컴퓨터와 네트워크의 발달로 모든 정보들이 디지털화가 되어가고 이렇게 디지털화된 정보들은 소속기관이나 회사의 자산으로 인식되어 공동으로 활용할 수 있도록 저장·관리되고 있다. 집중 관리되는 정보들이 체계적으로 활용될 때 지식자산이 되어 기업의 가치를 높이고 업무의 효율성을 극대화시킬 수 있다는 측면에서 컴퓨터와 네트워크가 기업의 경쟁력 향상에 높은 기여를 하고 있다는 것은 부정할 수 없는 사실이다. 이를 위해서 기업들은 지식관리(KM:Knowledge Management) 시스템이나 전자문서관리시스템(EDMS:Electronic Document Management System)를 도입하여 지적자산을 축적하는 데 힘을 기울이고 있다.
경쟁력 향상을 위한 지식자산의 공유의 이면에는 정보의 유출이라는 함정이 도사리고 있다. 아날로그 시절에 정보를 유출하기 위해서는 오프라인 과정을 거쳐야 하기 때문에 유출 시기도 늦고 정보의 접근이 매우 제한적이었으나 현대와 같이 디지털 자산으로 집중 관리되고 있는 체제에서는 정보의 접근이 매우 용이할 뿐 아니라 초고속 통신망을 통해서 불특정 다수에게 동시다발적으로 정보를 제공하는 것이 가능하다. 아무리 방대한 양의 정보라도 CD 한장에 담아서 유출시킬 수 있는 것이 디지털 자산의 맹점이라 하겠다. 더욱이 평생직장이라는 개념이 사라지고 직장에서의 이직현상의 빈번해진 최근에는 더욱 회사의 지식자산의 보호가 중요한 이슈로 등장하고 있다.
97년 말 국내 굴지의 반도체 회사인 S사와 L사의 직원이 회사 기밀을 대만의 반도체 회사에 넘기려다 붙잡힌 사건은 정보유출의 심각성을 드러낸 한 단면이며, 당시의 추정 손실액은 약 7조원에 이르는 것으로 알려졌다. 또한 벤처기업 설립의 붐을 틈타서 회사의 연구자료를 가지고 나와서 회사를 설립함으로 지적재산권에 대한 분쟁이 상당수 발생하고 있다. 이러한 사례에서 알 수 있는 것은 보안침해 사례의 대다수인 70%가 내부자에 의한 소행이라는 것이며, 내부에 공유 시켜놓은 디지털 자산이 정보유출로부터 무방비 상태로 노출되어 있다는 것은 기업에는 심각한 위기를 가져올 수 있다.
최근 기업의 정보공유를 활성화하고 공유된 정보가 불법으로 외부로 유출되는 것을 방지할 수 있는 기술을 개발한 벤처기업이 등장하면서 유사 기술을 개발하는 기업들이 증가하고 있으며 이들은 공통적으로 디지털 자산의 사용 권한을 제어함으로써 정보유출을 방지하려는 노력을 기울이고 있다. 디지털 자산의 유출 방지를 위한 기술은 디지털저작권관리(DRM:Digital Rights Management) 기술을 기반으로 하고 있다. 디지털저작권관리 기술은 인터넷 상에서 서비스되는 콘텐츠의 불법복제나 유통을 방지하기 위해서 개발된 기술로서 사용자의 인증에서부터 제공된 콘텐츠 파일의 사용권한, 과금결제서비스 및 사용내역 관리서비스를 제공하는 종합 콘텐츠 관리 기술이다. 부가적으로 저작권 등록 시스템이 연계되어 콘텐츠의 생성과 등록에서부터 소비자에게 제공되는 서비스 단계까지의 전과정에 개입되어 콘텐츠의 저작권을 보호하고 관리하는 기술이 DRM 기술이다.
디지털 자산의 유출 방지를 위한 기술은 DRM 기술을 기반으로 하고는 있지만 멀티미디어 콘텐츠를 다루는 응용 소프트웨어들이 몇 가지 범주에 속하는 것과 달리 디지털 자산은 응용 소프트웨어의 범주가 광범위하고 사용하는 기업의 지식 자산 관리 시스템에 따라서도 다른 인터페이스를 요구하는 등의 복잡성이 존재한다. 특히 멀티미디어 콘텐츠의 사용권한 제어는 재생, 저장, 사용횟수나 기간, 양도와 같은 몇 가지 사용권한만을 다루는 것에 반해서 기업내의 지식 자산은 출력이나 편집기능, 출력 후의 추적을 위한 기능 등 보안 차원에서 고려해야 할 사항이 매우 복잡한 형태를 띠고 있다.
이와 같이 다양한 요구를 갖고 있는 기업의 디지털 자산 보호 기술에 필요한 요소기술은 다음과 같다.
첫번째는 인증 기술이다. 인증기술은 기업내의 사용자가 적법한 사용자인지를 확인하기 위한 과정으로 다양한 기술을 활용하는 것이 가능하다. 가장 쉽게 접근할 수 있는 방법은 ID와 비밀번호를 이용하는 방법이지만 효과적이지 않으며, 자체 구축된 PKI 인증센터를 이용한 전자서명에 의해서 본인임을 인증하는 방법도 있다. 이외에도 생체인증 기술을 이용하여, 지문인식이나 홍채인식, 정맥인식, 영상인식과 같은 방법이 활용되거나 복합적인 방법에 의해서 인증하는 기술이 사용된다.
두번째는 암호화 기술이다. 암호화 기술은 디지털 자산을 보호하는 가장 기본적인 부분이다. 디지털 자산을 암호화라는 금고속에 넣고 특정 키를 보유한 사람만이 열어서 사용할 수 있도록 해주는 기술로서 비대칭 키-일반적으로 PKI(public key infrastructure)라고 하는-방식과 대칭 키 방식이 있다. 비대칭 키 방식은 암호화할 때의 키와 복호화할 때의 키가 서로 다르기 때문에 키의 분배를 효과적으로 해줄 수 있다는 장점이 있으나 연산시간이 많이 걸리기 때문에 기업 내에서 빈번하게 발생하는 디지털 자산의 호출을 실시간으로 지원하기 위해서는 시스템의 부하가 매우 크게 되는 단점이 있다. 대칭 키 방식은 연산시간의 장점이 있으나 키의 분배에 있어서는 비대칭 키 방식에 비해서 보안성이 떨어지는 단점이 있다. 이를 효과적으로 활용하는 방법은 용량이 큰 디지털 자산은 비밀 키 암호화 방식에 의해서 암호화하고 해당 키의 분배를 위해서는 비대칭 키 방식을 활용하는 방법이다.
세번째는 다양한 사용권한관리 기술이다. 앞에서 서술한 것처럼 디지털 자산의 보호를 위한 기술이 DRM 기술을 기반으로 하고 있지만 사용권한에 있어서 매우 다른 형태의 관리 기술을 요구하고 있다. 기업내의 디지털 자산은 수평적 구조에서 공유되고 활용되는 자산과 수직적 구조에서 공유되고 활용되는 자산이 있기 때문에 매트릭스 구조의 디지털 자산 사용권한을 관리할 수 있는 기술이 필수적이다. 매트릭스 구조란 수직적으로는 한 부서내에서 공유할 수 있는 자료에 대한 권한과 수평적으로는 직급에 따라서 공유할 수 있는 자료에 대해서 총괄적으로 관리할 수 있는 구조를 의미한다. 이 기술은 열람에 대한 권리나 배포에 대한 권리, 편집, 복사, 다운로드, 출력, 사용기간, 양도권한 등을 관리하는 기술이다.
네번째는 템퍼프루핑(Temper proofing) 혹은 크래킹 방지 기술이다. 암호화 기술 자체에 대해서는 이미 많은 공인기관을 통해서 그 안정성을 입증받고 있지만 문제는 디지털 자산 보호 소프트웨어 내에서 모듈간 통신 프로토콜의 허점이나 암호 키의 분배나 관리상의 허점을 이용하여 크래킹을 시도한다는 것이다. 따라서, 알고리듬의 구현이나 설계시에 불법 사용자에 의한 역공학적인 분석 공격이나 프로토콜 공격에 대비할 수 있는 기술을 적용하는 것이 필수적이다. 템퍼프루핑 기술은 불법적인 사용자에 의해서 프로그램의 불법적인 수정이 이루어지지 않았는지를 검증하는 기술이며, 프로그램 내에서 암호 키의 사용에 대한 보호책으로서는 Obfuscation*이라는 요소기술이 사용된다. Obfuscation은 프로그램의 흐름을 수학적으로 모호하게 설정함으로써 불법적인 사용자가 역공학적인 분석 공격을 가하더라도 프로그램의 흐름을 알 수 없도록 하는 기술이다.
다섯번째는 사용자의 다양한 환경이나 응용 소프트웨어를 지원할 수 있는 커널수준의 디지털 자산 보호 소프트웨어 모듈 기술이다. 현재 기업내의 대부분의 사용자는 윈도 환경을 사용하고 있으나 그 버전에 있어서는 현격한 차이를 보이고 있다. 심지어 기업에 따라서는 윈도95에서부터 윈도XP에 이르기까지 아주 다양한 윈도 환경을 사용하고 있기 때문에 하나의 운용체계 환경으로 통일할 수 없는 상황에서는 다른 운용체계 버전으로 인한 오류가 발생하지 않도록 세심한 모듈개발이 필요하다. 또한 기업마다 활용하는 응용 소프트웨어가 다르기 때문에 이들을 통합해서 지원할 수 있는 모듈기술이 필수적이다. 윈도 환경에서는 응용 소프트웨어들에 플러그인이라는 기술을 이용하여 필요한 모듈을 삽입하는 기술이 일반적으로 사용되고 있으나, 이 경우에는 모든 응용 프로그램마다 플러그인 모듈을 개발하여야 하기 때문에 유지보수가 어렵고, 응용 프로그램의 버전업에 따른 모듈의 재개발이 필요하기 때문에 사용자에게 원활한 서비스를 제공하기가 어렵다. 따라서 운용체계내에서 동작하는 커널과 같이 동작하면서 모든 응용 프로그램을 관장할 수 있는 모듈의 기술 개발이 경쟁력의 차이를 가져올 수 있다. 서버의 운용체계에 있어서도 윈도NT 서버나 유닉스 기반의 서버, 리눅스 기반의 서버가 다양하게 존재하기 때문에 이러한 환경을 고려한 개발 프로세스의 채택은 필수적이다.
마지막으로 사용자가 출력하거나 디지털 자산 형태로 복제해서 유출을 시켰을 때, 출력자나 유출자를 추적할 수 있는 추적기술이다. 이러한 추적기술로는 핑거프린팅(혹은 워터마킹) 기술을 활용한다. 핑거프린팅 기술은 디지털 자산에 사용자에 대한 정보를 은닉함으로써 출력물이나 디지털 자산으로부터 유출자에 대한 정보를 추출하여 불법행위를 추적하게 하는 기술이다. 핑거프린팅 기술은 불법사용자가 자신의 정보를 제거하기 위한 다양한 공격을 시도할 수 있기 때문에 이러한 공격에 대한 내성을 보유하고 있어야 하며 사용자가 디지털 자산내에 자신에 대한 정보가 은닉되어 있다는 것을 지각적으로 감지할 수 없어야 한다. 또한 은닉된 사용자 정보를 추출할 때, 잘못 추출됨으로써 제3자에게 생길 수 있는 피해를 최소화하기 위해서 오류율을 10∼12까지 낮추어야 한다.
기업내에서 디지털 자산의 중요성이 높게 인식되고 효율적인 자산의 공유로 기업의 경쟁력을 향상시키기 위한 노력이 지속적으로 이루어지고 있는 가운데, 그 역기능으로 기업의 디지털 자산의 불법적인 유출을 막는 기술의 필요성이 높아지고 있다. 과거에 기업내의 정보들이 디지털화되기 이전에도 산업스파이에 의한 기업비밀의 유출이 있었지만 이러한 과정은 물리적인 보안시설을 뚫고 들어가야 하는 어려움이 있기 때문에 빈번하게 일어날 수 없는 일이었다. 그러나 디지털 시대에서는 12세의 소년들조차도 국가 주요시설의 컴퓨터 시스템에 침입하여 중요자료를 열람하거나 불법적으로 빼돌리는 것이 가능하다. 인터넷이라는 네트워크는 시공을 초월하여 모든 사람들을 연결해 주기 때문에 물리적인 보안시설은 의미가 없어지고 불법적인 사용자를 기술적으로 어떻게 무력화 시킬 것인가가 중요하다. 방화벽이나 사용자 인증과 같은 절차가 기존의 1차적인 기업내의 디지털 자산을 지키기 위한 수단이었다면 디지털 자산에 대한 권한 관리와 암호화 등을 통해서 불법 사용자의 의지를 무력화시키는 보안기술은 차세대 디지털 자산 보호 기술이라 하겠다.
창과 방패와 같이 크래킹을 시도하는 불법 사용자들에 대해서 보다 완벽한 보안 기술을 개발하기 위한 노력이 이제는 종합적인 보안기술의 집적으로 완성되어가고 있다. 그러나 이러한 기술의 완성 가운데에서는 실질적으로 구현단계에서 보이지 않는 실수에 의해서 틈새를 만들어 줄 수 있기 때문에 섣불리 기술적 구조를 구현하여 시장에 진출하려는 무리한 시도보다는 체계적인 구조설계와 크래킹의 방지책을 고려하여 기술적 구조를 완성하려는 노력이 필요하다. 이러한 기술적 노력과 더불어 신뢰로 이루어진 사회를 구현해나가는 데 우리 모두 노력한다면 기업의 경쟁력 향상을 위해서 서로의 지식을 공유하는 데 걸림돌을 제거해 나갈 수 있을 것이다.
◆김종원 마크애니 부설 연구소장
89년 서울시립대학교 전자공학과 졸업
95년 서울시립대학교 대학원 전자공학과 공학박사
95∼96년 한국과학기술정보연구원 선임연구원
96∼2000년 주성대학 정보통신학과 조교수
2000년∼현재 마크애니 부설연구소 소장
관련 통계자료 다운로드 디지털자산 보호시스템 구성 예