DLP 솔루션을 검색하다 보면 함께 언급되는 다른 솔루션이 몇개 보인다.

DRM과 문서중앙화/VDI 솔루션이다.

세 솔루션의 차이가 무엇인지, 자사에는 무엇을 도입해야 효율적일지,

아니면 셋 다 도입해야하는지 고민하는 게시글도 종종 볼 수 있다.

​

 

문서중앙화/VDI

 

초기에는 사내 문서공유목적으로 개발된 솔루션이다.

로컬 PC가 아닌 중앙 스토리지에 일괄적으로 문서를 모아 관리한다.

사용자는 터미널 서비스처럼 중앙스토리지를 관리하는 서버에 접속하여 업무를 수행한다.

서버에는 수백수천대의 가상PC환경이 구축되어 있어서

사용자는 마치 자신의 데스크탑처럼 동일하게 작업할 수 있다.

​

문서중앙화의 경우 파일이 모두 중앙 스토리지에 저장되어 있고 컴퓨팅도 중앙서버에서 이루어진다.

사용자에게는 오직 윈도우 화면정보만 전송된다.

정보보안 관점에서는 개인정보/기밀정보가 포함된 문서가

USB, 외장하드 등에 저장/복사되는 것을 원천적으로 차단하여 정보유출을 막아주는 역할을 한다.

또한 노트북(디바이스) 반출입을 통한 유출통제에도 효과적인 수단이다.

다만 모든 문서가 중앙 스토리지에 저장되어 있기 때문에 업무상 단점도 존재한다.

몇몇 서버에 수백, 수천개 PC가 붙어있기 때문에 서버와 PC 사이에 전송되는 데이터, 트래픽 또한 만만치 않다.

CAD, 영상편집, 일러스트레이터 등 디자인/이미지 제작이 주업무인 직군에서는 이 단점이 두드러진다.

서버에 부담이 되기 때문에 초당 60프레임까지 올라가는 4K 고화질 영상은

문서중앙화 환경에서는 지원되지 않기도 한다.

​

문서중앙화는 USB, 외장하드 등 매체통제 부분에서만 통제가 된다.

출력물, 인터넷 전송을 통한 유출은 ‘문서중앙화’로는 막을 수 없다.

특히 해커는 오직 인터넷을 통해서 정보를 유출하는데 문서중앙화는 무용지물이다.

 

DRM

 

디지털 저작권 관리(Digital Rights Management)의 약자인 DRM은

본래 음원, 동영상, 사진 등의 무분별한 복제와 저작권 침해를 막기 위해 개발된 기술인데,

기업의 데이터보안으로 범위가 확장되었다.

​

DRM은 파일에 암호를 걸어 허가된 사용자에게만 열람을 허용한다.

또는 계정별로 접근권한에 차등을 두어 열람만 가능하고 편집은 불가능하도록 설정할 수도 있다.

DRM은 해커가 파일을 탈취해도 복호화할 수 없기 때문에 원천적으로 안전하다고 어필해왔다.

하지만 DRM 솔루션이 구축되지 않은 협력업체, 파트너사, 외주업체, 정부기관에

파일을 전달해야 하는 경우 등 복호화가 반드시 필요한 경우가 발생한다.

업무관련 사유로 인한 DRM 암호화 해제는 대기업에서 한달에 수천 건씩 발생한다.

​

문제는 여기서 발생한다.

암호화 해제 이후부터는 추적이 되지 않는다.

USB 복사, 출력, 인터넷 전송시 통제도 되지 않고 감사증거도 남지 않는다.

DRM 암호화 상태에서도 만약 편집권한이 있는 사용자가 문서의 일부분을

클립보드로 복사한 후에 메일 또는 메신저에 붙여 발송할 경우에도 막을 수 없다.

​

이러한 결정적 약점을 보완하기 위해서 DRM은 USB통제, 출력물 통제 등

DLP 기본기능을 추가해서 보완하고 있다.

“요즈음은 DLP와 DRM의 경계가 모호해졌다”라는 말이 나오는 이유이다.

DRM은 오피스과 같은 애플리케이션에서 시스템 후킹을 통해 문서 암복호화를 자동적으로 수행한다.

이때 충돌이 일어나 장애가 발생하기도 한다.

이에 따라서 애플리케이션이 신규버전을 출시할 경우 DRM도 업데이트가 필요하다.

OS(운영체제)가 업그레이드될 때도 동일하게 DRM에 대대적인 업데이트가 필요하다.

​

마지막으로 DRM은 오직 윈도우 운영체제만 지원한다. 맥OS를 지원하지 않는다.

게임회사, 포털, 벤처기업 PC의 30%는 맥OS임에도 불구하고 말이다.

 

 

엔터프라이즈 DLP

 

DLP는 Data Loss Prevention의 약자로 정보유출방지 솔루션이다.

핵심기능은 검출(Discover)과 차단(Prevent), 기록(Audit)으로 설명할 수 있다.

<검출(Discover)>기능에서는 데이터가 개인정보인지, 기밀정보인지 파악하는 역할을 한다.

주민등록번호, 카드번호, 핸드폰 번호 등 정보패턴에 따라 사전에 파일을 분류한 후

삭제, 암호화하여 PC, 서버, DBMS 내 저장된 불필요한 개인정보를 정리해준다.

DRM과 동일하게 기밀정보가 포함된 파일을 암/복호화 한다.

 

<차단(Prevent)>은 정책 이상의 기밀정보가 외부로 반출될 경우 나가기 전에 차단하는 행위를 뜻한다.

DLP는 DRM와 다르게 문서작성, 열람시에는 통제하지 않으며 오직 외부로 반출될 때만 통제한다.

정보유출은 대표적으로 USB나 외장하드를 통한 파일복사, 출력, 인터넷 파일전송을 통해 발생하기 때문에,

정책이상의 기밀/개인정보가 포함된 파일을 외부로 반출해야 할 경우에는 결재승인 후 반출할 수 있다.

또는 결재승인은 생략하되 반출기록을 모두 기록하는 방식으로 운영되기도 한다.

임직원 스스로 보안수칙을 지킬 수 있도록 유도한다.

무엇이 외부로 반출되었는지 기록하는 것만으로도 유출시도자는 위축되어

정보유출 확률을 효과적으로 낮출 수 있다.

​

 

사실, 앞서 언급한 결재승인 절차는 업무효율성을 중시하는 일반 기업에서는 선호하지 않는 방식이다.

되려 통제로 인하여 내부 불만이 쌓일 수도 있으며, 내부 직원들이 우회경로를 찾는데 촉매제가 될 수 있다.

<기록(Audit)>은 내부임직원의 업무 효율성을 배려한 기능이다.

 

 

​

 

세가지 솔루션은 모두 정보유출차단을 목적으로 개발됐다.

문서중앙화/VDI는 PC에 문서를 저장하지 않는 것이 집중했다.

DRM은 문서의 암호화/복호화에 집중했다.

DLP는 기밀정보와 개인정보가 반출되는 채널 통제에 집중했다.

 

 

 

정보보안 기업들은 단점을 극복하기 위해 에이전트 내 추가기능을 개발, 탑재하며 완성도를 높였다.

다른 솔루션이 가진 강점을 자사 제품에 적용하기도 했다.

이제 DLP, DRM, 문서중앙화 솔루션은 각 기술의 이름으로 불리기 보다는 기능을 통합해가며

‘데이터보호 솔루션’으로 정체성을 굳혀가고 있다.

 

​
혹시 다 읽고나서 DLP와 EDR 솔루션에 관심이 생겼다면,
아래 링크를 클릭하면 된다

 

Privacy-i EDR: https://www.somansa.com/solution/control/pc-endpoint-dlp-privacy-i-edr/
Privacy-i : https://www.somansa.com/solution/control/pc-endpoint-dlp-privacy-i/