문서암호화의 한계, 그리고 매체제어 솔루션의 한계, 자료이동의 한계.
보안에는 언제나 구멍이 존재한다.
파일 편집권한은 전사 임/직원에게 부여되어있다.
암호화해제 는 생각보다 많이 발생한다.
별로 없을 것 같지만 암호화해제는 너무 많이 발생해서 실질적으로는 사후승인으로 운영하고 있다.
그렇게 하지 않으면 운영 자체를 할 수가 없다.
왜그렇게 암호화해제가 많을까.
외부로 보내야할 문서가 많다.
특히, 대기업이나 공기업의 경우는 외주나 하도급 사업이 많기 때문에 외부로 문서를 보내야할 일이 많은것이다.
본인이 작성한 파일은 기본적으로 본인에게 암호화해제 권한이 있다고 해도 무방하다. 사후승인이란게 그런거다.
자료유출방지 솔루션이란게 거의 사후약방 같은 존재이다.
암호화해제 이력이나 로그를 통해 추적할 있도록 기초자료 제공 정도의 역할을 한다.
물론, 아예 애시당초 차단정책을 쓴다면 얘기는 달라지겟지만.
일을 하려면 차단정책을 쓰기엔 무리다.
이것이 딜레마다.
현실과 이상의 딜레마.
위 두가지 조건에 의해
남이 작성한 문서가 얼마나 쉽게 외부로 유출 될 수 있는지 설명해보겠다.
먼저 홍길동이 어떤 문서를 작성했고, 이 문서는 홍길동 소유자/권한자로 암호화되어있다.
꽃분이는 이 문서를 읽기, 편집은 할 수 있으나 암호화해제는 할수 없다.
이때 꽃분이가 새로운 한글문서를 하나 생성한다. 그리고 저장한다. 새문서는 꽃분이의 권한으로 생성되었기 때문에 암호화해제도 꽃분이가 할 수 있다.
자, 꽃분이는 홍길동의 문서를 복사해서 새문서에 붙여넣기 한다.
텍스트가 그대로 새문서에 옮겨진 것이다.
그리고 이 새문서를 암호화해제한다.
꽃분이는 이 문서를 외부에 반출한다.
외부에 반출 또한 직책자의 승인을 거치지만, 직책자들이 어떤 내용인지 자세히 보지 않는 경우가 많다.
또한 매체제어의 사용으로 외부로 유출 가능하다.
위의 시나리오는 얼마든지 일어날 수 있다.