<열린마당>시스템내 문서 보안

◆파수닷컴 사장 조규곤　(kcho@fasoo.com)

　많은 경우 기업의 중요 지적 자산 및 정보는 문서 형태로 저장 관리되고 있다. 그간 문서에 관하여 정보시스템이 해주었던 것은 문서의 편집 및 출력 정도였으나, 최근 들어서는 웹이나 e메일, KMS, EDMS와 같은 전자 문서관리 시스템, 전자결재 시스템 등의 발달로 문서의 생성, 유통, 보관 및 폐기에 이르기까지 문서 유통의 전 과정이 시스템화되었다. 이런 시스템의 도움으로 문서 유통이 활발해 지면서 생기는 문제점 중 하나가 보안이다.

　문서 유통 위주의 정보시스템에서는 문서는 중앙 서버에만 존재하는 것이 아니라 업무 흐름에 따라 사용자의 PC로 흘러다닌다. 정보를 담은 문서는 기업의 각부서, 협력업체 등 필요한 사람에게 전달되어 유용한 정보를 전달할 때, 그 기능을 다한다. 그런데 문제는 문서라는 단위의 정보는 특성상 쉽게 외부로 유출 될 수 있음에도 불구하고, 불법적인 방법으로 유출되었을 때 기업이 문서유출 경로에 대한 통제가 힘들다는 것과 문서사용 내역을 파악하기 어렵다는 것이다. 기업의 자산이라 할 수 있는 중요정보가 문서화되어 유출되었을 때 기업의 경쟁력이 하락한다는 것은 자명한 이치이며 문서보안의 중요성이 더욱 커지는 이유임과 동시에, 접근 제어 내지는 화면별 접근 제어 방식의 보안대책에 한계가 있음을 나타내기도 한다.

　접근 제어 방식을 문서 위주의 정보시스템에 적용할 경우, 결국 문서를 다운로드할 수 있는 화면의 접근을 제어하는 것인데, 이는 문서를 보호하기 위한 효율적인 방식이라 할 수 없다. 허용된 사용자가 문서를 다운로드한 후 재전송하는 것을 막을 수 없기 때문이다. 어떤 경우에는 아예 문서를 온라인 상에서만 볼 수 있게 하고 다운로드를 불허하는 경우도 있으나 이것은 또 다른 문제를 일으킨다. 문서라는 것은 대체로 정보량이 많은 파일인데 매번 네트워크에 붙어서 사용해야 한다면 서버 및 네트워크에 많은 부담을 주게 된다. 결국, 다운로드는 허용할 수밖에 없으며, 사용자 PC에 전달된 후에도 문서의 사용을 지속적으로 관리할 수 있는 솔루션의 채택은 필수적이다. 최근 들어 디지털 콘텐츠 저작권의 지속적인 관리를 위해 개발된 DRM 기술을 응용한 문서 보안 솔루션을 대기업들이 적극적으로 채택하고 있는 이유다.

이런 솔루션은 허가된 사용자만이 그 문서를 사용할 수 있으며, e메일이나 디스켓을 통하여 문서가 유출된다 하더라도 문서 사용이 불가능하여 단순히 암호화하여 전달하는 것과는 차별된다. 좀더 근본적인 문서 중심의 정보시스템 패러다임에 적합한 보안 솔루션이라고 할 수 있다.

　이런 보안 솔루션을 채택한다는 것은 기업 입장에서 보면 이에 맞는 보안정책의 수립이 전제가 되어야 하는데, 보안 솔루션은 최신의 것을 채택하고도 보안정책은 여전히 시스템에 대한 접근 제어나 화면에 대한 접근 제어에 머무르고 있다면 솔루션 도입의 효과는 반감되고 말 것이다. 예를 들어 한 문서가 여러 응용시스템에서 첨부될 수 있는데, 어디를 통해서 접근했느냐에 따라 보안 수준이 달라지는 경우가 종종 발생한다. 만약 한 문서가 KMS와 그룹웨어에 동시에 첨부되었는데, 두 시스템의 접근 제어 정책은 서로 독립적이어서 같은 문서를 그룹웨어에서는 전 사원이 볼 수 있는데 KMS에서는 특정 부서만 볼 수 있다면 KMS에서의 보안 정책은 전혀 쓸모가 없게 된다.

보호해야 할 대상이 화면이나 서버만이 아니라 문서이고, 문서가 중요한 정보 자산을 담고 있으므로 문서 중심으로 보안을 다시 생각해 보아야 한다. 문서에 접근하는 경로에 따라 달라질 수 있는 보안 정책이 아니라 문서별로 일관된 보안 정책이 필요하다. 보안이라는 관점에서 보면 문서에 접근하는 경로는 그렇게 중요하지 않다. 문서 자체가 중요한 보안 대상인 것이다. 보안의 주요 대상을 네트워크나 시스템에서 문서로 넓혀 거기에 걸맞은 보안정책을 수립하고 적절한 솔루션을 채택하는 것이 문서 중심의 정보시스템 시대에 부합하는 보안 대책일 것이다.