기업 문서·USB 보안 프로그램

기업들이 사용하는 문서·USB 보안 프로그램은 어떤 원리로 파일을 암호화하고, USB를 통제할까요? DRM·DLP·장치 제어 등 핵심 동작 원리를 알아보겠습니다.

1. 문서·USB 보안 프로그램이 실제로 하는 일, 한 줄 요약

아주 단순하게 말하면, 기업용 문서·USB 보안 프로그램의 원리는 다음과 같습니다.

“파일이 생성·저장·전송·열람·복사·삭제되는 전체 과정에 ‘후크(hook)’를 걸어
누가·언제·어디서·어떻게 다루는지 감시하고, 정책에 따라 허용/차단/암호화하는 것”

여기서 핵심 키워드는 세 가지입니다.

1. 가로채기(Hook / Intercept) – OS가 하는 일을 중간에 한 번 더 확인
2. 정책(Policy) – 어떤 경우에 허용하고 어떤 경우에 막을지 기준
3. 암호화/권한(Encryption & Rights) – 실제 데이터를 못 보게 하거나, 제한적으로만 사용하게 하기

이제 문서와 USB를 나눠서, 이 세 가지가 어떻게 구현되는지 살펴볼게요.

---

2. 문서 보안 프로그램의 원리: “파일에 자물쇠를 다는 기술”

문서 보안(보통 DRM·문서권한관리라고 부르는 영역)의 기본은,
파일 자체를 보호하는 것입니다.
파일이 어디로 가든, 누구에게 복사되든, “권한이 없는 사람은 열어볼 수 없게” 만드는 원리죠.

---

2-1. 문서가 저장되는 순간: 자동 암호화의 원리

일반적으로 문서를 저장하면 OS가 이렇게 움직입니다.

1. 사용자가 워드/엑셀/한글에서 “저장” 클릭
2. OS(Windows 등)가 디스크에 파일 쓰기
3. 저장 완료

그런데 문서 보안 프로그램이 있으면, 이 사이에 **‘필터 드라이버(filter driver)’**가 끼어듭니다.

• OS가 파일을 디스크에 쓰기 직전,
  보안 프로그램이 **“이 파일은 보호 대상인가?”**를 먼저 확인합니다.
• 보호 대상이라면, 실제 저장할 때 내용을 암호화된 형태로 저장합니다.
• 사용자가 문서를 열 때도 반대로,
  저장된 암호화된 내용을 실시간 복호화해서 프로그램(워드, 엑셀 등)에 넘겨줍니다.

즉, 파일 자체는 항상 암호화 상태로 디스크에 저장되고,
권한이 있는 프로그램/사용자에게만 순간순간 복호화된 데이터를 보여주는 구조입니다.

---

2-2. 열람 권한은 어떻게 구분할까? (사용자·그룹·기기)

암호화만 해서는 끝이 아닙니다.
**“누구에게 열어줄지”**를 정해야 하죠.

문서 보안 프로그램은 보통 다음 요소를 기준으로 권한을 판단합니다.

• 사용자 계정 (AD 계정, 사내 SSO 계정 등)
• 그룹/부서 (영업팀, 개발팀, 경영진 등)
• 디바이스 정보 (사내 PC인지, 허용된 노트북인지)
• 접속 위치/IP (사내망, VPN, 외부망 등)
• 문서 등급/태그 (예: 기밀/대외비, 프로젝트 코드 등)

원리는 이렇습니다.

1. 문서에 **메타데이터(태그)**를 심습니다.
   • 예: Level=Confidential, Project=Alpha, Owner=UserA
2. 서버에 정책 테이블을 둡니다.
   • “기밀 문서는 개발1팀·PM만 열람 가능”
   • “대외비 문서는 외부망에서 열람 불가”
3. 사용자가 문서를 열려고 할 때
   • 클라이언트가 사용자·단말·위치 정보를 서버에 전송
   • 서버가 정책과 비교해서 “허용/차단/제한(읽기 전용 등)” 결정
4. 허용된 경우에만 복호화 키를 내려주거나, 복호화 권한을 부여

즉, 문서 속 태그 + 사용자·환경 정보 + 정책 서버
이 세 가지의 조합으로 “볼 수 있는지/어떻게 볼 수 있는지”를 결정하는 구조입니다.

---

2-3. 인쇄·캡처·복사 제한은 어떻게 막을까?

1) 인쇄 제한의 원리

• OS에서 인쇄를 할 때는,
  문서를 프린터 드라이버에 넘겨주는데,
• 문서 보안 프로그램이 프린터 드라이버 앞단에 필터를 설치해서
  “이 출력은 허용되는가?”를 확인합니다.

정책에 따라:

• 인쇄 전면 차단
• 특정 프린터만 허용
• 워터마크(사용자 이름, 시간 등)를 삽입 후 출력

같은 처리가 가능합니다.

2) 화면 캡처 방지의 원리

캡처 방지는 조금 더 복잡합니다.
대표적으로 두 가지 방식이 쓰입니다.

1. GPU/OS API 수준 후킹
   • OS가 화면 데이터를 캡처 프로그램에 넘기기 전에 가로채서
     특정 프로그램(문서 뷰어)이 화면에 떠 있을 경우
     출력 내용을 빈 화면/검은 화면으로 바꿔치기 하는 방식
2. 프로세스 차단
   • 잘 알려진 캡처 프로그램(예: 특정 도구)을
     아예 실행 금지하거나, 실행 시 문서 뷰어를 강제 종료

실무에서는 이 두 가지를 적절히 섞어 쓰면서,
캡처를 해도 의미 없는 화면만 나오게 만들거나,
캡처 프로그램 자체를 제어합니다.

3) 복사/붙여넣기 제한의 원리

문서에서 텍스트를 복사할 때는
OS의 클립보드(Clipboard) 기능이 사용됩니다.

• 문서 보안 클라이언트는 클립보드에 데이터가 올라가는 시점에
  “보호 문서에서 복사된 데이터인지”를 확인하고,
• 보호 문서라면
  • 아예 복사 자체를 막거나
  • 클립보드에 올라가지만, 그 내용을 비워버리거나
  • 동일한 문서 내부에서만 붙여넣기 허용

등의 정책을 적용합니다.

---

2-4. 문서 추적·워터마크의 원리

문서 유출 사고 후 “누가 유출했는지”를 조사할 때 필요한 게 바로 추적 기능입니다.

1) 로그 기반 추적

모든 주요 행동을 서버 로그로 남깁니다.

• 열람/편집/인쇄/복사/외부 반출 시도
• 실패/차단 이벤트
• 언제, 어느 IP/단말에서, 어떤 계정으로

이 로그를 바탕으로
“어느 시점에 누가 이상하게 많이 열어봤네?” 같은 패턴 분석이 가능합니다.

2) 눈에 보이는 워터마크

• 화면 및 인쇄물에
  사용자 ID, 이름, 부서, 시간 등을 반투명 텍스트로 덧입힙니다.
• 사람이 사진으로 찍어서 유출하더라도
  해당 사진 속 워터마크를 보고 유출자를 추정할 수 있습니다.

3) 보이지 않는(디지털) 워터마크

• 문서 파일 내부에 특정 규칙의 패턴/메타데이터를 심어두고,
  평소엔 티가 안 나지만 나중에 분석 툴로 보면
  “어느 계정/어느 시점/어느 정책으로 생성된 문서인지”를 확인할 수 있게 합니다.

원리는 디지털 이미지/문서에 쓰이는 **스테가노그래피(은닉 정보 기술)**와 유사합니다.

---

SMALL

3. USB 보안 프로그램의 원리: “포트와 장치를 감시하는 기술”

이제 두 번째 축인 USB 보안입니다.
USB 보안의 기본 원리는:

“USB 포트에 무엇이 꽂히는지 감시하고,
그 장치가 어떤 장치인지 판별한 뒤, 정책에 따라 사용을 허용/차단한다.”

여기서도 마찬가지로,

1. 가로채기 (장치 연결 이벤트 후킹)
2. 정책 (어떤 장치는 어떤 사용자에게 허용할지)
3. 로깅/제어 (허용/차단, 읽기 전용, 암호화 등)

이 세 가지가 핵심입니다.

---

3-1. USB 장치 인식과 분류의 원리

USB를 꽂으면 OS는 다음 정보를 인식합니다.

• Vendor ID (제조사 ID)
• Product ID (제품 ID)
• 시리얼 번호
• 장치 클래스 (저장장치, 프린터, 키보드, 마우스, 네트워크 어댑터 등)

USB 보안 프로그램의 클라이언트/드라이버는
이 정보를 가로채서 아래처럼 판단합니다.

• 이 장치는 **저장장치(USB 메모리/외장하드)**인가?
• 프린터, 키보드, 마우스 같은 입력/출력 장치인가?
• 이전에 등록된 **허용 장치 목록(화이트리스트)**에 있는가?

그 결과에 따라,

• 아예 마운트(인식) 자체를 막거나
• 읽기 전용으로만 허용하거나
• 정상적으로 읽기/쓰기를 허용할지 결정합니다.

---

3-2. “허용된 USB만 사용” 원리 (화이트리스트)

기업에서는 다음과 같은 요구가 많습니다.

“회사에서 지급한 보안 USB만 사용 가능하게 해주세요.
개인 USB는 모두 차단하고 싶습니다.”

이를 위해 USB 보안 프로그램은 보통:

1. 회사에서 지급한 USB 각각의
   • 시리얼 번호
   • Vendor ID / Product ID
     등을 중앙 서버에 등록
2. 클라이언트는 USB 연결 시
   • 장치 정보를 서버 정책과 비교
3. 일치하면 허용,
   아니면 차단/승인 요청 팝업 표시

이런 식으로 화이트리스트 방식으로 제어합니다.
(반대로 특정 제조사·장치를 블랙리스트로 막는 것도 가능)

---

3-3. USB 안의 데이터 암호화·격리 원리

일부 솔루션은 USB 내부의 파일까지 보호합니다.

원리는 문서 보안과 비슷하지만, 매체가 USB라는 점이 다릅니다.

• USB에 쓰여지는 파일을
  실시간으로 암호화해서 저장
• 복호화 키는
  • 사내 서버 또는
  • 사용자 인증(계정/비밀번호/인증서 등)을 통해 얻도록 설계
• 회사에서 허용한 PC/계정이 아니면,
  USB를 꽂아도 파일이 열리지 않도록 함

보통 다음과 같은 추가 기능이 붙기도 합니다.

• 새 폴더/파일은 암호화 강제,
  일반 폴더에는 저장 자체가 안 되게
• 암호화된 영역과 일반 영역을 나눠
  일반 영역은 거의 사용 못 하게 설계

결국 USB를 잃어버리더라도,
실제 데이터는 암호화된 쓰레기 덩어리처럼 보이도록 만드는 원리입니다.

---

3-4. USB 복사·반출 통제의 원리 (DLP 연계)

조금 더 고급 단계에서는 **DLP(데이터 유출 방지)**와 연동됩니다.

• USB로 복사되는 파일의 내용을
  실시간으로 검사하거나(패턴 매칭, 민감정보 탐지 등)
• 문서에 붙어있는 등급/태그(DRM 메타데이터)를 확인해
  • “기밀 문서는 USB로 못 나가게”
  • “대외비는 관리자 승인 시에만 가능하게”

같은 정책을 적용합니다.

기술적으로는,

1. 파일이 USB 드라이브로 복사되기 직전에
   드라이버/클라이언트가 파일 내용을 검사
2. 주민번호, 카드번호, 계좌번호 등
   민감 정보 패턴이 있는지 체크(정규식·패턴 DB 활용)
3. 또는 문서 내부 DRM 태그를 확인
4. 조건에 따라 허용/차단/승인 요청

이렇게 해서 단순히 ‘장치만 막는 보안’을 넘어,
‘무슨 데이터를 내보내는지’까지 통제할 수 있게 됩니다.

---

3-5. 로그와 알림의 원리

USB 보안 프로그램도 모든 활동을 로그로 남깁니다.

• 누가 어떤 USB를 언제 꽂았는지
• 그 USB에 어떤 파일을 복사했는지
• 차단·승인 요청이 얼마나 있었는지

클라이언트는 이 정보를 일정 주기나 이벤트 발생 시
중앙 관리 서버에 전송하고,
관리자는 콘솔에서 이를 조회·분석할 수 있습니다.

특정 패턴(예: 새벽 시간대 대량 복사, 특정 부서의 잦은 차단 등)이 보이면
자동 알림을 발생시키도록 설정하는 것도 가능합니다.

---

4. 문서 보안 · USB 보안 · DLP가 “연동”되는 구조

현대 기업 보안의 특징은 각 솔루션이 따로 놀지 않는다는 것입니다.
문서 보안, USB 보안, DLP가 서로 정보를 주고받으며 하나의 정책처럼 움직이는 방향으로 발전하고 있죠.

---

4-1. 공통 언어: “정책”과 “태그”

세 솔루션의 연결고리는 보통 두 가지입니다.

1. 정책(Policy) – 중앙에서 통합 관리
   • 예: “기밀 문서는 USB로 반출 불가, 메일 첨부시 승인 필요”
2. 태그/등급(Labeling) – 문서에 심어진 정보
   • 예: Classification=Confidential, Owner=DeptA

문서 보안 시스템이 문서에 태그를 심어두면,

• DLP는 메일/웹 전송 시 그 태그를 보고
  “이건 기밀이네, 차단해야지”라고 판단
• USB 보안 시스템은
  “이 파일은 기밀이니, 이 사용자/PC에게는 복사 차단”이라고 판단

이렇게 해서 각 솔루션이 같은 규칙을 공유하게 됩니다.

---

4-2. 통합 로그 & 이상행위 탐지

또 하나의 흐름은 로그 통합입니다.

• 문서 열람 → USB 복사 → 외부 메일 전송
  같은 연속된 행위를,
  각 시스템의 로그를 합쳐서 한 사람의 ‘행동 패턴’으로 재구성할 수 있습니다.

이 통합 로그를 기반으로,

• 평소와 다른 시간/위치에서의 대량 반출
• 특정 프로젝트 관련 문서를 집중적으로 접근 후, 외부로 다량 전송

같은 **이상행위(Anomaly)**를 탐지할 수 있습니다.

---

5. 실제 도입·운영 관점에서 원리를 이해하면 좋은 이유

여기까지 기술적인 원리를 꽤 많이 이야기했는데,
실무자·관리자 입장에서 이 원리를 알면 아주 실용적인 장점이 있습니다.

1. 정책 설계가 현실적이 됩니다.
   • “이 기능은 기술적으로 불가능한데 요구만 하네?” 같은 오해가 줄어듭니다.
   • 반대로 “이 정도는 기술적으로 가능하니, 정책으로 강하게 가져가도 되겠다”는 판단이 서죠.
2. 장애/이슈 대응이 빨라집니다.
   • 예: “문서가 안 열려요” →
     암호화/권한/서버 통신/클라이언트 문제를 구조적으로 추적 가능
3. 벤더(솔루션 업체)와 대화 수준이 올라갑니다.
   • 왜 이 기능이 느린지, 왜 이 예외 상황이 발생하는지,
     “원리 기반으로” 질문하고 협의할 수 있어요.
4. 직원 교육 때 설득력이 생깁니다.
   • 단순히 “막는다”가 아니라
     “이렇게 해서 이런 위험을 줄이는 기술이다”라고 설명할 수 있습니다.

---

결론: 보안 프로그램의 핵심 원리는 “OS와 데이터 흐름을 똑똑하게 가로채는 것”

기업들의 문서·USB 보안 프로그램은
마법처럼 느껴질 수 있지만, 사실 원리는 비교적 단순합니다.

• OS가 파일·장치·네트워크를 다루는 순간마다 한 번 더 확인하고,
• 그 과정에서 사용자·문서·장치에 대한 정책을 적용하며,
• 필요할 경우 암호화·차단·로그 남기기·워터마크 삽입 같은 액션을 수행하는 것.

이 구조를 이해하면,

• 어떤 솔루션이 우리 환경에 맞는지 비교할 때도
• 장애·성능 문제를 분석할 때도
• 보안 정책을 설계할 때도

훨씬 더 논리적인 기준을 세울 수 있습니다.

이제 “그냥 막는다더라”가 아니라,
**“어떻게 막는지”**까지 알고 있는 상태에서
문서·USB 보안을 바라보면 좋겠습니다.

---

자주 묻는 질문 (FAQ)

Q1. 문서 보안 프로그램이 설치된 PC에서도, 화면을 휴대폰으로 찍으면 막을 수 없지 않나요?

맞습니다. 화면을 카메라로 촬영하는 건 기술적으로 100% 막기 어렵습니다.
그래서 워터마크(사용자 정보)를 화면에 표시해서
“찍더라도 본인 정보가 남는다”는 심리적 억제 장치를 함께 쓰고,
중요 문서는 일정 이상 확대 시 워터마크가 더욱 잘 보이게 설계하기도 합니다.

---

Q2. 문서를 암호화하면 PC가 많이 느려지지 않나요?

암호화/복호화에는 연산이 들어가기 때문에, 어느 정도 성능 오버헤드는 존재합니다.
다만 대부분의 상용 솔루션은

• CPU의 암호화 가속 기능(AES-NI 등)을 활용하고
• 변경된 부분만 암호화하는 방식 등을 통해
  일반 사무 업무에서는 체감이 크지 않도록 최적화되어 있습니다.
  고용량 CAD/영상 파일 등은 PoC 단계에서 꼭 성능 테스트를 하는 것이 좋습니다.

---

Q3. USB 보안 프로그램이 있으면 악성코드 유입도 막을 수 있나요?

장치 자체를 차단하거나, 허용된 장치만 사용하게 하면
악성코드 유입 가능성을 줄이는 효과는 있습니다.
또한 일부 솔루션은 USB로 들어오는 파일에 대해
백신 엔진과 연동해 자동 검사하기도 합니다.
하지만 완전한 악성코드 방지는 아니므로,
EDR/백신과 함께 쓰는 것이 일반적입니다.

---

Q4. 재택근무나 외부 노트북에서도 문서·USB 보안을 동일하게 적용할 수 있나요?

대부분 솔루션은 가능합니다.

• VPN이나 전용 게이트웨이를 통해 서버와 통신하고
• 클라이언트/에이전트를 설치해
  사내 PC와 동일한 정책을 적용할 수 있습니다.
  다만 개인 소유 기기(개인 노트북/PC)에까지 설치할지 여부는
  회사 정책·법적 이슈를 고려해 신중하게 결정해야 합니다.

---

Q5. 중소기업도 이런 원리를 이해하고 도입할 필요가 있을까요?

그렇습니다.
오히려 인력이 적은 중소기업일수록,
한 번의 유출 사고가 치명적일 수 있습니다.
원리를 대략이라도 이해하면
과도하게 비싼 솔루션에 휘둘리지 않고,
우리 회사에 필요한 최소 기능을 가진 제품을 합리적으로 선택할 수 있습니다.