아이디어 노트
https://brunch.co.kr/@sjfdhwlr/35
흔히 광고나 교통 서비스 중심으로 활용되던 위치 정보를 파일에 적용할 수 없을까? 하는 질문에서 시작된 아이디어로 기존의 위치 정보를 활용한 보안이 물리 보안 중심으로 제한되었다면, 이 아이디어는 위치 정보를 정보보안에 결합했다는 측면에서 조금 다른 시도였다. 돌아보면 정보보안에서도 파일 보안 시스템과 결합한 건 아마도 파일 반출 시스템에 대한 배경 지식이 있었기 때문이지 않았나 싶다.
1. 인식한 문제점
위에 링크된 "위치 기반 파일 보안 - 1"와 마찬가지로 기업 비즈니스 환경에서 파일이 유통은 여러 보안 이슈를 수반하고 있다. 여기서 "위치 기반 파일 보안 - 1"과의 차이는 파일 보안 적용 대상이다. 1의 아이디어는 외부로 유통되고 있는 파일에 접근하는 불특정 다수에게서 파일을 보호하는 방법이라면, 2 아이디어는 내부 임직원의 무분별한 파일 반출을 방지하는 아이디어이다.
많은 기업에서 업무 연속성 목적으로 내부 임직원의 파일 접근에 대해서는 크게 신경을 쓰지 않고 있다, 누구나 외부에서 기업의 파일 시스템에 접근하여 파일을 다운로드할 수 있고, 그 다운로드한 파일은 기업의 자산임에도 불구하고 개인의 디바이스를 통해 유출되거나 방치되는 문제를 초래한다. 예를 들어 외부에서 다운로드한 파일은 계속 디바이스 내 저장되고 이러한 파일은 사용자도 모르게 유출될 수 있다. 퇴사자 스마트폰이나 노트북, 데스크톱에 저장된 파일은 어떨까? 반출된 파일은 더 이상 관리 대상이 될 수 없는 것이다.
2. 현재의 솔루션
현재는 유통되는 파일의 보안을 위하여 DLP(Data Loss Prevention)나 DRM(Digital Right Management), 문서중앙화와 같은 보안 솔루션을 통해 파일의 반출 및 열람을 제어하는 형태로 파일에 보안을 적용하고 있다. 특히 파일 보안 시스템은 고가이기 때문에 중소 규모에서 도입하는 데는 어려움이 존재한다. 우리는 이 보안 솔루션을 대체하는 것이 아닌 기존 파일 시스템을 활용하는 다른 인증 방식을 결합하는 형태로 아이디어를 발전시켰다.
3. 대안 아이디어
본 아이디어는 사용자의 스마트폰과 같은 개인 디바이스의 위치 정보를 활용하여 파일에 대한 접근 권한을 제어하는 방법이다. 기업 외부에서 임직원의 사내 파일 시스템 접근에 있어 특정 위치에서만 해당 파일에 접근이 가능하도록 결재, 승인을 결합하고, 실제 해당 임직원이 지정된 위치임을 증명해야만 해당 파일에 접근할 수 있는 방식이라고 할 수 있다.
1) 아이디어의 강점
이 아이디어의 강점은 비즈니스 환경에서의 업무 연속성을 제공하기 위하여 노트북과 같은 랩탑과의 연계 방식을 고려한 것이다. 모바일 오피스가 확산되고 있지만 여전히 문서 작업은 PC를 통해 이뤄지고 있다. 모바일 디바이스만으로는 문서 파일을 이용한 업무에서는 연속성을 보장하기 어렵다는 것이다. 이에 개인을 식별하고 위치 정보를 인증하는 것은 모바일 디바이스로 수행하고, 권한을 통해 접근한 파일을 다운로드하는 것은 노트북과 같은 랩탑으로 할 수 있도록 모바일 디바이스와 랩탑에 '페어링' 기능을 포함시켰다.
개인 식별 및 위치 정보 인증을 위한 모바일 디바이스 어플리케이션과 노트북에 설치하는 에이전트를 블루투스를 이용하여 '페어링' 함으로써 해당 노트북이 실제로 모바일 디바이스와 동일한 위치에서 접근하고 있는지를 확인하는 것으로 모바일 디바이스로 인증하고, 다른 위치에서 파일을 다운로드하는 것을 방지하고자 했다.
또 하나의 보안 수단으로 '페어링'은 연결이 종료되는 시점에서 파일을 강제로 삭제한다. 강제성은 있지만 이 부분은 접근권한 시간을 반출 결재 단계에서 지정하고, 이후 연장하는 형태로 생각했다.
이 아이디어를 바탕으로 우리 팀은 2017년 위치 정보 서비스 아이디어 공모전에서 아이디어 부문 대상(방송통신위원회 위원장상)을 수상했다. 실제 MVP 모델까지 개발해 전사 임직원을 대상으로 시연도 할 수 있었고, 우리 아이디어를 활용하자는 사업제안도 들어오기도 했다.
나름 의미 있는 아이디어임에도 불구하고 실제 서비스로 할 수 있을까?를 생각해보면 위치 정보의 조작 이슈, 파일 시스템과 연계 방안 측면에서 아쉬운 부분 역시 많이 존재했다. 내가 첫 사업으로 하고 싶은 아이디어는 아니었던 것 같다. 하나의 아이디어로 다양한 경험으로 연결된 사례 정도일까..