[기고]문서보안시스템의 한계

기업의 주요 문건이 내부자에 의해 다른 회사로 넘어가 서로 고소하는 사건이 종종 뉴스가 된다. 지난 몇 년간 기업들이 보안에 많은 투자를 하였음에도 불구하고 왜 이런 사건들은 줄지 않을까?

기업에서 일어나는 보안 사고의 유형은 외부자의 침입과 내부자에 의한 유출로 나눌 수 있는데, 빈도면에서 내부자에 의한 기업 기밀 문서의 유출 사고가 압도적으로 많다. 그러나 그동안 기업들이 주로 투자했던 부분은 외부자의 침입으로부터 기업의 정보를 지키고 시스템들을 방어하기 위한 부문에 집중돼 있었다는 것이 주요 원인이다.

최근 이메일 감시 혹은 네트워크 감시 시스템 등을 도입하여 기업 외부로 나가는 정보를 검열하는 경우가 있다. 직접적으로 내부자에 의한 기밀 문서 유출 방지를 위한 대책이기는 하나 개인의 사생활 침해와 관련돼 법적으로 문제의 소지가 있다. 더욱 현실적인 문제는 그 많은 정보를 다 검열하려면 엄청난 자원을 할당해야 하는데 그것이 전체 시스템의 성능을 떨어뜨릴 수 있다는 것이다.

그간 문서 보안의 필요성이 절실히 느껴졌음에도 불구하고 상용화된 문서 보안 솔루션이 마땅히 없었던 것은 전자문서의 특성에 기인한다. 전자문서는 한번 사용자에게 전달되고 나면 사용자가 마음대로 모든 것을 할 수 있다는데 문서 보안의 어려움이 있다. 그 문서를 마음대로 고칠 수도 있고, 인터넷 덕분에 순식간에 전 세계에 문서를 배포할 수도 있다. 지식경영, 즉 정보 공유를 위하여 지식관리 시스템, 문서관리 시스템의 도입으로 문서의 공유는 더욱 활성화 돼가고 있다. 이러다 보니 문서 보안의 중요성에도 불구하고 별 실천적인 대책을 강구 할 수는 없었다.

그런데 최근 이 문제를 해결해 주는 DRM (Digital Rights Management) 기술이 상용화 되어 문서 보안을 시스템적으로 접근할 수 있게 됐다. DRM은 콘텐츠가 저작자의 의도 대로만 사용되도록 하는 기술이며, 문서도 콘텐츠의 한 종류로 같은 기술이 응용된다. DRM 기반의 문서 보안 솔루션은, 특정 문서를 볼 수는 있지만 인쇄는 못하게 하거나 첩보 영화에서처럼 정해진 시간후 자동폐기 되게 하거나, 지정된 사용자 외에는 그 파일을 열어 볼 수 없게 할 수 있다. 원본 문서를 유통시키는 것이 아니라 원본 문서를 암호화한 다음 이 암호화된 문서를 유통한다. 암호화된 문서를 사용하기 위해서는 암호화를 풀어 주는 특정 프로그램이 있어야한다.

문서 보안 시스템을 적용하여도, 문서를 작성한 사람은 원본을 가지고 있기 때문에 이것이 불법 유통될 가능성은 여전히 있다. 그러나 그간 보안 사고가 문서를 작성했던 사람보다는 그 문서를 열람한 문서 사용자들에 의해 일어났다는 점에서 그 문서유출의 위험성은 현저히 낮아진다고 할 수 있다. 또한, 원본문서의 사용과 유통을 줄여서 문서 유출의 가능성을 줄여 주고 사고가 발생해도 그 책임 소재를 명확히 해 줄 수 있다.

문서 작성자에 의해 일어나는 보안 사고의 가능성에 대해서는 결국 개인의 양심에 의존할 수 밖에 없다. 그래서 기업은 문서 보안에 대해 명확한 정책을 갖고 문서보안을 사원들에게 주지시키고 지켜지도록 관리를 해야 한다. 문서 보안 솔루션은 내부의 적으로부터 기업의 정보 자산을 지키는 수단이다. 그러나 시스템이 모든 것을 해결해 줄 수는 없다. 제일 중요한 보안의 대상은 사람이고 그 다음이 문서다. 이를 이해하고 문서 보안 시스템을 적절히 활용한다면 분명 그 기업의 보안 수준은 월등히 향상 될 수 있을 것이다.