IRM 정의

DRM과 IRM의 차이점

DRM은 저작권이 있는 디지털 자산에 대해 합의된 서비스 약관을 벗어나는 액세스, 편집 또는 수정을 제한하는 데 사용되는 일련의 액세스 제어 기술을 나타냅니다. DRM의 주요 목표는 지식재산권 소유자에게 적절한 보상 없이 지식 재산을 복사 및 배포하지 못하도록 보호하는 것입니다.

가장 일반적으로 DRM은 비디오 게임, 소프트웨어, 오디오 CD, HD DVD, 블루레이 디스크, 전자책을 비롯한 대량 생산 미디어에 적용됩니다. DRM은 암호화, 스크램블링, 디지털 워터마크, CD 키 등의 형태로 제공될 수 있습니다.

미국 저작권법을 개정한 Digital Millennium Copyright Act에서는 DRM 기술을 우회하기 위한 기술을 사용하는 것을 범죄로 규정했습니다. 당연히 DRM은 논란의 여지가 있는 기술이며 일부에서는 반경쟁적이라고 부르기도 합니다. 사용자가 구매한 항목의 정상적인 사용을 제한하는 DRM을 비판하는 사람들도 있습니다.

앞서 언급한 대로 정보 권한 관리는 Microsoft Office 문서, PDF, 이메일 등과 같이 개인이 만든 문서에 DRM을 적용하는 것입니다. 일반적으로 저작권이 있는 자료를 보호하기 위한 DRM과 달리 IRM은 문서에 포함될 수 있는 매우 중요한 정보에 대한 보안을 보호하기 위해 사용되는 경우가 더 많습니다.

예를 들어 병원에서는 HIPAA-HITECH의 컴플라이언스를 유지하고 환자 기록이 권한 없는 사용자에게 넘어간 경우 이 정보에 대한 액세스를 차단하기 위해 환자 기록에 IRM을 적용할 수 있습니다. 또 다른 예로는 조직에서 중요한 정보가 미디어나 경쟁업체에 유출되지 않도록 보호하기 위해 임원 커뮤니케이션에 IRM을 적용하는 경우를 들 수 있습니다.

HIPAA에서는 비즈니스 제휴사를 포함하여 관련 기관에서 보호되는 건강 정보(PHI)에 대한 기술적, 물리적, 관리적 보호 장치를 마련하도록 요구합니다. 이러한 보호 장치는 개인 정보뿐만 아니라 데이터의 무결성과 접근성도 보호하기 위한 것입니다.

보건 복지부 민권사무국(OCR)은 비범죄적인 HIPAA 위반을 단속합니다. HIPAA를 준수하지 않으면 '동일 조항' 위반당 연간 100~50,000달러의 벌금이 부과될 수 있습니다.

OCR HIPAA 화해에서 1백만 달러가 넘는 벌금이 부과된 경우도 많이 있습니다. 2016년 9월 기준 최대 화해 금액은 Advocate Health Care에 부과된 550만 달러이며, 총 400만 명의 개인이 영향을 받은 여러 차례의 위반으로 인해 발생했습니다.

개인 및 조직은 고의적이거나, 허위로 가장하거나, 상업적 이득이나 악의적인 목적으로 사용할 의도로 PHI를 획득하거나 공개할 경우 민사 처벌 외에도 형사상의 책임을 질 수 있습니다. HIPAA에 따른 형사 범죄는 미국 법무부의 관할권에 속하며 벌금 이외에 최대 10년의 징역형에 처해질 수 있습니다.

정보 권한 관리의 기능

IRM에서는 일반적으로 액세스 정책을 적용하기 위해 파일을 암호화합니다. 암호화된 경우 추가 IRM 규칙을 문서에 적용하여 특정 활동을 허용/거부할 수 있습니다. 즉, 문서를 보기만 할 수 있고 사용자가 문서 내에서 콘텐츠를 복사하여 붙여넣을 수 없는 경우도 있고, IRM 규칙에서 사용자가 문서의 스크린샷을 캡처하거나 문서를 인쇄 또는 편집하지 못하도록 차단하는 경우도 있습니다.

조직에서는 데이터 보안, 컴플라이언스 및 거버넌스 요구 사항에 따라 엔터프라이즈 수준, 부서 수준, 그룹 수준 또는 사용자 수준에서 사용자 지정 IRM 규칙을 만들고 적용할 수 있습니다.

자주 언급되는 IRM의 이점 중 하나는 파일이 타사와 공유되는 경우에도 이러한 보호가 유지된다는 것입니다. 사용자가 회사 네트워크 외부에 있는 경우에도 IRM 규칙에 따라 문서가 계속 보호됩니다. 즉, IRM으로 봉인된 문서는 액세스 위치에 상관없이 계속해서 보호됩니다.

정보 권한 관리의 제한 사항

IRM 솔루션에 대한 불만 사항 중 하나는 IRM 보호가 적용된 파일을 열려면 컴퓨터에 특수 IRM 소프트웨어를 설치해야 한다는 것입니다. 이로 인해 많은 기업에서는 콘텐츠를 기반으로 보호가 필요한 파일로만 IRM 보호를 제한하려고 합니다.

IRM이 문서 공유 시 발생하는 많은 보안 문제를 해결할 수 있다는 사실에도 불구하고 IRM의 이점을 상쇄할 수 있는 간단한 해결 방법이 여전히 있습니다. 간단한 핸드헬드 카메라(또는 스마트폰)로 IRM 보호가 적용된 파일의 이미지를 캡처할 수 있습니다. 또한 대부분의 Apple 컴퓨터는 화면 캡처를 사용하도록 설정하는 Command-Shift-4 콤보를 간단히 클릭하여 IRM 이점을 무효화할 수 있습니다. 화면 캡처 기능을 제공하는 타사 소프트웨어에서도 마찬가지입니다.

Office 365에서 정보 권한 관리를 지원하는 방법

Microsoft AD 권한 관리는 온프레미스 이메일 및 파일 서버의 데이터에 대해 널리 사용되는 IRM 솔루션이며 Office 365는 현재 가장 많이 사용되는 엔터프라이즈 클라우드 서비스입니다. Office 365에는 Microsoft Azure 기반의 여러 제품에 대한 IRM 기능이 있습니다. 데이터 보안을 위한 온프레미스 솔루션으로 수년간 사용되고 있는 Active Directory 권한 관리와 달리 Microsoft Azure 권한 관리는 Microsoft의 클라우드용 IRM 솔루션입니다.

Active Directory를 Azure 권한 관리 서버와 동기화한 조직은 IRM 정책 템플릿을 Office 365에서 사용자의 데스크톱 버전 Microsoft Office 앱으로 전송할 수도 있습니다. 대략적으로 Office 365에서 IRM 보호를 문서에 적용하는 방법에는 세 가지가 있습니다.

Office 365 관리자는 SharePoint 사이트 소유자가 IRM 규칙을 만들어 다른 라이브러리 또는 목록에 적용할 수 있도록 하는 특정 권한 관리 기능을 활성화할 수 있습니다. 해당 라이브러리에 파일을 업로드하는 사용자는 문서가 IRM 규칙에 따라 보호된 상태로 유지된다는 것을 확신할 수 있습니다.

세분화된 제어를 원하는 조직은 Advanced Rights Management Services를 사용하여 Microsoft Azure를 구성할 수 있습니다. 이 기능을 통해 관리자는 개별 사용자와 사용자 그룹에 대한 정책 템플릿을 만들 수 있습니다. 이 기능을 활성화할 때의 장점 중 하나는 사용자 또는 사용자 그룹의 데스크톱 Office 애플리케이션에 정책을 푸시할 수 있다는 것입니다.

처음 두 가지 접근 방식은 사이트, 사용자 및 그룹을 기반으로 하므로 IRM 보호가 필요하지 않은 파일에 IRM 보호가 적용될 수 있습니다. 클라우드 액세스 보안 브로커(CASB)는 Office 365 및 IRM 제품과 통합하여 콘텐츠 또는 컨텍스트를 기반으로 파일에 대한 애플리케이션 IRM 보호를 중개할 수 있습니다. 예를 들어 CASB는 Office 365에서 관리되지 않는 장치로 다운로드되는 중요한 데이터가 있는 파일에 IRM 보호를 적용할 수 있습니다.

관리자와 사이트 소유자는 설정을 적용하여 문서를 읽기 전용으로 지정하거나, 텍스트 복사를 사용하지 않도록 설정하고, 로컬 복사본을 저장 기능을 제한하거나, 파일 인쇄를 허용하지 않도록 설정하여 작업을 제한할 수 있습니다. 지원되는 파일 형식에는 각 파일에 대한 PDF, MS Word, PowerPoint, Excel, XML 형식과 XPS 형식이 포함됩니다.

Exchange Online에서 IRM이 작동하는 방식

Exchange Online IRM에 대해, Microsoft는 이메일 메시지를 보호하기 위해 AD RMS(Active Directory Rights Management Services)를 만들었습니다. 여기서 권한을 이메일에 직접 추가하여 온라인, 오프라인 및 네트워크 안팎에서 메시지를 보호할 수 있습니다.

이메일 발신자는 수신자의 메시지 저장, 전달, 인쇄 또는 정보 추출 기능을 제한할 수 있습니다.