기밀유출방지를 위한 문서보안시스템
이 글은 2달 전에 디지에코에 보냈던 보고서의 내용으로 이미 해당 내용이 공개되었고 시간이 지났기 때문에 블로그에 다시 공개를 한다. 디지에코 보고서를 받기 원하면 [여기]에서 PDF 파일로 다운로드 받으면 된다.
Ⅰ. 엔터프라이즈 보안 시스템
기업을 운영하는데 있어서 여러가지를 고려해야 하지만 요 몇년동안에 특히나 많이 신경을 쓰는 운영 요소가 있으니 보안 시스템의 도입이다. 보통 기업에서 도입하려는 보안 시스템을 통칭 엔터프라이즈 보안 시스템이라고 하는데 종류도 다양하고 보안의 범위도 다양하기 때문에 어떤 보안 시스템을 도입해야 안전하게 기업을 운영할 수 있을지 궁금해하는 경우도 많다.
보통 엔터프라이즈 보안의 종류를 3가지, 혹은 4가지로 나누는데 먼저 사람의 출입을 관리하는 출입관리시스템이 있다. 지문인식, 혹은 카드인식, 홍채인식등 다양한 인식 센서를 이용하여 허가받은 사람만 기업 안으로 들어올 수 있게 해주는 시스템이다. 물리보안시스템이라고도 하는데 출퇴근 시스템과 연계되어서 많이 사용한다. 그 다음에는 허가된 시스템만 네트워크에 접속할 수 있는 네트워크 보안 시스템이 있다. NAC(Network Access Control)이 대표적이며 DLP(Data Loss Prevention)도 이 범주에 들어갈 수 있을 것이다. 그 다음으로는 기업 안에서 생성되는 파일(문서 포함)에 대한 보안을 적용하는 파일 보안 시스템이 있다. 대표적인 보안 시스템이 DRM(Digital Rights Management)이며 앞서 언급한 DLP도 속할 수 있다. 즉, 간단히 말해 물리 공간을 보안하는 것(물리보안)과 인프라를 보안하는 것(네트워크 보안), 그리고 컨텐츠를 보안하는 것으로 나눌 수 있다.
물리 보안이나 인프라 보안도 중요하지만 최근 기업들이 사무실 외에서 작업하는 경우를 많이 허용하면서 컨텐츠 보안에 더 많은 신경을 쓰고 있는 것이 사실이다. 그래서 본 보고서는 엔터프라이즈 보안 시스템들 중에서 컨텐츠 보안, 특히 문서 보안 시스템에 대해서 살펴보고자 한다.
Ⅱ. 엔터프라이즈용 문서보안시스템 종류
일반적으로 문서 보안 시스템은 기업에 속한 임직원들이 기업에서 제공하는 PC(데스크탑, 노트북, 태블릿 포함)나 스마트폰 등의 제작도구를 이용해서 생성하는 문서 파일에 보안을 적용하는 것, 그리고 문서의 내용을 보안하고 유출을 방지하며 유출 시 추적할 수 있게 만드는 시스템을 의미한다. 말 그대로 기업 안에서 만든 문서의 외부 유출 방지 및 유출 시 추적 시스템이 문서 보안 시스템인데 그 종류도 다양하고 기능도 다양하다. 이 보고서에서는 이런 문서 보안 시스템 중 많이 사용하는 4종류의 문서 보안 시스템에 대해서 얘기를 하고자 한다.
DRM
Digital Rights Management의 약자로 단어 그대로 해석하면 디지탈 권리 관리 시스템을 의미한다. 즉, 디지탈로 되어 있는 모든 것에 대한 권리를 관리하는 시스템이라는 얘기인데 일반적으로 MS 오피스나 한컴오피스와 같은 오피스 솔루션을 통해 만들어진 다양한 파일에 대해 보안을 적용하는 것으로 허가받은 사용자만이 파일을 열람할 수 있고 편집할 수 있게 해주는 시스템이다. 오피스 솔루션 뿐만이 아니라 오토캐드 등과 같은 캐드 프로그램에도 적용될 수 있으며 포토샵, 일러스트레이터, 프리미어 등의 이미지, 동영상 컨텐츠를 만드는 프로그램에도 적용할 수 있다. 즉, 파일 형식으로 제공되는 디지탈 컨텐츠 모두가 DRM의 보호 대상이다. 실제로 이런 문서 형식의 컨텐츠 말고도 게임 등의 실행파일에 대해서도 적용할 수 있으나 이 보고서의 범위에서 벗어나기 때문에 언급하지 않겠다.
보통 앞서 언급한 오피스나 캐드 솔루션에서 나오는 파일을 보안하는 DRM을 문서 DRM이라고 부르고 음악, 동영상, 이미지 등의 멀티미디어 컨텐츠 파일을 보안하는 것을 컨텐츠 DRM이라고 부르지만 기업에서 생성하는 파일에 대한 DRM을 적용하는 것을 엔터프라이즈 DRM 시스템으로 일반 사용자들을 대상으로 DRM을 적용하는 것을 컨슈머 DRM 시스템이라고 부르는 것이 더 일반적이다. 과거 멜론이나 도시락 등의 음원 사이트에서 제공했던 DRM 시스템이 컨텐츠 DRM이며 컨슈머 DRM 시스템이라고 보면 되며 기업에서 사용하는 DRM 시스템이 엔터프라이즈 DRM 시스템이라고 보면 된다.
그렇다면 이런 엔터프라이즈 DRM 시스템의 작동 방식은 어떻게 될까? 기업에서 사용하는 DRM 시스템이 적용된 PC에서 생성된 문서들은 기본적으로 암호화되어서 저장된다. 그리고 암호화된 파일을 열람하기 위해서는 DRM 시스템의 인증 서버로부터 사용자 인증을 받아야 하며 인증을 통과해야 암호화된 내용을 풀 수 있는 복호화 정보(복호화 키)를 제공받게 되고 그것으로 복호화해서 그 내용을 볼 수 있게 해준다. 기본 방식은 이렇지만 그 안에 다양한 권한을 두고 권한에 따라 열람 권한과 편집 권한을 제한할 수도 있다.
이런 기능 때문에 보통 PC에 DRM Agent라는 에이전트를 설치하며 그 에이전트가 파일을 생성하는 어플리케이션(MS 오피스나 한컴오피스, 혹은 다양한 캐드 프로그램, 멀티미디어 컨텐츠 생성 프로그램 등)을 제어하게 된다. 일반적으로 이런 어플리케이션은 DRM 기능이 기본적으로 제공되지 않기 때문에 외부의 DRM Agent를 통해 제공하며 그 과정 안에서 인젝션, 후킹 등의 어플리케이션 제어 기술을 사용하게 된다. 그렇기 때문에 PC 성능이 떨어지고 안정성이 떨어지는 경우가 종종 존재한다. 파일들이 모두 암호화되기 때문에 기업용으로 만든 문서가 아닌 개인 목적으로 만든 파일들까지도 암호화되는 상황도 벌어진다. 이런 문제점들 때문에 사용하는 사람들이 불편을 느낄 때가 있다는 것이 단점으로 꼽힌다.
하지만 기업 입장에서는 기업 내 사용자들이 어떤 문서를 만드는지 다 감시하기 어려운 문제가 있기 때문에 모두를 대상으로 적용하는 DRM 시스템을 선호할 수 밖에 없다. 그리고 인증 서버의 접속이 기업 외부까지 가능한 경우 기업 안에서 뿐만이 아니라 기업 밖에서도 문서 열람이 가능하며 파일이 외부로 유출되었더라도 암호화 되어 있기 때문에 인증 전에는 해당 문서를 열람할 수 없다는 장점 때문에 많이 도입하는 편이다. 그렇기 때문에 DRM 시스템은 기업에서 가장 많이 도입해서 사용하는 문서 보안 시스템이라고 볼 수 있다.
문서 중앙화 시스템
문서 중앙화 시스템은 이름 그대로 문서를 중앙에 모아서 관리하는 시스템을 의미한다. 사용자의 PC에서 만든 문서들이 사용자의 PC에 저장되지 않고 기업에서 제공하는 문서 서버에 저장되고 열람할 때에도 문서 서버에서 열람할 수 있게 해주는 시스템이 문서 중앙화 시스템이다. 문서 중앙화 시스템은 기업에서 생성된 모든 문서를 중앙에서 체계적으로 관리하고 외부로 아예 나가지 못하게 한다는게 그 의미가 있다.
문서 중앙화 시스템의 특징은 앞서 언급한 것처럼 사용자의 PC에서 만든 문서가 PC에 있는 것이 아니라 문서 서버에 저장되기 때문에 외부로 유출되지 않는다는 점이다. DRM 시스템의 경우 문서가 암호화되어 있다고는 하지만 어찌되었던 파일 자체는 외부로 반출이 가능하다는 것이 문제가 될 수 있다. 복호화 할 수 있는 정보(복호화 키)가 유출되면 무용지물이 되기 때문이다. 그래서 아예 기업 밖으로 나가지 못하게 하는 방법으로 문서 중앙화 시스템을 도입하는 경우가 많다.
문서 중앙화 시스템은 일반적으로 문서를 중앙의 문서 서버로 강제로 옮기는 기능을 하고 사용자 PC에서 해당 문서를 열람하거나 편집할 때에는 해당 문서의 일부분만 다운로드 받아서 편집하는 방식을 취한다. 아니면 파일을 PC의 메모리에만 올리고 PC의 저장공간(HDD, SDD 등)에 저장하지 않도록 해서 열람 및 편집을 제공하기도 한다(메모리 로딩 방식이라고 하는데 이 방식을 가장 많이 사용한다). 또 일반적으로는 문서 파일을 암호화하지 않는데 보안성을 더 높히기 위해 암호화해서 저장하는 경우도 있다. 암호화를 하게 된다면 해당 파일이 유출되더라도 DRM과 마찬가지로 인증 전까지는 열람할 수 없으며 보통 문서 중앙화 시스템의 인증 범위는 기업 내부로 한정하기 때문에 인증 자체가 불가능한 경우도 많다.
문서 중앙화 시스템의 방식은 다양한데 DRM 시스템처럼 에이전트를 설치해서 어플리케이션에서 문서가 생성되어 저장되면 그것을 인지하고 저장된 문서를 문서 서버로 이동시키고 PC에서 지우는 방식을 채택하는 문서 중앙화 시스템이 있고 아예 문서 서버를 보안 연결로 네트워크 드라이브로 잡아서 해당 드라이브에서만 문서 열람이 가능하도록 하는 문서 중앙화 시스템도 있다. 아니면 클라우드 기반의 웹오피스를 이용하여 관리하는 경우도 있는데 클라우드 스토리지가 문서 서버로 이용되는 경우이다. 물론 구글의 구글드라이브나 MS의 원드라이브에서 제공하는 구글독스, MS오피스 웹버전이 아닌 별도의 웹오피스 시스템을 이용해야 한다는 것이 다르다. 혹은 구글드라이브나 원드라이브에서 제공하는 오피스 관련 OpenAPI를 이용해서 커스텀으로 만든 웹오피스를 통해 제공할 수도 있다.
보통 DRM 시스템을 도입하면 문서 중앙화 시스템을 별도로 도입하지는 않는다. 파일 관리에 충돌이 생기기 때문이다. 그래서 문서 중앙화 시스템만 도입하거나 DRM 시스템만 도입하는 경우가 일반적이기는 한데 혼용에서 쓰는 경우도 있다. 기업 내부에서는 문서 중앙화 시스템을 이용해서 문서 관리를 하되 해당 문서를 반출해야 하는 경우는 DRM을 적용해서 반출하도록 시스템을 꾸밀 수도 있다.
출력물 워터마크
출력물 워터마크는 출력물 보안 시스템 중 하나이다. 그런데 보통 출력물 워터마크를 출력물 보안 시스템으로 얘기하는 경우가 많다. 출력물 워터마크는 프린터를 통해 인쇄되는 출력물에 대한 보안을 제공하는 보안 시스템을 의미하는데 앞서 언급한 DRM이나 문서 중앙화 시스템처럼 문서 자체에 암호화를 진행하기 어려운 인쇄물 출력에 관련된 보안이기 때문에 좀 방식이 다르다. DRM이나 문서 중앙화 시스템, 그리고 밑에서 언급할 DLP와 같은 보안 시스템은 이른바 사전 보안, 예방의 성격이 강한데 비해 출력물 워터마크와 같은 출력물 보안 시스템은 사후 추적의 성격이 강한 시스템이다.
출력물 워터마크 시스템은 보통 2가지로 나뉘는데 하나는 진본 여부를 알려주는 방식이며 나머지 하나는 유출 뒤에 추적할 수 있도록 정보를 함께 출력하는 방식이다. 전자는 우리가 보통 인터넷으로 주민등록등본이나 기타 공공기관에서 제공하는 문서를 출력할 때 문서의 하단에 일정 패턴으로 출력되는 것을 볼 수 있는데 이게 워터마크이며 만약 사용자가 이 출력된 문서를 복사기를 통해 복사하거나 혹은 스켄해서 다시 출력할 때에는 그 워터마크에 ‘복사(copy)’라고 보이게 한다던지 하는 방법으로 해당 문서의 진본 여부를 가릴 수 있게 해주는 보안 시스템이다. 후자는 문서를 출력할 때 상하단에 출력하는 사람의 정보(ID, 부서, 이름 등)와 날짜, 어느 프린터기를 이용했는지의 정보를 함께 출력해주는 방식의 보안 시스템이다. 문서의 가운데 정보를 넣기도 한다. 그래서 해당 문서가 유출이 되었을 때 그 상하단의 정보, 혹은 문서 가운데 있는 정보를 통해 최초의 출력자를 찾아서 추적을 통해 유출 경로를 파악하도록 해주는 그런 보안 시스템이라고 보면 된다.
출력물 워터마크 시스템의 방식은 프린터를 포함한 시스템과 프린터 없이 동작하는 시스템이 있으며 PC에 에이전트를 설치하는 시스템과 그렇지 않은 시스템으로 나눌 수 있다. 프린터를 포함하는 시스템은 출력물 워터마크 시스템 안에 특정 프린터가 포함되는 경우다. 즉, 해당 프린터는 출력물 워터마크 시스템에 연결되어 있으며 프린터기 자체에서 워터마크 작업을 해서 출력을 한다. 이 경우에는 PC에서 프린터로 데이터가 이동할 때 원본 그대로 이동하고 프린터에서 워터마크 작업을 해서 출력을 하게 된다. 프린터 없이 동작하는 시스템은 특정 프린터가 아니더라도, 즉 출력물 워터마크 기능이 없는 프린터라도 사용할 수 있게 해주는 것으로 PC에서 프린터로 데이터가 이동될 때 이미 PC에서 워터마크 작업을 다 해서 프린터로 이동시킨다. 앞서 프린터가 포함된 출력물 워터마크 시스템은 PC에 에이전트가 없는 경우가 있는데 후자의 경우에는 반드시 에이전트가 필요하다. 에이전트가 워터마트 작업을 해주기 때문이다. 물론 프린터가 포함된 시스템도 에이전트가 설치되는 경우가 있는데 이는 사용자 정보를 프린터로 전송하기 위해, 또 로그 기록을 위해 필요하기 때문이다. 없는 경우는 프린터에서 사용자 정보를 수집하고 로그를 기록한다(프린터가 기록한다고 하지만 프린터에 연결되어 있는 별도의 서버를 이용하는 경우도 있다). 그렇기 때문에 문서가 유출되면 문서 안의 정보 뿐만이 아니라 로그를 통해 최초의 출력자를 찾고 계속 추적하여 유출 경로를 찾고 유출 포인트를 찾게 해준다.
출력물 워터마크 시스템은 앞서 DRM이나 문서 중앙화 시스템, DLP와 함께 쓰이는 경우가 많다. 이는 DRM이나 문서 중앙화 시스템, DLP가 사전에 보안하는 방식이지만 어떻게든 유출될 가능성이 높기 때문에 유출 이후에 사후 추적을 통해 유출 방지를 진행해야 할 필요가 있기 때문에 보통 DRM, 혹은 DLP와 출력물 워터마크는 함께 쓰는 것이 일반적이다.
DLP
Data Loss Prevention의 약자로 데이터 유출 방지를 제공하는 보안 시스템이다. 사용자가 문서를 만들 때, 혹은 만든 문서를 다른 곳으로 이동할 때 그 행동들을 모니터링하다가 외부 유출이 시도될 때 이를 경고하거나 차단하는 기능을 제공하는 보안 시스템이다. 앞서 언급한 DRM이나 문서 중앙화 시스템이 문서의 저장 및 열람에 관여한다면 DLP는 문서를 만들고 핸들링하는 모든 행위에 관여한다. 그렇기 때문에 문서 단위로 보안을 적용하는 DRM, 문서 중앙화 시스템과 달리 DLP는 모든 문서에 대해 감시를 진행한다고 보면 된다.
DLP는 먼저 PC안의 저장공간에 저장하는 것 외에 CD/DVD-RW나 USB를 통한 외장 스토리지를 통해 PC 외 다른 외부 매체에 저장하는 것, 또는 이메일, 웹하드, 클라우드 스토리지를 통한 공유 등 인터넷을 통한 외부 반출 등이 진행될 때, 아니면 출력을 할 때 경고하거나 막는 역할을 한다. 또한 문서 내부의 내용을 확인하여 회사의 중요 내용, 혹은 개인정보 등이 있는지 검사하고 외부로 반출될 때, 출력할 때 검사 결과에 따라 허용하거나 차단하는 기능도 있다(혹은 출력 시 민감 정보를 가려서 출력하게 하기도 한다).
그 외에도 인증받지 못한 PC의 네트워크 접근을 제어한다던지 문서가 출력될 때 워터마크를 넣는다던지 외부로 반출될 때 암호화를 해 밖에서는 열람을 못하게 하거나 인증을 받아야만 열람할 수 있게 한다던지 하는 기능이 포함될 수 있다. 지금 언급한 이 기능들은 이미 앞서 언급한 DRM이나 출력물 워터마크, 또 NAC를 이용해 다 구현되는 기능들인데 DLP의 경우 이들 솔루션과 함께 연동하거나 DLP 시스템의 기능으로 구현해서 제공함으로 기업 내 문서, 혹은 데이터들이 외부로 유출되는 것을 방어한다. 이렇게 다양한 기능들이 제공되기 때문에 DLP는 토탈 기업 데이터 보안 솔루션이라고 얘기하기도 한다. 하지만 보통 일반적으로 DLP는 기업으로 데이터가 아예 못나가도록 막는 역할을 하기 때문에 외부 반출 차단, 출력 차단 등의 기능까지 지원하는 경우가 대다수이다.
DLP는 일반적으로 엔드포인트 DLP, 서버 DLP, 네트워크 DLP로 나뉘는데 엔드포인트 DLP는 DRM처럼 PC에 에이전트를 설치해서 PC 안에서 이뤄지는 모든 흐름들을 다 추적하고 감시하는 방식이며 서버 DLP는 서버에 저장된 문서의 내용을 검사하여 파기하거나 접근을 제어하는 방식이다. 네트워크 DLP는 PC에서 내부의 서버, 혹은 인터넷을 통해 외부의 시스템에 접속되고 통신될 때 그 통신 패킷의 내용을 감시하는 방식이다. DLP의 보안이 가장 높은 것은 엔드포인트 DLP이고 부담이 가장 적은 것은 서버 DLP나 네트워크 DLP라고 할 수 있는데 보통 서버 DLP < 네트워크 DLP < 엔드포인트 DLP 순으로 적용을 한다(즉, 엔드포인트 DLP가 네트워크 DLP보다 상대적으로 더 많이 기업에서 적용되고 있다고 보면 된다).
DRM과 달리 일반적으로 DLP는 생성되는 문서를 별도로 암호화한다던지 하지는 않는다. 그렇기 때문에 어떤 방법에서든 문서가 유출되면 보안할 수 있는 방법이 없다는 것이 DLP의 단점이다. 그래서 DLP와 함께 DRM을 많이 혼합해서 사용하는데 그렇게 되면 사용자 PC의 성능이 상대적으로 많이 떨어진다는 단점이 존재한다. 보안이 강화될수록 사용성이 떨어지는 것은 어쩔 수 없기 때문이다.
앞서 언급한 4가지의 문서 보안 시스템 외에도 다양한 문서 보안 시스템이 존재한다. 꼭 문서 보안을 목적으로 만든 보안 시스템이 아니더라도 결과론적으로 문서 보안이 되는 보안 시스템들이 많다. 앞서 잠깐 언급이 되었지만 네트워크 접속 관리 시스템인 NAC도 어떤 의미에서 허용되지 않는 사람들이나 시스템의 네트워크 접근을 막음으로 네트워크에 저장되어 있는 문서를 보호할 수 있는 효과를 가져오기도 한다. 그 외에 다른 보안 시스템도 비슷한 효과를 주기도 한다.
Ⅲ. 모바일, 그리고 클라우드 환경에 대한 대응
앞서 언급한 4가지의 문서 보안 시스템은 대부분이 PC 기반의 업무 환경에서 적용되는 문서 보안 시스템들이다. 이른바 레거시 시스템에서 운영되는 보안 시스템인데 이는 아직까지 기업의 문서 생산 및 열람 방식이 아직까지는 PC 환경에서, 그리고 Windows OS 환경에서 많이 이뤄지기 때문에 지금까지 이 방식이 적용되고 운영되고 있는 것이 사실이다.
하지만 최근의 기업 업무 환경이 회사 안, 즉 사무실 안에서만 이뤄진다고 할 수는 없을 것이다. 물론 문서 작성은 사무실 안에서 진행될 수는 있지만 그 문서를 사무실 안에서만 보라는 법은 없다. 사무실 밖에서 볼 수도 있고 그것을 PC나 노트북이 아닌 태블릿이나 스마트폰에서도 볼 수 있다. 즉, 과거와 같이 계속 PC 작업 환경에만 묶여있지 않다는 얘기다. 모바일 환경에서도 대응되는가가 문서 보안 시스템의 과제로 떠오르고 있다.
모바일 환경 대응 뿐만이 아니다. 많은 기업들이 클라우드 환경을 도입하기 시작했다. 물론 기업들이 도입하고자 하는 클라우드 환경이 사무실 안에서 일하는 직원들의 PC를 클라우드 환경으로 올리는 데스크탑 가상화를 쓰는 경우도 있지만 대부분이 업무 시스템인 서버들을 클라우드 환경으로 올리는 서버 가상화를 이용하기 때문에 앞서 얘기한 문서 보안 시스템을 그대로 적용해서 쓰는 것은 큰 무리는 없다고 생각할 수 있다. 또한 업무 환경이 웹 환경으로 넘어오는 경우가 많은데 이 경우에는 웹 기반 업무 환경을 만들 때 처음부터 문서 보안 기능을 함께 넣어서 만드는 경우가 많기 때문에 그래도 나름 잘 적응하고 있다고 보여진다. 즉, 기존의 문서 보안 시스템을 만드는 솔루션 기업들이 그룹웨어 솔루션 기업이나 웹오피스 솔루션 기업과 함께 보안 기능이 들어간 웹 기반 업무 환경을 만들어서 배포하면서 클라우드 환경에 대응하고 있다는 얘기다. 앞서 잠깐 언급했듯 구글드라이브나 원드라이브를 이용하는 경우라도 구글드라이브나 원드라이브에서 제공하는 OpenAPI를 이용하여 보안 기능을 넣은 커스텀된 구글드라이브나 원드라이브를 쓰도록 하면 되고 또 그렇게 쓰는 기업들도 있으니 충분히 대응되고 있다고 보면 된다.
앞서 모바일 및 클라우드 환경에 대한 대응에 대해서 언급했는데 아직 모바일 대응에 대해서는 뚜렷하게 두드러진 방식은 보이지 않는 것이 사실이다. 실제로 모바일 오피스 어플리케이션이 업무에 활용되는 경우는 그렇게 많지 않다. 물론 스마트폰에 한해서며 태블릿은 화면 크기 때문에 종종 이용되곤 하지만윈도 OS가 탑재된 윈도 태블릿이 아닌 안드로이드 태블릿이나 아이패드 등 모바일 OS가 탑재된 태블릿에는 아직 대응이 부족한 것이 사실이다. 그래서 클라우드 환경의 대응 방식을 모바일 환경의 대응 방식으로 함께 쓰는 경우도 많다. 즉, 웹 기반 업무 환경은 웹브라우저가 잘 대응해주면 되기 때문에, 그리고 태블릿이나 스마트폰의 웹브라우저도 PC에서의 웹브라우저만큼 성능이 나오기 때문에 그것으로 대체해서 쓰는 경우가 많다. 하지만 그래도 모바일에서의 문서 보안 시스템은 여전히 부족하고 미흡한 것은 사실이다.
Ⅳ. 문서 보안 시스템 도입의 필요성
기업 입장에서 보안은 무척이나 중요한 요소이다. 문서 한두개 유출되었다고 기업이 무너진다던지 하지는 않겠지만 그 한두개의 문서 유출로 인해 매출에 타격을 입을 수도 있고 장기적으로 중요한 캐시카우를 잃어버릴 수도 있다. 또 기업 이미지가 하락할 수도 있다. 하지만 앞서 언급한 4가지의 문서 보안 시스템의 도입 및 운영 비용이 솔직히 그렇게 저렴한 편은 아니다. 자금력이 부족한 벤쳐기업이나 중소기업 입장에서는 부담이 될 수 있다. 보안이 필요한 것은 인지하고 있지만 비용에 대한 부담으로 도입하지 못하는 기업들이 있다는 얘기다.
보안이라는 것이 당장에 문제가 생기기 전까지는 그 필요성을 못느끼기에 도입을 꺼릴 수 있지만 문제가 생긴 이후의 손해의 규모를 생각한다면 미리 예방하는 것이 옳다고 본다. 물론 앞서 언급한 4가지의 문서 보안 시스템의 잘 알려진 솔루션들은 가격이 세지만 의외로 잘 찾아보면 저렴하면서도 보안성이 좋고 기능이 우수한 중소기업이나 벤쳐기업용으로 나온 문서 보안 솔루션들도 찾을 수 있을 것이다. 이런 저렴하면서도 괜찮은 솔루션을 찾는 것도 기업이 해야 할 일이 아닐까 생각한다.