기업의 내부 자산을 보호하기 위해 도입하는 DRM. 사용자는 불편을 느끼지만 기업에게는 어쩔 수 없는 방어책일 수 밖에 없는데..

DRM이라고 들어봤나요? Digital Rights Management의 약자로 한글로 풀어보면 전자 권리 관리입니다. 간단히 얘기해서 디지털 저작물 보호 및 관리를 의미하는 얘기입니다. 디지탈 저작권에 관련된 이야기라고 보면 될 듯 합니다. 오늘은 이 DRM에 대해서 얘기해볼까 합니다. 생각보다 DRM의 분야도 다양하고 알려진 부분 이외의 다양한 이야기들도 많기 때문입니다.

우리가 보통 알고 있는 DRM은 2가지라고 봅니다. 하나는 기업에서 사용하고 있는 문서를 저장할 때 보안을 걸어서 사용자 인증을 받지 못한 사람에게는 문서를 열람조차 못하게 하는 이른바 문서 DRM이라 불리는 문서 보안 솔루션이고 또 하나는 멜론, 도시락 등 음원 서비스에서 제공하고 있는 음원 DRM이라 불리는 디지탈 음원 보안 솔루션입니다. 일반 사람들에게는 후자인 음원 DRM이 많이 알려져있을 것입니다. 멜론 DRM이나 도시락 DRM이니, 그 전에 애플의 아이팟 등에서 사용했던 애플 DRM이니 하는 것들이 다 이런 음원 DRM 계열입니다. 지금은 DRM Free 정책이 많이 퍼져서 음원 DRM 시장은 많이 위축되고 거의 사라지기 직전이라고 보면 됩니다. 알려진대로 불편한 점이 많기 때문이지요. 제약 사항도 많고 말이죠. 이 이야기는 뒤에서 다시 언급하기로 하고.

오늘 본격적으로 얘기할 부분은 문서 DRM이라 불리는 문서 보안 솔루션입니다. 시장에서는 음원 DRM을 퍼스널 DRM이라고 얘기하고 문서 DRM을 엔터프라이즈 DRM이라고 얘기하기도 하지만 최근에는 기업에서 만들어져서 내부적으로 유통되는 다양한 멀티미디어 파일(음원 파일, 동영상 파일 등)에 대한 관리도 같이 진행되곤 하기 때문에 음원 DRM도 엔터프라이즈 DRM 영역에 들어간다고 할 수 있습니다. 간단히 얘기해서 기업에서 사용하는 DRM 서비스를 엔터프라이즈 DRM으로, 개인이 사용하는 서비스를 퍼스널 DRM으로 얘기하는 것이 맞을 듯 합니다. 그래도 보통 엔터프라이즈 DRM이라고 한다면 이 문서 DRM을 많이 지칭하곤 합니다. 그리고 이름에서 봐도 알 수 있듯 문서 DRM은 기업에서 도입하는 보안 솔루션의 하나입니다.

내부 보안 시스템으로 분류되는 DRM

기업에서 도입하는 보안 솔루션은 흔히 3가지로 나눌 수 있습니다. 외부의 보안에 대한 위협으로부터 방어하는 외부 보안 솔루션이 그 첫 번째 입니다. 방화벽 시스템이나 IPS, IDS와 같은 위협 감지/탐지 시스템, 좀비PC 방어시스템(간단히 얘기해서 안티 바이러스 시스템) 등이 외부 보안 솔루션 범주에 속합니다. 두 번째는 관제 시스템입니다. 관제 시스템은 시스템의 위협을 직접적으로 막지는 못합니다. 하지만 미리 예측해서 위험을 알려주고 나중에 통계를 내서 앞으로의 일에 대비해서 방비하게 만들죠. ESM(Enterprise Security Management)이라 불리는 통합 보안 관제 서비스나 TSM(위협 관리 시스템), LMS(로그 관리 시스템) 등이 바로 이 범주에 들어갑니다. 그리고 마지막으로 내부 보안 시스템이 있는데 EAM(권한 관리 시스템)이나 접근제어 시스템, DLP, 그리고 오늘 얘기하고자 하는 문서 DRM이 바로 내부 보안 시스템의 영역에 들어갑니다. 내부 보안 시스템은 내부의 사용자에 대한 권한 관리나 접근 제어를 통해서 허가받지 않은 사용자의 접근 및 사용을 차단함으로 내부 시스템의 데이터를 보호하고 데이터 유출을 방지하는데 그 목적이 있습니다.

DRM은 그 가운데서 데이터 자체를 보안합니다. 기술적으로는 데이터 파일을 암호화하고 접근이 허용된 사용자나 PC, 혹은 PC 안의 프로세서가 접근할 경우에만 암호화된 내용을 복호화하여 사용할 수 있도록 합니다. 여기에 사용자별, 혹은 프로세스 별 권한을 제공하고 권한에 맞게 사용에 제한을 둡니다. 문서를 예로 들 때 작성한 사람이 직책이나 직급에 따라서 문서의 열람 권한을 달리 해서 만들 수도 있습니다. 이렇게 만든 문서의 경우 부서가 다른 사람은 열람이 안된다던지, 어떤 사람은 문서를 볼 수는 있는데 수정을 할 수 없다던지, 어떤 사람은 인쇄를 할 수 없다던지 하는 등의 사용 권한을 제한할 수 있는 기능이 있습니다. 이게 문서 DRM의 특징이자 기능이라고 할 수 있습니다(지금까지의 DRM은 모두 이런 기능을 제공해왔습니다). 이런 기능으로 인해 DRM이 적용된 문서 파일을 밖으로 유출했다고 해도 사용자 인증을 받아서 권한을 제공받지 못할 경우에는 문서 자체가 읽혀지지 않음으로 내부의 내용이 유출되지 않아서 기밀 문서에 대한 보안이 가능한 것입니다. 그래서 문서보안 솔루션을 한때는 유출 및 복사 방지 솔루션으로 알고 많이들 도입했다는 얘기도 있습니다. 정확하게 DRM의 기능은 데이터 파일 단위로 파일 자체에 대해서 보안을 적용함으로 적법한 인증을 받지 못한 사용자에게 문서의 열람 권한을 제공하지 않음으로 데이터를 보호하고 불의의 사고로 파일이 유출되었다고 하더라도 내용을 보호할 수 있는 솔루션이라고 보면 됩니다.

DRM은 불편하다?

그런데 DRM을 사용하는 기업들의 사용자들은 DRM을 무진장 불편해합니다. 이유는 간단합니다. 일단 기존 DRM 솔루션이 오피스 어플리케이션이나 이메일 어플리케이션 등 문서를 만드는 어플리케이션을 제어하는 기술을 사용하는데 이 기술이 조금 많이 불안하여(후킹이라는 기술을 사용하는데 운영체제와 어플리케이션 사이의 메시지 및 신호 전송을 가로채는 기술입니다) 종종 장애를 발생시키는데다가 문서들이 죄다 암호화 되어있기 때문에 나중에 퇴사 후에 해당 문서를 참고하고 싶어도 열람할 수 없기 때문입니다. 또한 보통은 DRM을 사용하는데 있어서 같은 회사 안에서의 사용은 큰 문제가 없는데 타 회사에 문서를 전달해야 할 경우에는 DRM이 적용된 채로는 전달이 안됩니다. 해당 회사에도 같은 DRM 시스템이 갖춰져야 하는데 그거 어렵죠. 그래서 DRM을 적용하지 않은 상태로 전달해야 하는 불편함도 있습니다. 그 외에도 이런저런 불편함들을 호소하곤 합니다. 아무래도 보안이 적용되면 편의성은 상대적으로 떨어질 수 밖에 없는 것이 현실이기 때문입니다.

기업의 내부 자산 보호를 위해서는..

하지만 기업이 왜 DRM을 도입하려고 하는지를 이해한다면 어느정도 불편함도 감수할 수 있지 않을까 싶습니다. 보안이라는 것은 일단 기본적으로 남을 믿지 못하기 때문에 스스로의 자원을 보호하기 위해서 만들어진 기술입니다. 회사 안에서 기밀문서로 분류되어 만들어진 내용을 회사 내부의 직원이 다른 사람에게 알리지 않고 기본 그대로 사용한다면, 회사에서 만든 문서를 회사 안에서만 사용하고 다른 곳으로 전달하지 않는다면, 즉 규칙 그대로를 잘 적용해서 사용한다면 DRM이라는 것을 도입할 필요가 없다는 것이죠. 하지만 아쉽게도 현실은 좀 뭐시기같아서 내부 직원이 자신의 이익을 위해서 회사의 자료를 넘긴다던지, 아니면 다른 사람이 어떻게 하다가 유출된 파일을 자기의 임의대로 사용한다던지 하는 경우가 많습니다. 개인 입장에서는 불편하지만 기업 입장에서는 어떻게든 자산을 안전하게 보호해야 할 필요가 있기 때문에 DRM을 도입하지 않을 수 없다는 것이죠.

위에서 잠깐 언급했던 음원 DRM 역시 마찬가지입니다. 분명 생산자의 소유권과 사용권에 대한 분쟁이 있을 수 있습니다. 개인 입장에서는 돈을 주고 샀으니 음원의 소유권을 가져갔다고 생각할 수 있지만 음원을 만들고 배포하는 입장에서는 돈을 주고 구입한 것은 음원의 사용권을 가져간 것이지 그 음원의 소유권을 가져간 것은 아니라고 생각합니다. 여전히 둘 사이에 법적으로 해결되지 못하는 간극이 존재하고 있습니다. 문서 DRM 역시 문서를 만든 사람이 소유권을 갖고 있으며 차후에도 자기가 쓸 수 있다고 생각하고 있지만 기업 입장에서는 기업의 오더를 받아서 만든 문서이기 때문에 문서의 소유권은 기업에 있으며 기업의 자산이라고 생각합니다. 지금도 DRM에 대한 논쟁 중 하나가 문서의 소유권과 사용권에 대한 개인과 기업 사이의 주장이 평행선을 달리고 있다는 것입니다. 현재까지는 기업의 소유로 보는 것이 맞다는 것이 대체적인 시각이기는 합니다만.

기본을 지키면 되는데..

뭐 어찌되었던 DRM은 기업 입장에서는 기업의 자산 보호를 위해서라도 필요한 보안 솔루션임은 분명합니다. 최근 기업들은 외부 보안 뿐만이 아니라 내부 보안에도 상당히 신경을 쓰는 모습입니다. 아무리 철벽방어를 한다고 하더라도 안에서 뚫리면 아무런 소용이 없기 때문입니다. 하지만 전에도 얘기했다시피 아무리 이런 보안 솔루션이 잘 되어있고 훌륭하다고 하더라도 그 사람의 마인드에 보안 인식이 없다면 아무런 소용이 없을 것입니다. 기본을 잘 지키면 보안은 필요가 없지만 그렇지 않은 현실 속에서는 어떻게든 직장인과 기업 사이의 이런 보안으로 인한 물고 물리는 관계는 계속 지속될 듯 싶습니다.

이 글은 LG CNS 블로그에 기고했던 글의 원본입니다. 기고한 글은 [여기]에서 보실 수 있습니다.