전자문서는 단순하게 생성될 경우 정보 보안에 취약한 구조이기 때문에 피해 예방을 위한 보안 대책은 필수다. 일반적으로 문서 수정을 막기 위해 PDF로 생성된 전자문서를 활용하지만 수정이 아예 불가능하지는 않다. 이에 많은 기관과 기업은 외부로 발송하는 전자문서를 읽기 전용으로 생성하거나 다양한 보안 기술을 적용해 보호하고 있다.
중요한 정보 자산이 포함된 전자문서는 철저한 관리를 통해 유출은 물론 종이로 출력되는 상황까지 제한해야 한다. 전자문서 보안의 핵심 목적은 전자문서가 정상 절차와 방법으로 안전하고 신뢰할 수 있게 활용되도록 하는 것이다.
전자문서 보안은 기술 요건과 정책 요건으로 구분할 수 있다. 먼저 기술 요건은 암호화·저장 제어 등 전자문서가 비정상적으로 이용되는 것을 차단하거나 제한하는 것이다. 정책 요건은 전자문서 이용에 관한 기준과 절차다. 특히 정책 요건에는 전자문서 보안 기술이 정확히 적용되도록 하는 기준과 절차가 반드시 포함돼야 한다.
기술 요건과 정책 요건은 상호 보완하는 관계로, 어느 하나만으로는 전자문서 보안 목적을 달성하기 어렵다. 이는 성능이 뛰어난 보안 기술을 적용하더라도 운영 정책에 허점이 있다면 보안성이 떨어질 수 있기 때문이다. 반대로 운영 정책이 정교하거나 효과가 있다 하더라도 보안 기술 성능이 현저하게 떨어진다면 전자문서 보안성은 확보하기 어렵다. 이에 따라 전자문서 보안을 신뢰할 수 있는 수준으로 확보하고자 한다면 두 가지 요건을 비롯해 현재 시스템과 문서 관리, 활용 현황 등을 면밀히 살펴봐야 한다.
전자문서 보안 기술은 크게 유출 방지 기술과 위변조 방지 기술로 나뉜다. 문서보안(DRM), 문서중앙화, 매체 제어, 캡처 방지, 위변조 검증 기술 등이 대표적으로 포함된다. 유출 방지 기술은 권한이 없는 사람이 비정상적인 방법으로 전자문서를 조회하거나 편집, 저장, 출력하는 것을 차단한다. DRM은 디지털 권한 관리 기술로 전자문서를 암호화하고 권한이 있는 사람만 암호를 풀어 이용하도록 하며, 흔히 '문서보안 솔루션' 'DRM 솔루션'으로 불린다.
문서중앙화는 전자문서를 개인용컴퓨터(PC)가 아닌 특정 영역에 저장한 뒤 권한이 있는 사람만 이용할 수 있도록 한다. 매체 제어는 전자문서를 이동식저장장치(USB) 메모리, 외장하드, SD카드 등에 저장되는 것을 제어하기 위해 외부 매체 연결을 차단하거나 인증된 매체로만 저장을 허용한다.
위변조 방지는 전자문서가 이용되는 과정에서 위변조되는 방법을 차단하거나 불가피하게 위변조됐을 경우 위변조 여부를 확인하는 기술이다. 캡처 방지 기술은 전자문서 조회 및 열람 화면 캡처를 제어하는 기술과 출력·저장을 제어하는 기술을 합쳐서 부르는 용어로, 전자문서 이용 시 위변조될 만한 요소를 제한한다. 이 기술을 활용하면 전자문서가 생성된 시점 이후 해당 문서가 변경됐는지를 확인하거나 전자문서 내용을 담고 있는 2차원 바코드를 검증, 변경 여부를 확인할 수 있다.
전자문서가 기술 요건과 정책 요건을 만족해서 관리된다는 건 문서로서의 가치와 증거력을 인정할 수 있다는 의미와 같다. 다시 말해 전자문서가 생성돼 폐기되는 과정에서 조직 업무와 활동으로 발생한 의사결정 및 행동을 정확히 반영하고, 허가되지 않은 수정이나 위변조가 발생하지 않는 환경이 갖춰져 있다는 것이다. 한마디로 전자문서 품질 요소인 진본성, 신뢰성, 무결성, 가용성이 확보됐다는 뜻이다.
전자문서는 원본 아닌 진본으로서의 가치가 더욱 중요하다. 법적 분쟁 발생 시 증거 가치를 인정받기 위해서는 적절한 보안 기술과 정책 요건을 마련해야 한다. 4차 산업혁명과 비대면 전환 과정에서 전자문서 활용 가치 및 범위가 확대된 만큼 사회 구성원들은 전자문서를 보호하기 위한 다양한 조치를 수행, 함께 신뢰하는 사회를 만들어야 할 것이다.
김성규 한국전자문서산업협회장 gform@epostopia.com