MS 이메일 유출 사건, DRM 띄우려 일부러?

오래 전에 보낸 이메일 하나로 MS는 중요한 소송에서 톡톡히 창피를 당한 바 있다. 리눅스의 공적인 SCO도 내부 메모가 유출됨으로써 MS와 모종의 교감이 있었다는 주장에 변명해야 했다.이뿐만이 아니다. 리얼네트웍스의 CEO 랍 글레이저도 이메일이 공개돼 인기가 급상승중인 애플 컴퓨터의 아이포드 사업을 흔들기 위해 술수를 썼다는 비밀이 드러난 바 있다.이런 여러 뉴스들의 제목만 봐도 소프트웨어 업체들이 왜 합법적인 수신자만 업무 문서에 접근할 수 있도록 하는 ‘잠금장치’ 시장이 인기를 끌 것으로 생각하는지 쉽게 알 수 있다.MS, 어도비 시스템과 같은 유명 소프트웨어 업체들이 최근 시장 진출을 선언하긴 했지만 아직도 이 분야는 매우 작은 축에 속한다. 애널리스트들은 이른바 잠금장치 시장이 적어도 몇 년간은 완만한 속도로 성장할 것이라고 보고 있다. 아직도 많은 기업들은 기술이 좀더 성숙하지고 IT 예산도 늘어나 사정이 좋아지기를 기다리고 있는 상태다.아직 기술이 미성숙한 단계라는 사실은 업체간에 이름에 대해 의견을 일치시키지 못했다는 것만 봐도 쉽게 알 수 있다. 소프트웨어 제조업체들은 이 기술들을 ‘기업 재산권 관리’, ‘문서 재산권 관리’, 혹은 ‘정보 재산권 관리’ 등으로 부르고 있다.게다가 어떤 업체들은 ‘디지털 재산권 관리(DRM)’라는 포괄적인 용어로 부르고도 있다. 사실 디지털 재산권이란 영화, 음악과 같은 컨텐트의 무단 복제를 막는 기술과 관련된 용어다.AMR 리서치의 수석 부사장 스캇 런스트럼은 “아직까지 이 기술은 너무나 미성숙한 상태이며 사실 별 효과도 없다. 기업 DRM 시스템에서 1주일 내내 보안 기능이 안전하게 유지되게 설치된 경우를 지금까지 본 적이 없다”라고 통렬하게 비판했다.런스트럼은 현 기술 수준을 방충망 덧문에 달려있는 걸쇠에 비유했다. 그는 “이웃들은 함부로 들어오지 못하겠지만 도둑을 막진 못한다. 애당초 정직한 사람들에게만 통하는 기술”이라고 말했다.아직은 걸음마 단계인 DRM이름이야 어찌됐든 이 모든 기업용 DRM 제품들은 비슷한 목적에서 나왔다. 요즘은 이메일을 통해 문서가 유통되는 것을 막을 수 없다. 또한 언제 어디서나 인터넷을 손쉽게 사용할 수 있다. 따라서 기업 문서에 대한 접근을 제한하는 서버 기반 소프트웨어를 사용해야 하는 상황인 것이다.MS와 어도비, 그리고 오센티카(Authentica)와 같은 전문 업체에서 만든 기업용 DRM 제품들은 모두 문서, 이메일 등 업무 관련 컨텐트를 읽을 수 있는 권한을 분별하는 승인 정보를 만들고 저장하는데 중앙 서버를 사용하고 있다.이 승인 정보에는 누가 어떤 컨텐트를 열 수 있는지, 그리고 그 컨텐트에 대해 어떤 작업(복사, 붙이기, 편집, 보내기, 인쇄 등)을 할 수 있는지 상세히 기술돼 있다. 또한 어떨 때는 만료 기간이 있을 수도 있고 업데이트된 버전이 나오기 이전까지로 제한하는 경우도 있다.이처럼 제한을 두는 것은 회사 기밀이 새나간다든지, 모든 사람들이 몸값만큼 제대로 일하는지 확실하게 해두지 않아 생기는 법적 문제 등 골치아픈 사건을 해결하기 위해서다.MS의 윈도우 보안 제품 관리를 책임지고 있는 셀레나 윌슨은 사업을 하는 사람들에게 기업용 DRM의 중요성을 알리는 것은 전혀 어려운 일이 아니라고 전했다. MS는 지난해 재산권 관리 서비스(RMS)를 가지고 이 시장에 진출했다.RMS는 윈도우 서버 2003에 애드온 형태로 들어가며 다양한 기업 데이터에 적용할 수 있는 여러 제한 기능을 갖고 있다. MS의 업무용 프로그램 패키지 최신 버전인 오피스 2003에서도 일반 문서에 RMS 기능을 사용할 수 있다.윌슨은 “사업 결정권을 갖고 있는 임원들에게 RMS를 보여주면 그들은 당장 구입한다”라고 말했다.오센티가의 고객 중에는 케이스센트럴이라는 회사가 있다. 이 회사는 인터넷을 통해 복잡한 법적 문제들에 관한 정보를 보관해주는 서비스를 제공하고 있다. 케이스센트럴은 오센티카의 기술로 일명 ‘데이터 보관소’를 온라인으로 구축했다. 데이터 보관소는 기업간 인수합병 협상이 진행되는 기간 동안 재정 보고서 등 예민한 종류의 문서를 따로 보관해 접근을 제한하는 것을 말한다.케이스센트럴의 CEO 크리스토퍼 크루즈는 오센티카의 DRM을 사용하면 여러 중요한 문서 파일에 접근 제한 기능을 내장시킬 수 있어 허가를 받은 사람들만 접속할 수 있다고 말했다.따라서 기업 소속 법률가들이 멀리 문서실로 가야할 필요도 없고 정보가 테이블의 맞은 편이나 원치 않는 사람들에게 유출될까봐 걱정할 필요도 없어진다는 설명이다. 그러나 크루즈는 이것이 DRM 시스템이 매우 견고한 경우에만 해당된다고 말했다.크루즈는 “사업에 있어 우리가 보호할 수 없는 정도의 기밀문서는 별로 없다. 우리는 사람들이 문서를 복사하거나 스크린샷하는 것을 막는다. 그리고 누가 경매를 그만두면 그 순간부터 문서에 대한 접속을 차단한다”라고 말했다.그러나 케이스센트럴같은 회사들은 아직도 소수에 지나지 않는다. 물론 이미 특수한 문서 보안방식을 개발한 은행과 같이 겹겹으로 제한을 두고 있는 분야 이외에는 아직 기업 DRM에 큰 관심을 두고 있는 산업군은 그리 많지 않다.DRM 적용 이전에 문서 종류부터 정리해라여기에는 DRM 시장이 아직은 미성숙하다는 이유도 있다. MS 제품은 등장한지 이제 겨우 4개월 됐으며 어도비에서는 올 연말에야 정책 서버를 소개할 수 있을 것이다. 이외에는 리퀴드 머신즈를 필두로 실드 미디어와 오센티카 정도를 꼽을 수 있다.시장분석업체 IDC의 애널리스트 자슈아 듈은 문서 보안을 고려하고 있는 기업들조차도 개인의 HDD에 저장된 엄청난 규모의 컨텐트들을 기업용 DRM으로 이전하는 종합적인 접근 방식 개발이 매우 어렵다는 것을 인정하고 있다고 전했다.듈은 “많은 사람들이 컨텐트 문제가 있다는 것을 인정하려 하지 않는다. 인정한다 해도 어떤 것에 보안을 적용해야 하는지조차도 모른다. 사실 어떤 것에 보안을 적용하고 어떤 것에는 그만둘지 골라내는 선별 작업 자체도 매우 어려운 일일 것이다”라고 말했다.기업용 DRM 시스템이 보호할 수 있는 컨텐트가 어떤 것일지 아직 불명확하기 때문에 기업들은 한 소프트웨어 업체에 모든 걸 맡기기를 주저하고 있다. 여기에 MS가 이 분야에 진출함으로써 혹시 다른 경쟁업체의 업무용 프로그램이나 애플리케이션과 호환되지 않는 독자적인 보안 문서 형식을 사용하지 않을까하는 우려를 낳고 있다.가트너의 애널리스트 레이 와그너는 “단지 RMS 때문에 애플리케이션을 업그레이드해야 하는게 아닌지, 그리고 파일 형식에 잠금장치를 해 써드파티 업체가 문서를 열거나 보는 것조차 못하게 되는 것이 아닌지 하는 우려의 목소리가 나오고 있다”라고 말했다.이런 우려 때문에 많은 기업들은 기업용 DRM 분야에서 좀더 표준에 기반한 접근 방식이 등장하기를 기다리고 있다. 런스트럼은 암호화를 비롯한 다른 보안 컴포넌트에 대해 공개 표준이 성립되기 전까지는 확산이 불가능할 것이라고 주장했다.런스트럼은 “어쩌면 DRM은 처음으로 오픈소스가 주도할 수 있는 분야인지도 모른다. 고객들은 개방적이며 표준에 기반한 탁월한 암호화 제품이 등장한다면 매우 좋아할 것이다. 보안이나 암호화 작업을 연구하다 보면 이 분야에서 연구하고 있는 사람들이 완전히 오픈소스와 동료 평가제에 초점을 맞추고 있다는 것을 알 수 있다”라고 전했다.IDC의 듈은 기업용 DRM에 있어 독자적인 접근 방식도 괜찮다는 기업들조차도 현재 제품을 출시한 업체들이 제공하는 여러 방식을 이해하기 쉽지 않을 것“이라고 지적했다. 그는 ”어떤 업체라도 모두 한계를 갖고 있다. 기업의 규모나 경쟁력, 혹은 단지 MS라는 이유만으로도 고려해 봐야 할 문제점들은 매우 많다“라고 말했다.오픈소스 DRM, 분명히 뜬다이 단계를 거치고 나면 고객들은 기능이 자사 업무에 적합한지 평가해봐야 한다. 듈은 “마치 말을 고르는 것과 같다. 마차나 끌게 하려면 당나귀로도 족하겠지만 경마에 출전하려는 사람이라면 순종을 골라야하는 것과 같다”라고 말했다.또한 기업용 DRM 제품들이 다른 애플리케이션과 연결되는 방식 또한 고려해야할 매우 중요한 문제다.MS의 윌슨은 RMS가 일종의 플랫폼 제품으로 윈도우 서버 운영체제와 연결되고 메모부터 시작해 백엔드 데이터베이스에 저장된 정보에 이르기까지 모든 데이터에 보안을 제공하는 형태로 나아갈 것이라고 전했다. 그는 “우리 기술은 컨텐트나 포맷에 상관없이 보편적으로 사용할 수 있다. 고객들은 문서나 업무용 애플리케이션이나 상관없이 모두 동일한 템플릿을 적용할 수 있다”라고 말했다.그러나 현재 RMS는 오피스 2003에서 작성되는 문서에만 한정돼 있다. 바로 이 점 때문에 MS의 주요 고객들은 다른 애플리케이션까지도 최신 버전으로 업데이트 해야만 했다.어도비의 정책 서버도 역시 PDF 형식의 문서에서만 사용할 수 있다. 어도비 경영진들은 정책 서버가 매우 인기있는 PDF 형식의 여러 장점을 이용한다고 전했다. PDF 형식의 장점으로는 문서의 품질이 높다는 점, 그리고 여러 운영체제와 호환이 된다는 점 등이 있다.어도비의 보안 솔루션과 전략 부서를 총괄하고 있는 잔 랜드웨어는 “우리가 만나본 고객들은 모두 이기종 호환을 매우 중요하게 여기고 있었다. 고객들은 서로 다른 환경에도 통합이 잘 돼 있는 시스템을 원했다”라고 말했다.그러나 가트너의 와그너는 문서 발송에 PDF 형식이나 어도비의 아크로밧 소프트웨어를 사용하지 않는 기업들이라면 정책 서버는 초기 사용자들에게 있어 그다지 좋은 제품이 아니라고 설명했다.와그너는 “전 시스템을 PDF 방식으로 바꾸는 데 있어 다른 매우 좋은 툴이 있다”라고 전했다. 그는 “DRM을 사용하는 데에도 어느 정도 문제점들이 있다. 사람들은 단지 보안 솔루션 때문에 일하는 방식을 송두리째 바꾸는 것을 그다지 좋아하지 않는다... 가능하다면 사용자들에게 크게 성가신 문제를 만들지 않아야 한다”라고 강조했다.MS, 어도비 같은 대기업 이외에도 기업용 DRM 제품을 개발한 전문업체들이 몇몇 있다. 이 업체들의 제품은 다른 소프트웨어와 마찬가지로 이메일 메시지부터 오토CAD로 작성된 건축 설계도에 이르기까지 보편적으로 사용되는 문서 형식에 적용할 수 있다.다른 점은 사용자들이 인터넷에 접속할 수 없을 때 어떻게 하느냐는 것이다. MS의 RMS는 암호화된 문서를 사용하려면 적어도 재산권 서버에 로그인은 해야 한다. 그러나 리퀴드 머신즈가 내놓은 동명의 서버 소프트웨어에는 문서 작성자들에게 오프라인 옵션을 부여하고 있다.리퀴드 머신즈의 제품 전략, 마케팅 담당 부사장 에드 가우뎃은 “대다수 사람들은 보안 강화를 원하면서도 이와 동시에 무선 네트워크로 작업하는 직원들에게 어려움이 생가는 것을 원치 않는다”라고 지적했다.리퀴드 머신즈의 경쟁 제품들은 일단 문서가 작성된 PC를 떠났을 때 그 문서에 얼마나 손을 댈 수 있느냐하는 점에서 차이를 보이고 있다. 오센티카에서는 이 점에서 좀 더 자유로운데, 특히 다른 사람이 문서를 사용하는 와중에도 문서 작성자가 해당 문서에 대한 조건들을 변경할 수 있는 기능을 제공하고 있다.오센티카의 CEO 잔 브루스는 “다양한 기능을 제공하고 있다. 내 데스크톱 PC 앞에 앉아 다른 사람들이 그 문서로 뭘 하는지도 볼 수 있다. 문서 열람자의 행동이 마음에 안들면 그 자리에서 해당 권한을 변경할 수 있다”라고 설명했다.부상하고 있는 ‘정책 관리’기업용 DRM 제품에 있어 또다른 기능의 차이는 전체 문서에 기본적인 보안을 설정할 수 있도록 하는 정책 부분이다. 실드 미디어의 CEO 조지 에버하트는 기업용 DRM이 직원들의 평소 업무를 방해하지 않아야한다는 점에서 정책은 매우 중요하다고 지적했다.이와 함께 좀더 많은 기능을 원하는 직원들이 좀더 상세하게 제어할 수 있도록 하는 것도 가능해야 한다. 여기서 중요한 점은 사업의 특성에 따라 균형을 맞춰가는 방식이다.에버하트는 “기본적으로 버튼만 누르면 모든 컨텐트에 적합한 보안 설정이 부여되는, 마법과 같은 기술은 없다. 좋은 보안 과정에는 항상 사람이 들어간다”라고 지적했다. 동시에 그는 “이런 과정에 필수적인 요건은 쉬운 사용법과 완벽한 안전이다. 개개인의 자유를 너무 침해한다면 직원들은 피하게 될 것이며 너무 쉽다면 악의적인 의도를 가진 사람들은 속임수를 쓰려 할 것이다”라고 부연설명했다.에버하트를 비롯해 다른 기업용 DRM 전문가들은 모두 MS나 어도비같은 대기업들이 시장에 진출하는 것을 걱정하지 않고 있다. 오히려 특정 문서나 문서 작성 애플리케이션에 갇히기를 원치 않는 고객들에게 자기네 입장이 더 잘 먹혀들어갈 것으로 보고 있다.오센티카의 브루스는 “MS, 어도비의 진출로 우리 말이 맞다는게 확인된 셈이다. 우리는 항상 사람들에게 DRM에 대해서 말해왔으며 그들은 항상 ‘그것도 사업이 되느냐?’고 물었다”라고 털어놓았다. 그는 “이제 2개 대기업들이 우리와 함께 하고 있다. ‘이것은 중요한 것이다’라고 말하는게 아닌가? 우리가 가는 방향으로 트렌드가 가고 있다는 것은 좋은 일이다”라고 덧붙였다.실드 미디어의 마케팅 부사장인 마크 패튼도 역시 어도비와 MS의 참여가 나쁘지는 않다고 동의했다. 게다가 실드 미디어의 협력업체인 도큐멘텀과 같은 컨텐트 관리 소프트웨어 제조업체들이 지원하고 있는 것에도 만족하고 있다.그러나 아무래도 가장 도움을 주는 것은 MS를 비롯한 다른 기업들이 겪어야 했던, 그리고 지금도 계속되고 있는 황당한 사건들과 골치아픈 법적 소송들일 것이다.패튼은 “어떤 CEO가 유출된 문서로 인해 공개적으로 망신을 당했다는 것만 널리 소문내면 된다. 그러면 사람들의 관심도는 당연히 올라가기 마련이다”라고 말했다. @