본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

[이스트시큐리티 SecureCloud 개발팀 이동규 팀장]


최근 DRM과 DLP에 이어 문서 보안의 새로운 트렌드로 문서중앙화 솔루션이 각광받고 있다. 사실 꽤 오래전부터 비슷한 제품들이 시장에 출시되었으나, DRM과 DLP 만큼의 뚜렷한 시장 확장성을 보이지 못했다. 기업에게 문서중앙화라는 새로운 방식에 대한 이해도나 제품들에 대한 신뢰가 부족했기 때문이다.


이러한 제품들이 최근들어 주목받는 이유는 무엇일까? 고객들은 DRM을 구축한 후 겪었던 제품간의 충돌이나 업데이트 문제, 다변화되는 작업 환경에서 빠른 대응이 어려운 DLP 등 기존 보안 방식에 대해 불만이 쌓이고 있었다. 이렇듯 새로운 방식이 필요한 상황과 고객의 니즈를 문서중앙화 솔루션이 해소할 수 있음이 입증되면서 문서 보안 시장에서 점차 변화의 바람이 일어나기 시작했다.


문서 보안 시장의 새로운 바람, 문서중앙화 솔루션
먼저 문서중앙화 솔루션이란 정확하게 무엇인지 짚어보자. 문서중앙화란, 로컬에 존재하는 ‘문서’ 파일들을 모두 ‘중앙’ 서버로 이관하여, 서버에서 모든 문서에 대한 보안과 관리를 통합적으로 할 수 있게 하는 기술 단어이다. 이러한 논리 구조를 가능하게 하는 전문 기술을 갖춘 솔루션이 바로 문서중앙화 솔루션인 것이다.


사실 기업 내 대부분의 지식 자료에 해당하는 ‘문서’라는 단어를 사용했지만 ‘기업의 모든 파일을 중앙화’하는 기업 통합 문서보안 솔루션이라고 할 수 있다.


그렇다면 문서중앙화 솔루션으로 정의되기 위해 필수로 충족되어야 할 기술 요건들은 무엇이 있을까? 이제부터 사용자가 문서 파일을 안정적이고, 안전하게 사용하기 위해 문서중앙화 솔루션이 갖춰야 할 기술들에 대해 확인해보자.


1. 유저모드 필터링과 커널모드 필터링 방식에 대한 이해
문서중앙화 솔루션의 핵심은 사용자 PC에 파일 저장을 금지하여 문서의 유출을 원천 차단하는 기술이다. 중요한 문서를 안전하게 보호하려면 사용자 PC의 파일을 중앙 서버로 이관시킴과 동시에 파일을 로컬에 저장할 수 없게 만들어야 한다.

사용자 PC에 파일의 저장을 차단하는 기술은 유저모드 필터링(후킹) 방식과 커널모드 필터링 방식으로 나눌 수 있다. 이 두 가지 방식의 장단점을 비교해보면 [표-1]과 같다.



       ▲    [표-1] 유저모드 필터링과 커널모드 필터링의 장단점



결론적으로, 보안 측면에서 상대적으로 강력한 것은 ‘커널모드 필터링 방식’이다. 그러나 많은 개발사들이 아직까지 유저모드 필터링 방식을 선택하는 이유는 뭘까? 바로 커널모드 드라이브 개발자의 부재(높은 인건비), 개발 리소스의 부담(출시 일정), 운영체제 오류(블루스크린) 발생(노하우 부족) 등을 이유로 비교적 구현 난이도가 낮고 빠른 접근과 개발이 가능한 유저모드를 선택하고 있다.


따라서, 제품의 완성도를 높이기 위해서는 커널모드 필터링 시스템을 적극 고려해야 한다. 이를 통해 높은 보안성을 유지하고, 안정적이며 효율적인 File I/O 컨트롤을 보장할 수 있을 것이다.


       ▲    [그림-1] 시큐어디스크 커널모드 필터링 동작 방식



커널모드 필터링 방식을 이용하여 로컬 저장을 차단하는 제품 사례로는 시큐어디스크를 들 수 있다. 이스트시큐리티의 시큐어디스크는 알약 등으로 다져진 노하우와 다양한 개발 경험을 통해 매우 안정적인 필터링 기술을 제공하고 있다.


2. 네트워크 파일시스템 드라이버 기술
둘째, 서버로 강제 이관된 자료들에 대해 사용자 PC에 존재했던 환경과 동일한 작업 환경을 제공하려면 고도의 네트워크 파일 시스템 기술이 필요하다. 문서중앙화 정책은 강제로 이관된 파일들이 중앙 서버에만 존재해야 하며, 특별한 경우를 제외하고는 사용자 PC로 자료를 내려 받을 수 없는 것이 기본이다. 사용자들은 이러한 정책 아래, 사용자 PC로 자료를 내려 받지 못하는 환경에서 작업을 지속적으로 수행할 수 있어야 한다. 이것이 기술적으로 어떻게 가능할 수 있을까?


OS에서 우리가 파일을 생성, 삭제, 실행하며 파일 간의 구조적인 관계를 갖출 수 있는 것은 바로 파일 시스템이 가교 역할을 하기 때문이다. 사용자 혹은 시스템에 의해 발생되는 IRP(I/O Request Packet)의 요청을 처리할 수 있는 네트워크 파일 시스템과 이를 뒷받침할 수 있는 네트워크 파일 서버가 존재한다면, 이관된 자료에 대해서도 사용자 PC에 존재하는 것과 동일한 UX를 제공해 줄 수 있게 된다.


       ▲    [그림-2] 시큐어디스크의 네트워크 파일시스템 드라이버 구조



여기서 ‘네트워크 파일 시스템 드라이버’가 이를 해결할 수 있다. 문서중앙화 제품에 시스템 IRP의 처리가 가능한 네트워크 파일 시스템 기술이 포함되면 여러가지 프로그램에서 발생되는 API 요청들을 처리할 수 있게 된다. 이는 프로그램의 충돌 없이 사용자 PC에서 사용하던 환경과 동일하게 작업을 할 수 있음을 의미한다. 이스트시큐리티는 오랜 기간 축적된 커널 개발 기술과 서버 개발 기술을 바탕으로, 네트워크 파일시스템을 개발해냈다. 문서중앙화 솔루션 시큐어디스크는 해당 기술을 적용하여 서버로 이관된 파일도 로컬에 존재하는 파일과 동일하게 사용할 수 있도록 원활한 문서 작업 환경을 제공하고 있다.


3. 작업 중인 파일을 안전하게 보호하기 위한 보안 파일 시스템 기술
셋째로, 오프라인이 되었을 때 작업 중인 파일을 유지하기 위해서는 보안 파일 시스템 기술이 필요하다. 서버로 모든 파일이 이관되었다는 것은 네트워크 환경에서 작업이 이어져 나가고 있음을 의미한다. 그렇지만 네트워크 환경이 항상 완벽하게 연결된 상태를 유지할 수는 없다. 물리적으로 네트워크 연결이 끊어질 수 있기 때문이다. 특히, 불안정한 네트워크 환경으로 인해 사용자 PC에서 작업중이던 파일에 문제가 발생하면 경우에 따라 치명적일 수 있다. 이 경우, 사용자 PC에 데이터를 임시로 저장할 수 밖에 없는데, 그 저장 영역이 어디인지는 중요한 이슈가 된다.


이 저장 영역은 기본적으로 암호화되어야 하며, 제품에 의해 컨트롤 될 수 있는 데이터 영역이어야 한다. 또한 사용자가 온라인 상태일 경우, 파일이 즉시 서버로 이관되어야 하고 임시로 저장된 자료들은 완전 삭제가 되어야 하는 부분도 절대 간과해서는 안될 것이다. 이 영역 또한 유저레벨이 아닌 커널레벨에서 관리할 수 있다면 더욱 안전해진다. 시큐어디스크는 보안 디스크 드라이버를 통해 해당 영역을 관리한다.


이 모두를 정리하면, 문서중앙화 솔루션은 첫째, 파일의 로컬 저장을 안정적으로 차단할 수 있어야 하고, 둘째, 서버로 이관된 파일을 사용함에 있어 로컬과 동일한 사용자 환경을 제공해 줄 수 있어야 한다. 마지막으로 네트워크에 이상이 발생하더라도 작업하던 파일의 유실을 막을 수 있어야, 좋은 문서중앙화 제품이 되기 위한 필수적인 기술을 갖췄다고 할 수 있을 것이다.


조직은 구성원이 생산해내는 중요한 문서 파일을 안전하게 보호하면서도, 원활한 작업 환경이 유지되길 원한다. 이러한 측면에서 문서중앙화 솔루션은 기존 문서 보안 제품들의 한계점을 보완하는 매력적인 대안이 될 수 있다. 끝으로 차세대 문서 보안 시장에서 문서중앙화 솔루션을 뒷받침하는 수준 높은 기술들이 더욱 발전하기를 기대해본다.