우선 이 글에서 말하는 DRM은 MP3 등을 아우르는 권한 관리 전반적인 주제가 아니라 기업에서 생성한 문서의 보안과 권한 관리에 국한함을 분명히 하고자 합니다.
여러 업체의 문서 보안 솔루션을 도매금으로 다룰 생각은 없는데 특정 업체는 괜찮은 편이라고 하면 언급하지 않은 업체는 나쁘다는 얘기 밖에 되지 않으니 그냥 DRM 솔루션 업체를 구분하지 않겠습니다. 행여 민감해질 만한 상황은 피하고 싶습니다.
***
내키지는 않았지만 고객사에서 쓰는 DRM 솔루션을 설치해서 쓰다 보니 성능과 안정성 모두에 문제가 있는 듯했습니다. 알아보니 DRM 솔루션에 이를 가는 SI 종사자가 많더군요. 제가 직간접적으로 겪은 사례까지 합하면 글이 길어질 듯하여 간략하게 정리하면 다음과 같은 사고가 빈발합니다.
1. 특히 파일 서버에서 비주기적으로 저장이 되질 않는다.
2. 특히 파일 서버에서 비주기적으로 계속 권한 관련 오류 메시지를 쏟아 내며 저장 행위 자체를 하지 못하는 상태에 빠진다.
3. 특히 파일 서버에서 비주기적으로 암호화되지 않아 확장자만 바꾸면 DRM 없이 조회 가능한 임시 파일이 남는다.
각종 데스크탑 검색에서 내용 검색을 하지 못하거나 상용 기업 포탈 서버에서 작업하지 못하거나 윈도 비스타와 윈도 7에서 돌아 가지 않는 등의 불편한 점 등을 논외로 치더라도 저 3가지 상황은 현업 사용자들의 원성을 사기에 충분했습니다. 그래도 이 정도는 눈물 좀 쏟기는 해도 보안에 치명적인 해는 못됩니다.
문제는 기껏 문서 보안 솔루션을 도입해서 불편하게 업무를 보는데도 보안에 치명적인 약점이 꽤 많다는 점에 있습니다. 물론 이미 암호화 된 파일을 쉽게 복호화 하지는 못하지만 아래와 같이 현업 사용자도 충분히 DRM 솔루션을 피해서 평문으로 저장하여 외부로 유출하기는 쉽습니다.
1. MS 오피스가 아닌 다른 프로그램에 붙여 넣기가 가능하다.
오픈 오피스, 스타 오피스, 아래아한글(최신 버전은 암호화 기능 작동 불능) 등에 붙여 넣으면 평문으로 저장 가능합니다. 복사 권한을 막으면 문서 협업이 불가능하므로 복사 불가 옵션을 사내에서는 해제하는 기업이 99.9%일 겁니다.
2. 작업 관리자로 DRM 솔루션 프로세스를 종료하면 평문으로 저장 가능하다.
DRM 솔루션 관련한 프로세스를 주루룩 종료 시키면 MS 오피스에서도 평문으로 저장됩니다. 모르긴 해도 꽤 많은 컨설턴트들이 고객사의 DRM 솔루션을 회피해서 문서를 저장해 나가지 않을까 합니다. 이 방법이 퍼지기 전까지는 자신이 작성한 산출물을 아쉬워 하면서 그냥 고객사에 두고 가야 했다지요.
한 마디로, 실은 꽤 많은 DRM 솔루션 사용 기업에 디립다 큰 구멍이 버젓하게 존재한다는 얘기입니다. 아울러 상당수 DRM 솔루션 업체가 구멍을 뻔히 알고도 솔루션 팔아 먹는 데에 급급해서 입을 닫았다는 것이고요.
그렇다 해도 DRM 솔루션 업체를 악의 축 정도로 취급하자는 성토를 하기 위해 이 글을 쓰는 건 아닙니다. 왜 이런 상황이 됐는지 대략은 압니다. 다만 이런 상황을 그대로 두어서는 안 된다는 말씀은 꼭 드리고 싶습니다.
고객도 나름의 사정이 있겠지만 존재의 가치를 생각하여 양보하지 않아야 할 게 있잖아요.
이제는 고객사에서 아무리 비용적인 압박을 가하더라도 솔루션만 팔지 말고 컨설팅을 우선시 해야 합니다. 굳이 솔루션으로 접근해야 한다면 토탈 솔루션을 제시하여 뭐가 빠지면 어떤 약점이 생긴다는 점을 명시했으면 좋겠습니다.
부연하자면,
1. 보다 원천적인 문서 유출 차단을 위해 가상화 환경을 최대한 활용하도록 안내해야 합니다.
가상화만 잘 해도 농담 좀 섞어서 문서 유출의 방법이 화면 캡처와 모니터 촬영 정도로 국한됩니다. 물론 외부 전달 목적의 문서를 다루기 위해 DRM 솔루션은 꼭 필요합니다.
2. MS AD에서의 정책, 그러니까 PC에서의 관리자 권한 등을 비롯한 적절한 PC 환경 설정이 먼저입니다.
DRM 솔루션 프로세스를 보호하며 각종 편법을 활용한 DRM 솔루션 우회를 차단하기 위함입니다. 가상화를 잘 하면 환경 설정 행위 자체에 대한 부담과 인지하지 못한 취약점이 줄어듭니다. (어떤 회사는 PDF 저장 부분에 대한 설정을 제대로 하지 못해 모든 문서가 PDF 형식으로는 평문으로 저장되더군요. 일부러 그렇게 하지는 않았겠지요.)
3. DRM 솔루션은 외부 전달에 집중하되 이에 대한 실제 업무 프로세스를 정립해야 합니다.
예상 외로 업체에 따라 이 부분의 프로세스가 정립되지 않아, 외부에 문서를 전달할 일이 많은 부서에는 DRM 솔루션을 설치하지 않는 등으로 공식적인 구멍을 만드는 일마저 벌어지곤 합니다.
되풀이 할 필요도 없이 기업에서 문서 보안은 필수입니다. 때문에 경영진도 다른 솔루션들보다는 쉽게 지갑을 열어 주었을 겁니다. 다만 문제를 너무 간단히 보고 비용 절감을 이유로 어줍잖게 DRM을 시행했다는 점이 사달의 시작이었겠습니다. 제발 이제부터라도 이 구멍을 막아 IT 부서에 대한 신뢰까지 잃는 일은 없었으면 좋겠습니다.
***
관련 글
1.
보안 이전에 보안 의식 by wizmusa
2.
걱정되는 문서 보안(DRM)시장 by wizmusa
3.
Google Apps를 통한 해킹에 대한 우려 by 5throck