[특집]생성된 모든 문서에 대해 중요도 차별없이 보호 
[입력날짜: 2009-06-25 10:57] 
 
[특집 : 데이터 유출 방지를 위한 DLP 솔루션 제안] 

불법침입뿐만 아니라 부적절한 전송경로까지 차단해야 

실수와 고의를 포함하여 도난·분실·압수의 경우에도 정보를 보호할 수 있는 정보유출방지 솔루션은 DRM 방식의 DLP 솔루션이 최선이다. 최근 정보보호의 최대 이슈는 아마 데이터 유출방지(DLP:Data Loss Prevention) 솔루션일 것이다. 많은 솔루션 업체들이 관련 솔루션 개발에 투자를 하고 있으며 각종 리서치 기관에서도 향후 DLP 솔루션에 대한 미래를 밝게 전망하고 있다. 본고는 ShadowCube라는 DLP 솔루션을 발전시키고 다수의 현장에 적용한 경험을 바탕으로 DLP 솔루션의 장단점들과 효과적이고 완벽한 DLP 솔루션을 구축 방안에 대해 알아본다. 

최근 정보보호의 최대 이슈는 데이터 유출방지(DLP:Data Loss Prevention) 솔루션일 것이다. 많은 보안 솔루션 업체들이 이와 관련된 제품이나 기술 개발에 투자를 확대하고 있으며 각종 리서치 기관에서도 향후 DLP 솔루션에 대해 전망을 밝게 보고 있다. 특히 최근 들어 기업의 정보유출 사고로 인해 큰 손실로 이어질 수 있다는 사실에 기업의 정보자산 보호에 대한 인식도 크게 확대되고 있다. 

DLP(Data Loss Prevention, 데이터 손실 방지)란 기업 구성원, 프로세스, 기술의 결합을 통해 고객 또는 직원 기록 등의 개인 신원확인 정보, 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 설계 도면과 같은 지적 재산을 포함하는 기밀 정보 등이 기업 밖으로 유출되는 것을 방지하는 솔루션이다. 

예전에는 보안문서 등급에 따라 유통과 열람을 엄격하게 통제하는 전통적인 방법으로 효과적으로 보안을 해왔다. 하지만 최근 무한 복사가 가능한 디지털화된 정보화 사회에서는 생산된 파일의 유통이 너무나 쉽기 때문에 예전처럼 보안 등급을 통한 통제가 매우 어렵다. 생성된 보안 문서는 파일로 PC에 저장된 상태에서 시스템화된 서버에 전송된 이후에야 통제할 수 있는 정보로 관리된다. 하지만 서버에 전송하기 이전 또는 서버에 전송한 이후에 삭제되지 않은 문서의 관리는 어떻게 할 것인가? 이러한 문제를 해결하기 위해서는 일단 PC상에서 생산되는 모든 문서를 그 중요도를 차별하지 않고 보호 대상으로 취급하는 것이 가장 확실한 방법이다. 

정보유출을 막기 위한 방법에는 여러 가지 기술적인 방법들이 있다. 즉 복사방지(매체보안) 솔루션과 암호화(DRM) 솔루션으로 구분할 수 있는데 이러한 솔루션들은 내부자의 비협조나 실수의 경우에도 유출을 방지할 수 있는 좋은 방법들이다. 완벽한 정보유출을 차단하기 위해서는 불법침입경로뿐만이 아니라 부적절한 전송경로까지 차단해야 한다. 이유는 지난해 국가정보원의 첨단산업기술 유출 신분별 현황에 따르면 대부분의 정보유출 사고가 전·현직 직원에 의해서 발생되고 있기 때문이다. 

매체보안 솔루션은 다양한 매체(USB, DVD, FTP, E-Mail 등)로의 전송을 차단하여 내부자의 무단유출을 방지하는 솔루션이다. 하지만 도난·분실·압수의 경우는 정보를 보호할 수 없는 단점이 있다. 따라서 실수와 고의를 포함하여 도난·분실·압수의 경우에도 보안을 유지할 수 있는 암호화(DRM)방식의 기술을 응용한 내부정보 유출방지 기술의 효과적이고 완벽한 정보 유출 방지를 위한 가이드라인을 제시한다. 

정보유출방지 솔루션 도입시 기본이 되는 원칙 

[1] 문서나 도면 등, 보호하고 싶은 파일을 암호화된 상태로 유통시키는 것이 최선이다. 

디지털화된 정보의 유출에는 다양한 방법이 있을 것이다. 그 중 흔한 방법은 단순하게 파일을 복사해 가는 것이지만 노트북의 분실, PC의 압수 등에도 대비책이 있어야 하기 때문에 디스크나 파일 자체를 암호화해야 한다. 또한 조직 내에서 파일은 파일서버나 그룹웨어 등 협업을 위해 다양한 방법으로 유통되고 있기 때문에 디스크 암호화 보다는 파일 단위의 암호화가 현명한 선택일 것이다. 

[2] 암호화된 파일을 단순히 키 값이나 비밀번호로 권한을 주는 것이 아니라 열람자의 신원 확인을 거치는 방법이 안전하며 효율적이다. 

최근의 DLP 솔루션은 ‘정보유출방지’의 기능과 ‘내부정보유출방지’의 역할까지 포괄하고 있는 추세이다. 앞서 언급한 ‘국가정보원의 첨단산업기술 유출 신분별 현황’에 따르면 유출 사건의 86%가 전·현직 직원에 의한 것이다. 따라서 암호화된 파일의 열람 권한을 비밀번호 등으로 허용하는 것 보다는 인증서등의 방법으로 열람 권한이 있는지 확인하는 것이 권장된다. 

[3] 정보의 생성시부터 원천 암호화하기 위해서는 애플리케이션 보안이 최선이다. 

애플리케이션 보안이란 파일을 생산·유통·열람하는 애플리케이션에 대한 보안을 포괄한다. 매체 보안 분야는 유통의 지점에서 보안을 강조하고 DRM 분야는 열람의 과정에서 보안을 강조한다. 하지만 여기서 주목해야 할 것은 열람과 유통의 단계에서 아무리 보안을 강조하더라도 정보의 생산 단계에서 파일을 암호화 하지 않는다면 보안의 홀이 너무 많이 생긴다는 것. 따라서 반드시 정보를 생성하는 시점에서 암호화 하는 원천 암호화 솔루션을 권장한다. 또한 파일을 암호화 한다고 한다면(예를 들면 오피스 문서를 암호화 한다면), 원래의 오피스 포맷과 더불어 변환되어 저장되는 모든 형태의 포맷이 암호화 되어야 한다. 이를 쉽게 이해하면 오피스라는 애플리케이션에서 저장되는 모든 정보를 암호화해야 한다는 것이며 때문에 필자는 ‘정보를 생산하는 단계에서의 애플리케이션 보안’이 최선의 방법이라고 강조하고 싶다. 

[4] 업무 생산성을 저하시키지 않을 타협점을 고민하고 선택해야 한다. 

각 기업의 실무 담당자를 만나게 되면 DLP 솔루션에 대한 도입에 있어 가장 고민되는 부분이 불편함을 수반하는 것이다. 불편함을 수반한다는 것은 곧 업무생산성이 떨어지게 되는 것이고 각종 IT 기술이 업무생산성을 향상시키는데 도움을 주었던 현장의 경험들이 도입을 망설이게 하는 요인이다. 이것은 업무생산성을 높이기 위해 도입한 IT 기술이 이제는 대량 정보유출의 방법으로 부메랑이 되어 돌아오는 현실이며 정보화가 가속될수록 더욱더 부메랑도 커져서 돌아오게 된다. 그렇지만 정보유출을 차단하기 위해서 불편함을 전혀 수반하지 않을 방법은 없으며 업무생산성을 조금이나마 저하시키지 않게 하는 방법도 없다. 따라서 우리가 해야 할 일은 정보보호를 위해 불편함을 참을 수 있는 접점이 어디인지 찾는 것이며 생산성을 저하시키지 않는 최선의 방법은 무엇이냐 하는 것이다. 

[5] 각종 로그나 암복호화 기록에 대해 법적인 효력을 고려해야 한다. 

적절한 권한을 가진 사용자가 정상적인 허가의 경로로 정보를 유출했을 때 어떻게 증명할 것인가. 정상적인 경로로 보안이 해제된 정보는 그에 따른 로그가 남을 것이지만 그러한 로그를 법적으로 인정받기는 쉽지 않을 것이다. 전자서명법 제3조에서 전자문서에 공인전자서명이 있는 때에는 이를 충족한 것으로 보며 전자거래기본법 제11조에서는 전자서명과 전자문서와의 관계에 대해 전자문서의 무결성을 추정하는 수단으로서 전자서명법을 준용한다고 했다. 

즉 공인인증기관이 인증서만 관리해 준다면 전자서명된 문서의 법적인 효력이 있다는 의미이다. 때문에 전자서명을 이용한 암복호화 및 로깅시스템을 갖출 것을 검토해야 하며 추후 공인인증서와의 호환시스템을 위하여 공개키기반구조(PKI:Public Key Infrastructure) 방식의 인증 방식을 고려할 필요가 있을 것이다. 


DLP 솔루션 도입시 고려해야 할 기능 

[1] 원천암호화 방식의 솔루션이 지원되어야 한다. 

앞서 언급한대로 PC에 저장된 파일의 보안등급에 대해서 PC 사용자 이외에는 파악할 방법이 없다. DLP의 목적이 내부자의 비협조적인 상황의 경우에도 유출을 방지하는 것(강제보안)이기 때문에 생성 시점의 암호화(원천 암호화)가 요구된다. 사용자가 문서의 생성시 별도의 절차를 거친 후 암호화 한다는 것은 번거로움이 존재하는 것과 동시에 보안의 홀을 존재하게 만드는 것이다. 

기술적인 방식의 차이는 있지만 DRM 방식의 DLP 솔루션은 대부분 정보의 생산자가 협조하지 않더라도 암호화하여 파일을 저장하고 있다. 다만 고려할 것은 애플리케이션이 파일을 편집·열람할 때 다양한 임시 파일(Temporary File)을 생성하므로 그러한 임시 파일까지 암호화 하는지 확인해야 할 것이며 애플리케이션에서 저장 가능한 다양한 방식의 파일 포맷이 모두 암호화 되어 저장 되는지 확인해야 할 것이다. 

[2] 파일 단위의 암호화 방식을 지원해야 한다. 

디스크 단위의 암호화 방식도 파일 단위의 암호화 방식과 마찬가지로 정보를 암호화하여 저장하는 것에는 차이가 없지만 유통의 단계에서 문제가 된다. 어느 조직이든 요즘은 파일서버, 그룹웨어, ERP 등등 다양한 방법으로 정보를 공유하거나 협업을 위해 강제로 공유하게 만들고 있다. 이러한 환경에서 파일 단위 암호화는 필수적인 지원 사항이다. 

[3] 파일의 생산·유통·열람이 투명하게 이뤄져야 한다.  

필자는 앞서 업무생산성과 불편을 최소화해야 한다고 강조한 바 있는데 그렇다면 업무생산성과 불편함을 해소하는 방법은 무엇인가? 

필자는 기존 업무에 변화를 주지 않는 것이라고 강조하고 싶다. 만약 기존의 업무에서 전혀 변화를 주지 않고 보안을 유지할 수 있다면 그것이 최선의 생산성 유지 방법인 것이다. 때문에 정보가 담긴 파일의 생산·유통·열람 단계를 기존과 동일한 방법으로 할 수 있게 유지 한다면 최선의 선택이 될 것이다. 

이러한 최선의 선택을 위해 필요한 기능으로는 정보의 생산시나 열람시 별도의 절차가 있어서는 안될 것과 파일명이나 저장 경로를 강제하지 않아야 한다는 것이다. 즉 정보의 유통을 기존과 동일하게 유지해야 한다는 것이다. 필자는 이러한 기존의 업무 처리 방식과 동일함을 유지하면서도 보이지 않는 암호화를 유지하는 방법을 “투명한 방식의 암호화(투명암호화)“ 라 명명하고 있다. 

[4] 컨텐츠 보호를 위한 메모리 관리 기능과 화면 캡쳐 방지 기능을 지원해야 한다. 

만약 위와 같이 원천암호화 방식으로 파일을 보호하고 있다면 그 파일이 외부로 유출되어도 아무런 문제가 없을 것이다. 다만 사용자가 악의적으로 마음만 먹는다면 문서의 컨텐츠를 손쉽게 이동할 수 있는 기능(Copy & Paste)을 이용해 정보를 유출하는 것은 쉬운 일이다. 보안을 유지해야 하는 컨텐츠를 관리한다는 것은 컨텐츠를 생산·편집·열람하는 애플리케이션의 메모리를 관리해야 한다는 의미로 이해하면 되겠다. 

즉 오피스의 엑셀 문서를 작업하는 도중에 컨텐츠를 복사(Copy)하여 메신저 같은 애플리케이션에 붙여넣기(Paste) 하는 것을 차단해야 한다는 것이다. 물론 동일한 보안대상인 오피스의 엑셀과 워드 사이에서는 컨텐츠의 이동이 자유로워야 할 것이며 이러한 컨텐츠 보호 방식을 업무 특성이 아닌 개인별 필요에 따라 옵션화하여 정책을 수립할 수 있게 해 준다면 금상첨화일 것이다.    

더불어 정보를 유출하려는 입장에서는 비생산적인 방식이 되겠지만 디지털카메라나 화면캡쳐(Screen Capture)를 통한 유출방지에 대한 고민도 있어야 할 것이다. 아쉽게도 현존하는 기술로는 모니터의 화면을 디지털카메라로 촬영하는 것을 막을 수는 없겠지만 화면 캡쳐는 막을 수 있을 것이다. 

[5] 워터마킹 기능은 필수이다. 

암호화 방식의 DLP 솔루션은 대부분 프린트시 워터마킹이 지원된다. 다만 워터마킹을 지원하는 기능면에서는 솔루션 별로 다소의 차이가 발생하는데 필수적인 기능만 언급하겠다. 

먼저 프린터 출력시 보안의 홀이 존재하는지 살펴보아야 한다. 몇 년 전 매스컴을 떠들썩하게 만들었던 대법원 인터넷 등기소의 보안 문제도 인쇄 과정에서의 보안의 홀이었다. 프린터로 보내는 과정에서 파일을 빼내면 간단하게 정보를 유출 시킬 수 있었던 것이다. 

두 번째는 워터마크의 크기와 위치, 농도와 정보의 내용을 조절할 수 있게 하는 것이다. 필요에 따라 워터마크를 해제해야 하는 경우가 업무상 많이 생길 것이기 때문이며 특정 부서나 특정 개인에게는 별도의 워터마킹 정책이 필요하기 때문이다. 더불어 모든 프린터를 호환되게 지원하는 워터마크 기술인지 여부와 워터마크를 바코드로 출력하는 기능 등도 가능한지 검토 대상이 되어야 할 것이다. 

[6] 암호화 알고리즘 및 암호화 방식을 검토해야 한다. 

DES, 3DES, SEED, ARIA 등 검증된 암호화 알고리즘에 128비트 이상의 키 크기로 파일을 암호화 했다면 현실적으로 암호를 해제하는 것은 불가능 하며 암호화 방식의 DLP 업체들은 모두 이러한 지원을 하고 있다. 다만 국가정보원에서는 ARIA 알고리즘을 필수 지원할 것을 권고하고 있으므로 국정원의 지침을 따라야 하는 기관은 암호화 알고리즘 선정시 검토 대상이 되어야 할 것이다. 일부 솔루션은 파일의 헤더 등만 암호화 하거나 변형시키는 경우도 있으므로 블록암호화 방식을 이용하여 파일 전체를 암호화 하는지 검증해야 한다.  

[7] 신원 확인에 의한 사용 권한 부여가 최선의 방법이다. 

파일을 단순히 비밀번호나 키 값에 의해 암호화 하는 것은 완벽한 보안의 방법이 아닌데 보안의 홀이 존재하기 때문이다. 또한 파일에 그 파일을 이용할 수 있는 권한이 있는 목록을 나열하는 것도 좋은 방법이 아니며 그 이유는 정책의 변경에서 자유롭지 않기 때문이다. 

필자가 추천하는 방식은 신원 확인에 의한 권한 부여 방식이다. 물론 암호화 된 파일에는 그 파일을 이용할 수 있는 조직이나 조건이 명시되어 있겠지만 개인이나 부서의 단위로 능동적인 정책의 변경을 수용하기 위해서는 그러한 파일들을 접근할 수 있는 권한은 신원 확인을 통해서 진행하는 것이다. 

‘인증서를 이용한 신원 확인 절차’와 같은 방법을 통해 신원 확인을 한다면 업무생산성의 저하를 최소화 해주는 동시에 신분별 권한 통제를 할 수 있는 방법이 제공된다. 이렇게 하기 위해서는 ‘라이선스’라는 개념을 도입하여 신분이 확인된 자의 권한이 어디까지 인지 명시해 주는 것이 필요하다. 이 라이선스에는 워터마킹의 유무와 컨텐트 이동의 허용 유무, 라이선스의 사용 가능 기간 등이 명시될 것이다. 또한 라이선스의 재발급을 관리와 정책의 필요에 의해서 수시로 강제할 수 있어야 하겠다. 

이렇게 하면 대량 정보의 유출이 우려되는 사안이 발생할 경우 우려가 되는 특정 개인이나 부서의 파일 접근 권한을 차단하면 될 것이다. 물론 파일은 각각의 PC에 존재하고 있을 것이지만 암호화 된 파일에 대한 접근 권한을 신원 확인해 의해서 진행 한다면 순간적인 정책의 변경을 실현할 수 있는 것이다. 

[8] 네트워크의 장애나 비상 상황에서도 업무의 흐름을 방해하지 않아야 한다. 

온라인 상으로 실시간 사용자의 권한을 확인하고 있다면 네트워크 장애시나 네트워크가 원활하지 않은 해외 출장자등의 경우에는 문제가 발생할 것이다. 그렇다고 오프라인 상태에서도 권한을 준다면 보안사고가 우려된다. 

이러한 이유 때문에 라이선스라는 개념이 필요하게 된다. 예를 들어 라이선스를 발급할 때 사용 가능한 유효 시간을 24시간으로 설정했다면 그 시간 이내에 발생한 네트워크의 장애를 해결하면 문제가 되지 않을 것이며 하루 정도 외근을 나가 노트북을 사용하는 문제도 자동으로 해결될 것이다. 그렇다면 네트워크 환경이 불투명한 장기간 출장자는 어떻게 해결할 것인가? 즉 ‘특별라이선스 요청’과 같이 특별한 라이선스를 인가해 주면 해결될 수 있다. 즉 예상 가능한 필요조건을 출장자가 신청하게 하고 인가해 주는 것이다. 물론 이러한 특별한 라이선스가 무분별하게 발급될 경우 사고의 위험이 크기 때문에 요청한 PC에서만 사용 가능하게 하고 관리자의 결재를 받도록 하는 절차가 필수적이다. 

[9] 새로운 보안대상의 출현에 대한 적응력이 원활해야 한다. 

DRM 방식의 DLP 솔루션은 가장 확실한 정보유출 차단의 방법으로 최근 인지되고 있다. 다른 어떤 방법보다도 근본적인 해결책이 되며 생산성에 영향을 덜 미치기 때문이다. 하지만 분명히 단점도 존재하는데 그것은 가격이 비싸다는 점이다. 가격이 비싼 이유는 DRM 방식의 DLP 솔루션이 애플리케이션을 대상으로 하고 있고 수 많은 애플리케이션의 각 버전별로 기술적으로 상이한 부분이 존재하기 때문이다. 

위와 같은 이유로 기술 개발에 시간이 많이 소요되며 새로운 애플리케이션의 버전이나 OS가 출시될 경우 대응에 상당한 곤란을 겪게 된다. 국내의 DRM방식 DLP시장이 시스템통합(SI:System Integration) 위주로 성장해 왔기 때문에 프로젝트 기간이 끝나면 공급된 소스 코드는 더 이상 발전 없이 묵혀 있다가 위와 같이 새로운 보안대상이 출현하게 되면 개발 프로젝트를 다시 시작해야 하는 악순환을 반복하고 있다. 따라서 필자는 되도록 패키지화 된 솔루션을 도입할 것을 추천 한다. 

패키지화 된 솔루션은 수시로 업그레이드된 버전을 공급하기 때문에 새로운 보안대상의 출현에 즉각적으로 대응할 수 있으며 유지보수의 부담도 없을 것이다. 또한 최근 패키지화된 DRM 방식의 DLP 솔루션은 업무 프로세스나 모듈을 정형화하고 보안대상과 기간계 연동 API등을 옵션화해서 공급하므로 엔터프라이즈 환경에서도 훌륭하게 운용될 정도로 솔루션이 발전된 상태다. 

<글 : 김명락 두루안 대표이사(mrkim@duruan.co.kr)> 

[월간 정보보호21c 통권 제106호 (info@boannews.com)] 

<저작권자: 보안뉴스(www.boannews.com)