개인정보보호가 사회 전체의 이슈가 되면서 문서보안의 중요성이 더욱 커지고 있다. 기업 기밀보호를 위해 사용됐던 문서보안 솔루션이 이제는 고객의 정보보호를 위해서도 쓰이게 된 것이다.
이렇게 문서보안의 수요가 늘면서 다양한 방식의 솔루션이 문서보안을 표방하고 있다. 그러나 문서보안의 핵심 요소가 간과되는 경우가 종종 있다. 이런 솔루션으로 문서보안 시스템을 구축하면 보안은 충분하지 않으면서 불편만 가중시킬 수 있다.
문서보안을 제대로 하려면 문서가 저장됐을 때나 전송되는 중에도 보호되어야 하는 것은 물론이다. 더 중요한 부분은 문서가 허가된 사용자에 의해 사용되고 있는 중에도 보안이 되어야 한다는 것이다. 여러 문서유출 사고 통계를 보아도 문서보안 사고의 대부분은 허가된 사용자에 의해 발생하고 있다. 문서보안을 제대로 하려면 사용 중에도 문서의 보안을 유지할 수 있는 솔루션이 필수다.
최근 많은 기업이 보안 우려 때문에 모든 문서를 서버에 저장하고 PC에는 남기지 않도록 하는 방식을 검토하고 있다. 이는 문서의 관리 효율을 높이는 데는 좋은 방법일지 모르지만, 문서보안 관점에서 보면 허가된 내부 사용자에 의한 문서 유출을 막진 못한다.
PC에 파일이 없으니 외부의 침입자가 PC에 침입해도 가져갈 것이 없다. 서버 자체의 보안만 충분하다면 외부 침입자로부터 보안은 유지된다고 볼 수 있다. 하지만 허가된 사용자가 문서를 열어 사용하면서 문서의 전부 혹은 일부를 외부에 유출할 수 있는 방법은 다양하게 열려 있다.
디스크나 파일 암호화 솔루션도 같은 문제를 그대로 갖고 있다. 암호화된 채 저장되어 있기 때문에 이 파일을 외부 침입자가 꺼내가도 사용할 수가 없고 PC를 분실해도 문서 유출을 염려할 필요는 없다. 그러나 허가된 사용자가 사용 중 유출시키는 데는 역시 아무런 대안이 없다. 허가된 사용자에 의한 유출 위험이 전혀 없다고 판단된다면 이 정도의 보안도 의미는 있을 것이다.
허가된 사용자가 문서를 사용하고 있는 중에도 허용된 범위 외의 유출을 시도할 수 없도록 효과적으로 차단하는 것이 문서보안의 핵심 기능 중 하나다. 그런데 문서 사용 중에 열려 있는 유출 경로가 다양하다는 것이 문제를 어렵게 만든다. 사용자들이 쉽게 쓸 수 있는 기능부터 고급 사용자를 위해 애플리케이션에서 제공되는 확장 기능까지 문서 사용 중에 외부로 전송할 수 있는 방법은 다양하다. 물론 전문가에 의한 매수나 회유 시도에도 대비해야 한다.
이런 다양한 유출 경로에 대해 난이도에 따라 균등하게 보안 수준을 유지해야 비로소 문서보안을 제대로 할 수 있는 기본을 갖추었다고 평가할 수 있다. 어느 한 곳이라도 허술하면 다른 부분에 보안이 아무리 잘 되었다고 하더라도 최소율 법칙에 따라 보안성은 떨어질 수밖에 없다. 유효한 보안 수준이 유지되지 않는다면 굳이 보안 때문에 불편을 감수할 필요는 없다.
또 다른 문서보안의 핵심은 상황에 따라 얼마나 유연한 보안 정책을 적용할 수 있느냐다. 그렇지 못하면 보편적인 보안 정책을 일괄적으로 적용할 수밖에 없어서 어떤 때는 불필요한 보안을 유지하고 있고, 어떤 때는 보안을 불충분하게 하는 결과를 낳는다. 문서의 생명주기에 따라 같은 문서라도 다른 수준의 보안 정책이 자동으로 실현되어야 한다. 예를 들어 문서가 결재시스템을 통해 결재가 진행 중일 때는 결재 라인에 있는 사람들에게만 열람되게 해야 하지만 결재가 끝나고 문서관리 시스템에 저장돼 있을 때는 전 팀원들이 열람할 수 있도록 보안 정책이 자동 적용될 수 있어야 한다.
최근의 상황인지(context aware) 컴퓨팅 기술은 좀 더 효과적인 보안 정책을 가능하게 한다. 스마트폰 열풍의 뒤에는 이런 기술이 사용자를 사로잡고 있다. 사용자의 위치 정보와 시간 정보 등 사용자가 직접 입력하지 않은 콘텍스트 정보를 적절히 활용해 사용자가 원하는 정보를 바로 제공하는 기술이다. 이 기술은 강력한 보안은 꼭 필요한 상황에서만 적용되게 하고 그렇지 않을 때는 느슨한 보안 정책을 유지해 편의성을 최대한 보장할 수 있다. 문서보안에 활용할 수 있는 콘텍스트는 문서 내용, 사용 시점, 위치, 사용 이력 등이 있을 것이다. 예를 들어 보통의 문서에는 느슨한 보안 정책을, 개인정보가 들어 있는 문서에는 엄격한 보안 정책을 적용할 수 있다. 사용자의 위치나 사용 시간대에 따라 보안 정책이 변경되게 할 수도 있다.
더 이상 편의성 때문에 보안을 낮은 수준으로 떨어뜨릴 필요는 없다. 기업의 정보유출, 고객정보유출은 남의 일이 아니다. 이제 문서보안은 기업 보안에서 기본 인프라다. 문서유출 위험성에 대한 정확한 인식과 적절한 대책을 강구해야 한다. 충분한 보안성을 유지하면서도 상황에 따라 탄력적인 정책을 적용할 수 있는, 문서보안 핵심 기능에 충실한 인프라를 구축해야 한다.
조규곤 파수닷컴 대표 kcho@fasoo.com
