홈 >자료마당>저작권 보호 전문지>C STORY(칼럼)

본문으로 바로가기 본문으로 바로가기 대메뉴로 바로가기

한국저작권보호원
자료마당
저작권 보호 전문지
C STORY(칼럼)

C STORY(칼럼)

페이지 공유 사이트 목록

[C STORY 42호 / 저작권 기술 동향] 전자책 생애주기별 저작권 보호조치 기술 마련 필요 작성일2024.04.24 작성자이유정(문화공감) 조회수33
전자책 생애주기별 저작권 보호조치 기술 마련 필요 글 김태현 디알엠인사이드 전무 얼마전 국내의 대형 전자책 유통업체인 알라딘에서 전자책에 대한 해킹 사고가 있었다. 고등학생 해커가 업체의 서버를 해킹하고 전자책 유통구조의 취약점을 파악한 후 복호화키를 획득하여, 72만 권에 해당하는 전자책을 확보한 것이다. 경찰 조사에 따르면 해당 해커는 알라딘뿐만 아니라 타 전자책 유통사에서도 143만 권의 전자책을 해킹했다고 한다. 이번 사건은 해커가 알라딘 측에 합의금을 요청하는 과정에서 검거되었기에 망정이지, 215만 권에 해당하는 전자책이 소리 소문 없이 불법사이트를 통해 유포되었다고 가정하면 국내 전자책 산업의 근간을 흔드는 끔찍한 사고가 되었을 것이다. 그러면 국내 전자책은 왜 이렇게 쉽게 해킹이 되고 있는 것인가? 전자책을 보호하기 위한 DRM(Digital Rights Management) 기술은 이미 20여 년 전부터 상용화가 되어왔고, 모든 유통사들은 각자의 기술로 DRM을 적용하고 있다. 그럼에도 불구하고 이렇게 엄청난 양의 전자책이 유출될 수 있다는 것은 현재의 전자책 유통구조나 DRM 기술 자체에 대한 철저한 검토가 필요한 상황으로 보인다. 본 기고에서는 저작권 보호 관점에서 바라본 현 전자책 유통구조에서의 문제점과 이를 해결하기 위한 기술적인 보호조치 방법에 대해 살펴본다. I. 문제점 재고 1. 평문 전자책 존재영역의 문제점 전자책 유통과정은 <그림 1>에서와 같이 평문으로 존재하는 영역이 존재한다. 작가가 출판사에게 원고를 넘기는 과정과 출판사가 전자책을 제작하여 유통사에게 전달하는 과정, 그리고 유통사에서 DRM을 적용하여 최종 소비자에게 전달하기 전까지의 과정에서 대부분 평문으로 관리된다. 어떤 형태로든 평문 상태로 전자책이 보관된다는 것은 해커에게 매우 쉬운 공격 대상이 될 뿐만 아니라, 해당 업체 관계자의 관리 소홀 및 고의로 인한 유출 사고 또한 배제할 수 없다. <그림1> 전자책 유통과정에서의 문제점 2. 키 관리 보안 수준이 낮은 DRM 방식의 문제점 대부분의 유통사들은 각기 다른 DRM을 적용하고 있다. 그러나 DRM에서 사용하고 있는 암호화 방식이 복호화 키가 쉽게 노출이 될 수 있는 낮은 수준의 보안 방식이라면 해커의 공격으로부터 안전하지 못하다. 이번에 알라딘을 해킹한 해커가 서버로부터 복호화 키 정보를 쉽게 획득할 수 있었던 이유도 키 하나로 모든 전자책을 암호화 한 후, 키 전달 방식은 공개할 수 없는 방식으로 운영해 왔기 때문이라고 전해진다. <그림2> 단일키 공유 키 전달 방식 아울러, 전자책은 하나의 출판사로부터 복수의 유통업체로 납품되기 때문에 특정 업체 DRM의 보안성이 낮을 경우, 타 업체의 DRM 보안 강도와 무관하게 해당 전자책은 유출될 수 있다. 이는 업체별 전자책 DRM 보안 수준의 평가가 불가능하기 때문에 항상 내재된 위험요소이다. 3. 인쇄본 평문 PDF 전달의 문제점 출판사는 종이책 출판을 위해 인쇄소로 평문 PDF 파일을 전달하고 있다. 이는 인쇄소에 있는 편집툴 또는 프린터에 DRM을 적용하는 것이 용이하지 않기 때문에 관행적으로 DRM이나 암호화 적용을 못하고 있기 때문이다. 이에 따라 평문 PDF를 보관하고 있는 출판사와 인쇄소 각각에서 해당 PDF가 유출될 여지가 있다. 만일 다수의 인쇄용 PDF를 평문으로 보관하고 있는 출판사가 존재한다면, 이 또한 해커들의 공격목표가 될 수 있다. 4. 웹 브라우저 기반 뷰어의 문제점 앱 기반의 전자책 뷰어는 해킹이 용이하지 않기 때문에 해커가 뷰어로부터 전자책 원본을 추출하는 것이 용이하지 않다. 그러나 사용자 편리성을 위해 뷰어의 형태가 웹 브라우저로 전환됨에 따라 반대급부로 보안상 문제점이 발생하고 있다. 웹 스크래핑 기술을 이용하거나 웹 브라우저의 개발자 툴 기능을 이용하여 전자책 페이지들에 대한 원본을 추출하는 것이 가능하기 때문에 이에 대한 보안책 마련도 필요하다. 또한 웹 브라우저 뷰어는 화면 캡쳐를 통한 유출 공격에서도 자유롭지 못하다. 비록 매 페이지를 캡쳐해서 한 권의 전자책 또는 복제된 웹 사이트로 복원하는 과정이 단순 웹 스크랩핑 보다 시간이 많이 걸리고 콘텐츠의 화질도 떨어지긴 하지만, 그럼에도 불구하고 최근 고사양의 PC에서 캡처된 이미지의 퀄리티를 보았을 때 대응책이 필요하다. 그렇다면 이러한 문제점들을 해결하기 위한 방안 및 기술적 조치들은 어떠한 것들이 있는가? II. 해결 방안 1. 평문 전자책 존재영역의 문제점 해결 방안 전자책 유통과정에서 평문 저장의 과정을 제거하기 위해서는 유통 전 과정에서 전달되는 모든 전자책에 키 관리의 안전성이 확인된 DRM을 적용하고, 편집이나 또 다른 전달 과정에서 어떠한 경우든 전자책이 평문으로 존재하지 않도록 해야 한다. 각 유통 과정별로 적용 방법을 요약하면 다음과 같다. 작가-출판사 작가들의 작품이 출판사에서 최종 전자책 원본으로 만들어지기 전까지의 중간 결과물에 DRM 처리를 위해서는 작가 측에서 암호화를 위한 별도의 툴이 설치되어야 하고 출판사의 편집툴도 모두 해당 DRM 처리를 할 수 있는 기능을 탑재해야 한다. 그러나 이는 작가들의 작업환경과 출판사들의 편집환경을 고려해 보았을 때 적용이 쉽지 않다. 따라서 작가-출판사의 경우는 보안 USB나 암호화 zip 파일이 포함된 e-mail 전송 정도가 바람직하다. 출판사-인쇄소/유통사 편집이 완료된 전자책은 인쇄소로 전달될 때, 암호화된 PDF 형태로, 그리고 유통사에게는 암호화된 전자책 형태로 전달되는 되어야 한다. 유통사는 암호화된 전자책을 그대로 서비스에 사용하거나 자신들의 고유 DRM으로 변경하는 작업을 진행한다. 변경이 진행되는 과정에서도 잠시라도 평문 전자책이 파일시스템에 존재하지 않아야 한다. 유통사-사용자 DRM으로 보호된 전자책은 사용자 단말기 단으로 전달되며, 사용자가 전자책을 열람하는 동안에도 전자책이 어떠한 형태로든 평문으로 사용자 기기에 존재하지 않도록 하여야 한다. 일부 전자책 뷰어에서는 암호화된 전자책 전체를 복호화하여 사용하고 있는데, 이는 메모리 공격에 취약할 수 있기 때문에 사용자가 현재 보고 있는 페이지별로 복호화해서 사용하고 즉시 삭제하는 방식을 사용해야 한다. <그림3> 사용자 뷰어에서의 부분 암/복호화의 필요성 2. 키 관리 보안 수준이 낮은 DRM 방식의 문제점 해결방안 안전한 전달을 목적으로 사용되는 전자책 DRM은 표준 DRM의 사용이 강력 권고된다. 전자책 DRM 표준은 KS X 6072 국가표준과 ISO 23078 국제표준이 존재한다. 해당 표준들은 국내외 DRM 전문가들에 의해 10여 년의 기간을 통해 개발되었고 기술 명세서 또한 공개되어 있다. 해당 표준에서는 라이선스 및 인증서 기반의 키 전달 방식을 사용하고 있기 때문에 비록 기술이 공개되어 있다 하더라도, 복호화 키가 쉽게 노출되지 않은 구조로 구성되어 있기 때문에 안전성이 검증되었다고 볼 수 있다. 표준 DRM의 사용은 또 다른 장점이 존재한다. 각 유통업체에서 적용하고 있는 DRM이 일명 전용(Proprietary) DRM이고, 출판사에서 전송하고자 하는 또는 유통사에서 받고자 하는 대상이 복수일 경우 호환성 부재로 인해 연동 과정이 매우 복잡해질 수 있다. 이때 유통과정에서 표준 DRM을 적용할 경우 호환성 문제가 쉽게 해결될 수 있다. <그림4> 표준기반의 암호화 키 전달 방식 3. 인쇄본 평문 PDF 전달의 문제점 해결방안 인쇄본 PDF의 전달을 위해서는 비밀번호 기반의 암호화 방식을 사용할 수 있다. 비밀번호 기반의 PDF 암호화는 기존 PDF 뷰어 및 편집툴과 호환이 가능하기 때문에 인쇄소의 인쇄 환경에 영향을 받지 않는다. 비밀번호 생성/관리 및 PDF 암호화를 위한 툴을 적용할 경우, 1회성 비밀번호를 사용하여 PDF를 암호화하고 전달하여야 한다. 4. 웹 브라우저 기반 뷰어의 문제점 해결방안 웹 브라우저 기반의 전자책 뷰어에서의 콘텐츠 유출을 방지하기 위해서는 웹 콘텐츠가 DOM 영역에서 난독화된 상태로 존재하여야 하며, 우클릭 방지, 선택 방지, 인쇄 방지, 디버그 방지 등 웹 브라우저의 기본 기능이 통제되어야 한다. 또한 캡쳐 후 유출되는 전자책의 유출자를 색출하기 위해 사용자 id 또는 IP 정보에 대한 인비지블 워터마킹 기술이 적용될 수 있다. <그림 5>는 유통과정에서 보안이 적용된 이후의 개요도를 보여준다. <그림5> 안전한 전자책 유통과정 III. 결론 본 기고에서는 현 전자책 유통구조에서 전자책 유출 가능성이 존재하는 영역과 이에 대한 근본적인 문제점을 도출하고 이를 해결하기 위한 기술적인 방안을 기술하였다. 이번 알라딘 전자책 해킹 사건은 출판사와 유통사들에게 현행 전자책 출판물 보호조치에 대한 철저한 재점검을 요구하는 계기가 되었다. 100% 안전한 보안 방식은 존재하지 않는다. 그러나 이번과 같은 국내 전자책 산업의 근간을 흔드는 사고는 철저한 대비를 통해 충분히 미연에 방지할 수 있다. 결론적으로 전자책 유통과정에서 유출 사고를 미연에 방지하기 위해서는 출판 시점부터 사용자 열람 시점까지 전 과정에서 평문으로 존재하는 영역이 없어야 하며, 모든 유통사들의 전자책 DRM 기술 수준의 평준화를 위해 키 보관 및 전달에 대한 보안성이 검증된 표준 DRM의 사용을 권고한다. 또한 웹 브라우저 기반의 뷰어가 확산됨에 따라, 웹 콘텐츠 보안을 위한 보호조치들이 필수적으로 적용되어야 함을 강조한다.

[C STORY 42호 / 저작권 기술 동향] 전자책 생애주기별 저작권 보호조치 기술 마련 필요

작성일2024.04.24
작성자이유정(문화공감)
조회수33

전자책 생애주기별 저작권 보호조치

기술 마련 필요

글 김태현 디알엠인사이드 전무

얼마전 국내의 대형 전자책 유통업체인 알라딘에서 전자책에 대한 해킹 사고가 있었다. 고등학생 해커가 업체의 서버를 해킹하고 전자책 유통구조의 취약점을 파악한 후 복호화키를 획득하여, 72만 권에 해당하는 전자책을 확보한 것이다. 경찰 조사에 따르면 해당 해커는 알라딘뿐만 아니라 타 전자책 유통사에서도 143만 권의 전자책을 해킹했다고 한다. 이번 사건은 해커가 알라딘 측에 합의금을 요청하는 과정에서 검거되었기에 망정이지, 215만 권에 해당하는 전자책이 소리 소문 없이 불법사이트를 통해 유포되었다고 가정하면 국내 전자책 산업의 근간을 흔드는 끔찍한 사고가 되었을 것이다.

그러면 국내 전자책은 왜 이렇게 쉽게 해킹이 되고 있는 것인가? 전자책을 보호하기 위한 DRM(Digital Rights Management) 기술은 이미 20여 년 전부터 상용화가 되어왔고, 모든 유통사들은 각자의 기술로 DRM을 적용하고 있다. 그럼에도 불구하고 이렇게 엄청난 양의 전자책이 유출될 수 있다는 것은 현재의 전자책 유통구조나 DRM 기술 자체에 대한 철저한 검토가 필요한 상황으로 보인다.

본 기고에서는 저작권 보호 관점에서 바라본 현 전자책 유통구조에서의 문제점과 이를 해결하기 위한 기술적인 보호조치 방법에 대해 살펴본다.

I. 문제점 재고

1. 평문 전자책 존재영역의 문제점

전자책 유통과정은 <그림 1>에서와 같이 평문으로 존재하는 영역이 존재한다. 작가가 출판사에게 원고를 넘기는 과정과 출판사가 전자책을 제작하여 유통사에게 전달하는 과정, 그리고 유통사에서 DRM을 적용하여 최종 소비자에게 전달하기 전까지의 과정에서 대부분 평문으로 관리된다. 어떤 형태로든 평문 상태로 전자책이 보관된다는 것은 해커에게 매우 쉬운 공격 대상이 될 뿐만 아니라, 해당 업체 관계자의 관리 소홀 및 고의로 인한 유출 사고 또한 배제할 수 없다.

<그림1> 전자책 유통과정에서의 문제점

2. 키 관리 보안 수준이 낮은 DRM 방식의 문제점

대부분의 유통사들은 각기 다른 DRM을 적용하고 있다. 그러나 DRM에서 사용하고 있는 암호화 방식이 복호화 키가 쉽게 노출이 될 수 있는 낮은 수준의 보안 방식이라면 해커의 공격으로부터 안전하지 못하다. 이번에 알라딘을 해킹한 해커가 서버로부터 복호화 키 정보를 쉽게 획득할 수 있었던 이유도 키 하나로 모든 전자책을 암호화 한 후, 키 전달 방식은 공개할 수 없는 방식으로 운영해 왔기 때문이라고 전해진다.

<그림2> 단일키 공유 키 전달 방식

아울러, 전자책은 하나의 출판사로부터 복수의 유통업체로 납품되기 때문에 특정 업체 DRM의 보안성이 낮을 경우, 타 업체의 DRM 보안 강도와 무관하게 해당 전자책은 유출될 수 있다. 이는 업체별 전자책 DRM 보안 수준의 평가가 불가능하기 때문에 항상 내재된 위험요소이다.

3. 인쇄본 평문 PDF 전달의 문제점

출판사는 종이책 출판을 위해 인쇄소로 평문 PDF 파일을 전달하고 있다. 이는 인쇄소에 있는 편집툴 또는 프린터에 DRM을 적용하는 것이 용이하지 않기 때문에 관행적으로 DRM이나 암호화 적용을 못하고 있기 때문이다. 이에 따라 평문 PDF를 보관하고 있는 출판사와 인쇄소 각각에서 해당 PDF가 유출될 여지가 있다. 만일 다수의 인쇄용 PDF를 평문으로 보관하고 있는 출판사가 존재한다면, 이 또한 해커들의 공격목표가 될 수 있다.

4. 웹 브라우저 기반 뷰어의 문제점

앱 기반의 전자책 뷰어는 해킹이 용이하지 않기 때문에 해커가 뷰어로부터 전자책 원본을 추출하는 것이 용이하지 않다. 그러나 사용자 편리성을 위해 뷰어의 형태가 웹 브라우저로 전환됨에 따라 반대급부로 보안상 문제점이 발생하고 있다. 웹 스크래핑 기술을 이용하거나 웹 브라우저의 개발자 툴 기능을 이용하여 전자책 페이지들에 대한 원본을 추출하는 것이 가능하기 때문에 이에 대한 보안책 마련도 필요하다.

또한 웹 브라우저 뷰어는 화면 캡쳐를 통한 유출 공격에서도 자유롭지 못하다. 비록 매 페이지를 캡쳐해서 한 권의 전자책 또는 복제된 웹 사이트로 복원하는 과정이 단순 웹 스크랩핑 보다 시간이 많이 걸리고 콘텐츠의 화질도 떨어지긴 하지만, 그럼에도 불구하고 최근 고사양의 PC에서 캡처된 이미지의 퀄리티를 보았을 때 대응책이 필요하다.

그렇다면 이러한 문제점들을 해결하기 위한 방안 및 기술적 조치들은 어떠한 것들이 있는가?

II. 해결 방안

1. 평문 전자책 존재영역의 문제점 해결 방안

전자책 유통과정에서 평문 저장의 과정을 제거하기 위해서는 유통 전 과정에서 전달되는 모든 전자책에 키 관리의 안전성이 확인된 DRM을 적용하고, 편집이나 또 다른 전달 과정에서 어떠한 경우든 전자책이 평문으로 존재하지 않도록 해야 한다. 각 유통 과정별로 적용 방법을 요약하면 다음과 같다.

작가-출판사

작가들의 작품이 출판사에서 최종 전자책 원본으로 만들어지기 전까지의 중간 결과물에 DRM 처리를 위해서는 작가 측에서 암호화를 위한 별도의 툴이 설치되어야 하고 출판사의 편집툴도 모두 해당 DRM 처리를 할 수 있는 기능을 탑재해야 한다. 그러나 이는 작가들의 작업환경과 출판사들의 편집환경을 고려해 보았을 때 적용이 쉽지 않다. 따라서 작가-출판사의 경우는 보안 USB나 암호화 zip 파일이 포함된 e-mail 전송 정도가 바람직하다.

출판사-인쇄소/유통사

편집이 완료된 전자책은 인쇄소로 전달될 때, 암호화된 PDF 형태로, 그리고 유통사에게는 암호화된 전자책 형태로 전달되는 되어야 한다. 유통사는 암호화된 전자책을 그대로 서비스에 사용하거나 자신들의 고유 DRM으로 변경하는 작업을 진행한다. 변경이 진행되는 과정에서도 잠시라도 평문 전자책이 파일시스템에 존재하지 않아야 한다.

유통사-사용자

DRM으로 보호된 전자책은 사용자 단말기 단으로 전달되며, 사용자가 전자책을 열람하는 동안에도 전자책이 어떠한 형태로든 평문으로 사용자 기기에 존재하지 않도록 하여야 한다. 일부 전자책 뷰어에서는 암호화된 전자책 전체를 복호화하여 사용하고 있는데, 이는 메모리 공격에 취약할 수 있기 때문에 사용자가 현재 보고 있는 페이지별로 복호화해서 사용하고 즉시 삭제하는 방식을 사용해야 한다.

<그림3> 사용자 뷰어에서의 부분 암/복호화의 필요성

2. 키 관리 보안 수준이 낮은 DRM 방식의 문제점 해결방안

안전한 전달을 목적으로 사용되는 전자책 DRM은 표준 DRM의 사용이 강력 권고된다. 전자책 DRM 표준은 KS X 6072 국가표준과 ISO 23078 국제표준이 존재한다. 해당 표준들은 국내외 DRM 전문가들에 의해 10여 년의 기간을 통해 개발되었고 기술 명세서 또한 공개되어 있다. 해당 표준에서는 라이선스 및 인증서 기반의 키 전달 방식을 사용하고 있기 때문에 비록 기술이 공개되어 있다 하더라도, 복호화 키가 쉽게 노출되지 않은 구조로 구성되어 있기 때문에 안전성이 검증되었다고 볼 수 있다.

표준 DRM의 사용은 또 다른 장점이 존재한다. 각 유통업체에서 적용하고 있는 DRM이 일명 전용(Proprietary) DRM이고, 출판사에서 전송하고자 하는 또는 유통사에서 받고자 하는 대상이 복수일 경우 호환성 부재로 인해 연동 과정이 매우 복잡해질 수 있다. 이때 유통과정에서 표준 DRM을 적용할 경우 호환성 문제가 쉽게 해결될 수 있다.

<그림4> 표준기반의 암호화 키 전달 방식

3. 인쇄본 평문 PDF 전달의 문제점 해결방안

인쇄본 PDF의 전달을 위해서는 비밀번호 기반의 암호화 방식을 사용할 수 있다. 비밀번호 기반의 PDF 암호화는 기존 PDF 뷰어 및 편집툴과 호환이 가능하기 때문에 인쇄소의 인쇄 환경에 영향을 받지 않는다. 비밀번호 생성/관리 및 PDF 암호화를 위한 툴을 적용할 경우, 1회성 비밀번호를 사용하여 PDF를 암호화하고 전달하여야 한다.

4. 웹 브라우저 기반 뷰어의 문제점 해결방안

웹 브라우저 기반의 전자책 뷰어에서의 콘텐츠 유출을 방지하기 위해서는 웹 콘텐츠가 DOM 영역에서 난독화된 상태로 존재하여야 하며, 우클릭 방지, 선택 방지, 인쇄 방지, 디버그 방지 등 웹 브라우저의 기본 기능이 통제되어야 한다. 또한 캡쳐 후 유출되는 전자책의 유출자를 색출하기 위해 사용자 id 또는 IP 정보에 대한 인비지블 워터마킹 기술이 적용될 수 있다.

<그림 5>는 유통과정에서 보안이 적용된 이후의 개요도를 보여준다.

<그림5> 안전한 전자책 유통과정

III. 결론

본 기고에서는 현 전자책 유통구조에서 전자책 유출 가능성이 존재하는 영역과 이에 대한 근본적인 문제점을 도출하고 이를 해결하기 위한 기술적인 방안을 기술하였다. 이번 알라딘 전자책 해킹 사건은 출판사와 유통사들에게 현행 전자책 출판물 보호조치에 대한 철저한 재점검을 요구하는 계기가 되었다. 100% 안전한 보안 방식은 존재하지 않는다. 그러나 이번과 같은 국내 전자책 산업의 근간을 흔드는 사고는 철저한 대비를 통해 충분히 미연에 방지할 수 있다. 결론적으로 전자책 유통과정에서 유출 사고를 미연에 방지하기 위해서는 출판 시점부터 사용자 열람 시점까지 전 과정에서 평문으로 존재하는 영역이 없어야 하며, 모든 유통사들의 전자책 DRM 기술 수준의 평준화를 위해 키 보관 및 전달에 대한 보안성이 검증된 표준 DRM의 사용을 권고한다. 또한 웹 브라우저 기반의 뷰어가 확산됨에 따라, 웹 콘텐츠 보안을 위한 보호조치들이 필수적으로 적용되어야 함을 강조한다.

List

이전,다음 게시물 목록을 볼 수 있습니다.
이전글	[C STORY 42호 / 줌 인 포커스] 2024년 동방의 수호신 청룡과 함께 저작권 보호, 바로 지금!
다음글	[C STORY 42호 / 해외 저작권 보호 동향] 미국, 인도, 브라질의 저작권 관련 동향

페이지
만족도 조사

현재 페이지에 대하여 얼마나 만족하십니까?

평가

담당부서 : 홍보협력부
담당자 : 서영훈
문의전화 : 02-3153-2745