DRM을 믿어야 하나요? : 스마트플레이스 (http://www.smartplace.kr)

2009-11-09 22:46:58

우선 이 글에서 말하는 DRM은 MP3 등을 아우르는 권한 관리 전반적인 주제가 아니라 기업에서 생성한 문서의 보안과 권한 관리에 국한함을 분명히 하고자 합니다.

여러 업체의 문서 보안 솔루션을 도매금으로 다룰 생각은 없는데 특정 업체는 괜찮은 편이라고 하면 언급하지 않은 업체는 나쁘다는 얘기 밖에 되지 않으니 그냥 DRM 솔루션 업체를 구분하지 않겠습니다. 행여 민감해질 만한 상황은 피하고 싶습니다.

***

내키지는 않았지만 고객사에서 쓰는 DRM 솔루션을 설치해서 쓰다 보니 성능과 안정성 모두에 문제가 있는 듯했습니다. 알아보니 DRM 솔루션에 이를 가는 SI 종사자가 많더군요. 제가 직간접적으로 겪은 사례까지 합하면 글이 길어질 듯하여 간략하게 정리하면 다음과 같은 사고가 빈발합니다.

1. 특히 파일 서버에서 비주기적으로 저장이 되질 않는다.
2. 특히 파일 서버에서 비주기적으로 계속 권한 관련 오류 메시지를 쏟아 내며 저장 행위 자체를 하지 못하는 상태에 빠진다.
3. 특히 파일 서버에서 비주기적으로 암호화되지 않아 확장자만 바꾸면 DRM 없이 조회 가능한 임시 파일이 남는다.

각종 데스크탑 검색에서 내용 검색을 하지 못하거나 상용 기업 포탈 서버에서 작업하지 못하거나 윈도 비스타와 윈도 7에서 돌아 가지 않는 등의 불편한 점 등을 논외로 치더라도 저 3가지 상황은 현업 사용자들의 원성을 사기에 충분했습니다. 그래도 이 정도는 눈물 좀 쏟기는 해도 보안에 치명적인 해는 못됩니다.

문제는 기껏 문서 보안 솔루션을 도입해서 불편하게 업무를 보는데도 보안에 치명적인 약점이 꽤 많다는 점에 있습니다. 물론 이미 암호화 된 파일을 쉽게 복호화 하지는 못하지만 아래와 같이 현업 사용자도 충분히 DRM 솔루션을 피해서 평문으로 저장하여 외부로 유출하기는 쉽습니다.

1. MS 오피스가 아닌 다른 프로그램에 붙여 넣기가 가능하다.
오픈 오피스, 스타 오피스, 아래아한글(최신 버전은 암호화 기능 작동 불능) 등에 붙여 넣으면 평문으로 저장 가능합니다. 복사 권한을 막으면 문서 협업이 불가능하므로 복사 불가 옵션을 사내에서는 해제하는 기업이 99.9%일 겁니다.

2. 작업 관리자로 DRM 솔루션 프로세스를 종료하면 평문으로 저장 가능하다.
DRM 솔루션 관련한 프로세스를 주루룩 종료 시키면 MS 오피스에서도 평문으로 저장됩니다. 모르긴 해도 꽤 많은 컨설턴트들이 고객사의 DRM 솔루션을 회피해서 문서를 저장해 나가지 않을까 합니다. 이 방법이 퍼지기 전까지는 자신이 작성한 산출물을 아쉬워 하면서 그냥 고객사에 두고 가야 했다지요.

한 마디로, 실은 꽤 많은 DRM 솔루션 사용 기업에 디립다 큰 구멍이 버젓하게 존재한다는 얘기입니다. 아울러 상당수 DRM 솔루션 업체가 구멍을 뻔히 알고도 솔루션 팔아 먹는 데에 급급해서 입을 닫았다는 것이고요.

그렇다 해도 DRM 솔루션 업체를 악의 축 정도로 취급하자는 성토를 하기 위해 이 글을 쓰는 건 아닙니다. 왜 이런 상황이 됐는지 대략은 압니다. 다만 이런 상황을 그대로 두어서는 안 된다는 말씀은 꼭 드리고 싶습니다.

고객도 나름의 사정이 있겠지만 존재의 가치를 생각하여 양보하지 않아야 할 게 있잖아요.
이제는 고객사에서 아무리 비용적인 압박을 가하더라도 솔루션만 팔지 말고 컨설팅을 우선시 해야 합니다. 굳이 솔루션으로 접근해야 한다면 토탈 솔루션을 제시하여 뭐가 빠지면 어떤 약점이 생긴다는 점을 명시했으면 좋겠습니다.

부연하자면,

1. 보다 원천적인 문서 유출 차단을 위해 가상화 환경을 최대한 활용하도록 안내해야 합니다.
가상화만 잘 해도 농담 좀 섞어서 문서 유출의 방법이 화면 캡처와 모니터 촬영 정도로 국한됩니다. 물론 외부 전달 목적의 문서를 다루기 위해 DRM 솔루션은 꼭 필요합니다.

2. MS AD에서의 정책, 그러니까 PC에서의 관리자 권한 등을 비롯한 적절한 PC 환경 설정이 먼저입니다.
DRM 솔루션 프로세스를 보호하며 각종 편법을 활용한 DRM 솔루션 우회를 차단하기 위함입니다. 가상화를 잘 하면 환경 설정 행위 자체에 대한 부담과 인지하지 못한 취약점이 줄어듭니다. (어떤 회사는 PDF 저장 부분에 대한 설정을 제대로 하지 못해 모든 문서가 PDF 형식으로는 평문으로 저장되더군요. 일부러 그렇게 하지는 않았겠지요.)

3. DRM 솔루션은 외부 전달에 집중하되 이에 대한 실제 업무 프로세스를 정립해야 합니다.
예상 외로 업체에 따라 이 부분의 프로세스가 정립되지 않아, 외부에 문서를 전달할 일이 많은 부서에는 DRM 솔루션을 설치하지 않는 등으로 공식적인 구멍을 만드는 일마저 벌어지곤 합니다.

되풀이 할 필요도 없이 기업에서 문서 보안은 필수입니다. 때문에 경영진도 다른 솔루션들보다는 쉽게 지갑을 열어 주었을 겁니다. 다만 문제를 너무 간단히 보고 비용 절감을 이유로 어줍잖게 DRM을 시행했다는 점이 사달의 시작이었겠습니다. 제발 이제부터라도 이 구멍을 막아 IT 부서에 대한 신뢰까지 잃는 일은 없었으면 좋겠습니다.

***

관련 글

1. 보안 이전에 보안 의식 by wizmusa
2. 걱정되는 문서 보안(DRM)시장 by wizmusa
3. Google Apps를 통한 해킹에 대한 우려 by 5throck

스마트플레이스의 글을 편리하게 구독하세요.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

트랙백 (0) |

덧글 (5)


	트랙백 주소: http://www.smartplace.co.kr/trackback_post_403.aspx 스마트플레이스의 트랙백은 스팸방지를 위해 관리자 승인 후 등록됩니다.


	AKI 2009-11-11 09:43:56 답글 삭제 문서는 아니지만 음악 악보의 경우에도 DRM을 건 PDF 형식으로 판매하는 경우가 있는데, 이 경우도 출력하는 대상을 몇몇 가상 프린터로 지정하면 저장 가능함이 확인되고 있습니다. 실제로도 저는 가끔 취미로 연주하는 드럼 덕택에, 구입한 악보를 영구 소장하고자 그런 식으로 출력하여 저장한 경우도 있구요. 음악 콘텐츠의 경우에는 국가적으로 뭔가 DRM 관리 센터를 만들려고 하는 움직임이 있던데, 콘텐츠 프로바이더들이 그런 것들을 따를지도 걱정이고, 그 시스템이 확산될지도 의문이네요. 문서 DRM의 경우에는 이런 문제제기라든가 관련 연구 사업 같은 것이 있는지 궁금합니다.


	mcdasa 2009-11-11 10:10:18 답글 삭제 현재의 DRM이란 "실질적인 문서보안에는 하나도 도움이 안되고, 업무효율저하와 성능저하에만 큰 기여(?)를 하는 허울좋은 껍데기" 라고 생각합니다. DRM관련프로세스란건 애당초 존재하지도 않는것 같애요.


	지나가다가 2009-11-19 08:25:30 답글 삭제 국내 보안 솔류션이라는 것들 몇가지를 살펴보았더니 참 어의 없이 동작하더군요 겨우 하는 일이라는 것이 CreateFile/ReadFile/WriteFile등의 API를 hooking해서 권한이 있는 사람들에 대해서만 I/O가 가능도록 허가해주는 정도의 기능을 합니다. 이게 뭡니까? 한심하기 짝이 없습니다.


	카나리아 2009-11-30 21:10:01 답글 삭제 원칙적으로 DRM으로 정보를 완전히 접근 불가능하게 하는건 힘들죠. 어떤 암호화를 하던 풀려면 key가 필요한데 문서에 접근하는 순간 key에 접근해야 하고 그럼 뭐.... 이런저런 상황까지 다 고려해서 둘러싸는것도 힘들고 만약 그렇게 하게 되면 악성코드랑 매한가지라...


	카나리아 2009-11-30 21:10:53 답글 삭제 그리고 위에것처럼 Create/Read/Write만 관리할거면 그냥 리눅스 쓰는게 낫겠네요. 리눅스는 그냥 운영체제 자체적으로 그런거 관리되니..

이름		비밀번호
홈페이지
덧글
비밀글