인 DRM 기술을 적용하기에는 무리가 있으며, 파일 단위의 DRM 실현이 어렵다고 여겨진다.
이에 대해 김미현 차장은 “파수닷컴이 새롭게 개발한 NX테크놀로지는 애플리케이션의 종류나 버전에 구애받지 않고 DRM 기술을 사용할 수 있을 정도로 강력하다”면서 “NX테크놀로지에 기반해 DRM원은 CAD/CAM 보안에서도 파일 하나에 DRM 기술을 적용할 수 있게 됐다”고 언급했다.
파일단위의 DRM을 실현하고 있는 파수닷컴과 달리 소프트캠프(대표 배환국 www.softcamp.co.kr)의 경우에는 영역보안을 주장한다. 이는 작업 공간 전체에 대해 DRM을 부여하는 개념으로 ‘소프트캠프 시큐어워크플레이스(Soft Camp Secure Workplace)’란 솔루션으로 구현됐다.
소프트캠프 시큐어워크플레이스는 보안이 적용된 별도의 작업공간을 만들어 이 공간에서만 작업을 할 수 있게 해 CAD/CAM 등의 보안 강화를 실현한다. 작업파일을 이 공간에서 벗어나게 하기 위해서는 인증이 요구되며, 인증 내역은 자료로 보관돼 사후 감사자료로 이용된다. 프로젝트가 종료되면 할당됐던 영역 전체를 반납해야 한다.
이러한 공간개념을 부여하는 이유는 CAD/CAM 등을 이용한 도면파일의 경우, 협업이 많고, 다른 애플리케이션들과의 연동도 필요해 파일 단위의 DRM 적용에는 커스터마이징의 문제와 함께 성능 저하와 이용의 불편 가중 등이 우려되기 때문이다. “CAD/CAM 이외에 다른 다양한 데이터에 대해서도 이러한 영역보안 방법을 이용하면 손쉽게 보안을 강화할 수 있는 효과가 있다”고 김정은 소프트캠프 과장은 강조했다.
마크애니(대표 유효삼 www.markany.com)의 경우에도 지난해 말 기존 문서보안 제품의 기능을 강화한 ‘다큐먼트세이퍼3.0(DocumentSAFER 3.0)을 개발했다. 다큐먼트세이퍼3.0은 하이브리드(Hybrid) DRM 솔루션으로 기존 운영체제 유저 레벨에서 행해지던 실시간 암복호화 기능과 정보 유출 방지 기능을 커널 단까지 확장해 보다 더 강력한 보안을 제공하게 됐다. OS 커널 단 공격을 통해 이뤄지는 정보유출 사고를 방지하게 된 것. 다큐먼트세이퍼3.0은 정보유출방지가 OS 커널 단에서 수행되기 때문에 드라이버 인증(Authentication)과 자체 보안에 의해 제품 자체의 보안성이 대폭 강화된 것은 물론, 헤더 처리의 변경에 의해 CD나 USB 등 외부장치에 의한 유출에도 대응할 수 있다.
유효삼 마크애니 사장은 “시만텍의 자문위원을 역임하기도 했던 시스템 아키텍트와 하이브리드 DRM 개발을 진행해 개발된 것으로 2008년 초 공식 출시돼 출시 될 예정”이라며 “하이브리드 DRM으로 시장을 적극 공략해 올해 150억원 이상의 매출을 달성할 것”이라고 밝혔다.
2007년 DRM 시장 확산은 정보 유출을 막으려는 기업의 뜨거운 호응에 힘입은 바 크다. 업계에 따르면, 2006년 기업용 DRM 시장에서 기업의 비중은 절반 정도에 불과했다. 그러나 2007년에는 일반 기업에서 자료 유출을 막기 위해 DRM을 도입하려는 경향이 증가하면서 시장에서 기업이 차지하는 비중은 2/3 수준까지 증가한 상황이다.
중견기업 확대·업종 다변화 ‘성공’
DRM 시장의 성장과 관련, 보안USB, 통합PC보안 솔루션을 공급하는 기업의 관계자는 “최근 ‘DRM과 연동해 매체제어를 구성할 수 있는가’라는 문의가 많이 들어오고 있다”고 언급, 성장세를 실감케 했다.
이는 내부자 보안이 강조되면서 기업시장에서의 DRM 도입이 기존의 대기업 그룹사에서 중소·중견기업까지 확대됐기 때문이다. 중견기업급에서는 DRM이 필수화되는 경향을 보이고 있다는 것이 DRM 관계자들의 전언이다.
더불어 앞서 언급했든 소스코드보안, 도면보안 등의 영역확대로 인해 프로그램 개발사, 건설업체 등으로 확대되고 있다는 점도 시장 성장의 요인으로 꼽힌다. 개인정보DB관리, 신기술 개발업체 등 다양한 영역으로 확대되는데 이어 심지어는 인플란트 장비를 공급하는 의료기기 전문업체에서도 고객 정보보호와 기술 유출 방지를 위해 DRM을 도입하는 사례도 나타나는 등 DRM 기술의 발전에 따라 도입 기업의 업종도 다양해지고 있는 상황이다.
DRM 기업들은 “내부 핵심 기밀정보의 중요성은 기업 규모에 관계없이 중요한 부문”이라며, “내부 정보보호의 중요성에 따라 DRM 도입은 지속적으로 확대될 것”이라고 강조했다. 기술의 종류와 가치는 기업규모와 별개의 것으로 10명 기업의 핵심정보 유출이 100명, 1천명 기업의 핵심정보 유출보다 더 큰 피해를 입을 수 있다는 것이다.
또 일부 부서나 연구소, 기밀정보를 다루는 조직 등 일부에 한해 문서보안솔루션을 적용했던 대기업 그룹사들도 그룹 전체로, 나아가 협력 업체로 DRM 적용을 확대하고 있다는 점도 DRM 시장에서 기업의 비중을 높이고, DRM 시장 확산의 호재로 작용하고 있다. 현재 대기업 그룹사에서는 DRM이 기업 보안의 표준으로 자리매김하고 있는 상황이다.
현대자동차의 경우, 연구소에 도입됐던 DRM 솔루션을 전사적으로 확대하는 작업을 진행하고 있으며, 금호(아시아나), 롯데, 동부 등의 그룹사도 전사 적용을 준비하고 있는 것으로 알려진다.
중소기업 공략 ‘어디까지(?)’
DRM 벤더들은 대기업 그룹사의 확대 수요에 적극 대응하는 한편, 중소·중견 기업의 시장확대에도 총력을 기울일 태세를 갖추고 있다. 이와 관련해서 가장 주목되는 기업은 파수닷컴이다. 파수닷컴은 지난 10월 중소기업을 위한 DRM 솔루션인 ‘솔리드(SOLID)’를 출시, 중소기업 시장 공략의 의지를 표명했다.
파수닷컴의 솔리드는 전자문서관리시스템(EDMS) 전문업체인 사이버다임(대표 현석진)과 공동 개발된 것으로 EDMS와 DRM을 결합, 중소기업에서의 문서보안 문제를 손쉽게 해결하도록 하는 솔루션이다. 문서관리 및 문서보안 솔루션에 관심이 높지만, 쉽게 도입하기에는 비용 부담이 컸던 중소기업을 난점을 해소하기 위해 소규모 기업에 최적화된 기능만을 탑재, 가격 부담을 줄인 것이 특징이다.
파수닷컴 측은 “DRM 구축에는 커스터마이징이 반드시 요구돼 도입 비용이 증가할 수밖에 없었지만, 패키지형 제품인 솔리드는 NX테크놀로지에 기반해 커스터마이징 없이 구축이 가능해 DRM 도입에 따른 비용과 노력을 절감할 수 있다”고 강조했다. 파수닷컴은 “공동개발사인 사이버다임과 함께 중소기업의 DRM 도입방향과 구축전략을 제시하는 맞춤형 세미나 등을 통해 중소기업 시장에서의 DRM 도입을 촉진시킬 계획”이라고 덧붙였다.
소프트캠프의 경우에도 고객 지원 강화 등을 통해 시장을 적극적으로 시장에 대응하겠다는 전략을 갖고 있다. 이를 위해 소프트캠프는 솔루션 도입 전 사내 교육과 도입 시나리오 등 ‘변화관리’를 전담하는 전문 인력을 유입하는 등 컨설팅팀을 한층 강화했다. 보다 강력한 고객지원으로 중소·중견 기업으로 확대되는 시장에 발맞춰 성장세를 이어나가겠다는 것이다.
그렇지만, 아직 소프트캠프는 파수닷컴처럼 중소중견 기업을 위한 별도 제품화는 준비하지 않고 있다. 이는 시장에 대한 견해차이로 보인다. 파수닷컴의 경우에는 기업용 DRM 시장이 중견기업을 넘어 보다 더 작은 단위의 중소기업까지 확장될 것이란 기대를 갖고 있는 반면, 소프트캠프의 경우에는 ‘아직은 중소기업까지의 확대는 이르다’란 입장을 갖고 있다는 점이 전략의 차이로 나타나는 것으로 분석된다.
구축 부담은 물론, 보안 전담 인력이 전무한 소기업들이 DRM을 도입하는 것은 무리가 있어 신기술 개발 기업과 같이 정보가치의 중요성이 높은 일부의 중소벤처를 제외하고는 중소기업까지의 확대는 아직 시기상조라는 것. 이에 대해서는 파수닷컴 측도 어느 정도 동의를 표시하면서도 하지만, DRM 도입의 필요성 인식이 확대되고 있어 새로운 시장 개척의 차원에서 별도의 솔루션을 출시하게 됐다고 설명했다.
이에 관련 파수닷컴 측 관계자는 “중소기업 시장에 대해 사실 반신반의 하면서 ‘마른 행주를 짜는 심정’으로 개발했지만, 출시 직후부터 도입 문의가 들어오는 등 초기 반응이 높아 내년 시장에 기대를 걸게 하고 있다”고 전했다.
DRM·ECM 통합, ERM ‘진화’
내부정보보호 방안으로 DRM이 주목받으면서 시장 확대가 이뤄지고 있지만, 기업용 DRM에 대한 부정적 의견도 존재한다. DRM 시장성에 의구심을 갖게 하는 요인은 바로 해외 동향. 해외시장에서는 국내 시장처럼 기업의 DRM 도입이 이뤄지지 않고 있다는 점에서 국내에서의 일시적 유행으로 치부되는 것이다.
하지만, 이에 대해 DRM 기업들은 크게 반발한다. 물론 국내 DRM 시장과 글로벌 DRM 시장 동향이 다르게 나타나고 있기는 하지만, DRM은 여전히 높은 관심을 받고 있다는 것. 특히 DRM 기술을 기업에 적용하려는 움직임도 보다 뚜렷이 나타나고 있다는 것이 이들의 주장이다.
파수닷컴 김미현 차장은 “해외에서는 EMC, 오라클 등의 대형 IT 벤더들이 DRM 전문기업을 인수, 자사의 ECM(En terprise Content Management) 기술에 통합시키는 방향으로 나아가고 있다”고 전했다.
EMC는 2006년 3월 이메일 보안 기술과 DRM 기술을 보유한 오센티카(Authentica)를 인수했으며, 오라클은 2006년 말 DRM 기술을 보유한 스텔런트(Stellent)를 인수해 스텔런트의 기술을 오라클 ECM 제품군과 통합시켰다. DRM 기술이 대형 IT벤더의 ECM 기술의 핵심 요소 중 하나로 포함되면서 ERM(Enterprise Rights Management), 혹은 IRM(Information Rights Management) 등의 새로운 용어들도 등장하고 있는 상황이다.
김미현 차장은 “글로벌 대형 IT 기업들이 너도 나도 역량 있는 전문 DRM 벤더 인수를 적극 추진, 이를 토대로 ECM 시장 공략에 박차를 가하고 있다는 점은 DRM 기술의 원천적인 중요성과 더불어 이 시장이 블루오션이라는 시장성을 보여준다”고 역설했다.
대한민국 DRM, 세계 속의 DRM으로
국내 기업용 DRM 기업들은 우리나라의 DRM 기술이 전세계 최고 수준이라고 자부하고 있다. 해외시장 보다 먼저 기업보안에 DRM을 적용, 검증 및 기술진화 속도에서 앞서 있기 때문이다. 해외의 경우, 전문 DRM 벤더라고 불릴 수 있는 기업들의 상당수가 대형 IT기업에 흡수된 상황일 뿐 아니라, 기업보안을 위한 기업용 DRM 보다는 일반 콘텐츠 보안을 위한 DRM(Commercial DRM)에 머물고 있어 기업용 DRM(Enterprise DRM) 기술은 국내 기업이 선도하고 있다는 자부심이다.
DRM 업체 인수로 시장 공략을 강화하고 있는 글로벌 IT 벤더들과의 경쟁에서도 우위를 자신한다. 글로벌 기업에 흡수된 DRM 기업의 경우, 우리나라보다 늦은 2002년 이후에 관련 기술을 개발한 기업들이 대부분으로 기술완성도에서 앞서 있다는 것. 또한 오라클, EMC 등 대형 IT 벤더들은 DRM을 이용한 보안의 영역보다는 ECM의 보안으로 접근하고 있어 영역이 서로 구분되는 경향을 보이고 있다는 점도 기업용 DRM 시장 선도를 자신하는 이유이기도 하다.
마크애니, 소프트캠프, 파수닷컴 등 기업용 DRM 기업들은 “글로벌 IT 벤더들이 인수를 통해 흡수한 DRM 기술을 통합한 제품들을 출시하면서 해외 시장에서도 기업용 DRM에 대한 관심이 높아지고 있다”면서 “2008년은 전세계적으로 기업용 DRM이 본격 확산되는 기점이 될 것으로 세계적 기술력을 보유하고 있는 만큼 해외 진출을 적극 추진해 향후 시장 공략의 교두보를 확보하고, 전세계 DRM 시장을 선도해 국내 보안기술의 위상을 높이겠다”고 다짐했다.
- 검찰은 휴대인터넷 와이브로 관련 핵심기술을 미국 기업에 유출하려 했던 P사의 전직연구원 A씨 등을 기소했다. 이들이 유출시키려 한 기술은 S사와 P사에서 약 6천억원을 들여 개발한 것. 검찰에 따르면, 이들 기술의 해외 유출 시 피해액은 약 15조원에 이를 것으로 추정된다. (2007년 5월)
- K자동차 전·현직 직원과 협력업체 직원 등 9명이 중국 기업에 자동차 조립 핵심 기술을 건낸 혐의로 검찰에 적발됐다. 이들이 유출한 기술은 자동차의 소음과 진동, 안전성, 내구성 등에 결정적 영향을 끼치는 것. 검찰에 따르면, 이 기술이 유출돼 중국 신차 품질 완성도가 10% 향상될 것으로 예상되며, 이로 인한 피해 추산액은 4조7천억원에 이를 것으로 예상되고 있다. 또 다른 중국기업에 이 기술이 건내진다면 2010년 기준으로 22조원의 피해가 발생할 가능성도 있다. (2007년 5월)
- 국정원은 조선 기술을 유출시키려던 전직 조선업체 직원 B씨를 검거했다. D조선 기술부장으로 근무했던 B씨가 중국으로 유출시키려던 자료는 초대형 원유 운반선, 천연액화가스선, 자동차 운반선 등 선박 69척에 대한 완성도와 조선소 건설 도면 등 선박 건조에 필요한 정보들이다. 이들 기술과 설계도면은 투자된 연구개발 비용만 5천억원이 달하는 중요 데이터들이다. 만일 중국에 유출됐다면, 중국과 2~3년간의 기술격차가 단축됨은 물론 향후 5년간 35조원의 수주손실이 발생됐을 것으로 예상된다. (2007년 7월)
- 철강업체 P사의 전직 연구원들이 철강재 제조기술이 담긴 1천여개 파일을 중국에 유출시킨 혐의로 체포됐다. 이들이 유출한 기술은 10년이 넘는 기간동안 150명의 연구인력이 투입된 것으로, 투자금액은 450억원에 달한다. 피해금액은 5년간 2조8천억원이 넘을 것으로 추산되고 있다. (2007년 10월)
- SUV 승용차의 자동변속기 설계도면 270여장을 빼내 중국으로 넘긴 H자동차 현직 직원이 2명이 검찰에 적발됐다. 자동변속기 기술은 엔진, 안전 프레임 구조와 함께 자동차의 대표적인 핵심 기술. 비록 이번에 유출된 기술이 비교적 구형인 4단 자동변속기 기술이지만, 이로 인해 중국과의 자동차 기술격차가 10년에서 3년 수준으로 단축될 것으로 예측되고 있다. (2007년 12월)
