SHIELD DRM 핵심 기술
1. Cloud-Native DRM 변환
개요
SHIELD DRM은 클라우드 환경에서 유통되는 문서에 대해 DRM 암호화를 자동으로 적용하는 서비스입니다. 기존 DRM 암호화 문서를 Microsoft의 MIP(Microsoft Information Protection) 레이블 문서로 자동 변환하여 Microsoft 365 환경에�서 원활하게 사용할 수 있도록 지원합니다.
동작 원리
기존 DRM 환경
1. 로컬 PC에서 DRM 암호화 문서 생성
2. 클라우드(OneDrive/SharePoint)에 업로드
3. Microsoft 365에서 열람 불가 (호환성 문제)
└─ 문제: DRM 문서는 클라우드 협업 환경에서 사용 제약
SHIELD DRM 적용 환경
1. DRM 암호화 문서를 OneDrive/SharePoint/Teams에 업로드
2. SHIELD DRM이 이벤트를 감지
3. DRM 문서를 MIP 레이블 문서로 자동 변환
4. Microsoft 365에서 열람/편집/공동편집 가능
└─ 효과: 기존 DRM 보안 정책을 유지하면서 클라우드 협업 지원
변�환 대상
DRM 암호화 유형
- DAC (Document Access Control) — 사용자별 세밀한 권한 제어
- MAC (Mandatory Access Control) — 문서 분류 기반 의무적 접근 제어
- GRADE — 문서 등급(기밀, 내부용 등)에 따른 접근 제어
지원 스토리지
- OneDrive for Business
- SharePoint Online
- Microsoft Teams (파일 탭)
2. 이벤트 기반 실시간 감지
개요
SHIELD DRM은 Microsoft 365 스토리지에서 발생하는 파일 이벤트를 실시간으로 감지하여 암호화 정책을 자동 적용합니다. 사용자 개입 없이 문서가 업로드되는 즉시 보안 정책이 적용됩니다.
이벤트 수신 방식
Event Receiver 방식
1. SharePoint/OneDrive에서 파일 이벤트 발생
(생성, 수정, 이동, 업로드)
↓
2. Event Receiver가 이벤트 감지
↓
3. SHIELD DRM 서버로 이벤트 전달
↓
4. 조건부 정책 평가
↓
5. 정책에 따라 DRM/AIP 변환 실행
감지 대상 이벤트
| 스토리지 | 감지 이벤트 | 설명 |
|---|---|---|
| OneDrive | 파일 추가/수정/이동 | 개인 클라우드 스토리지 내 문서 변경 감지 |
| SharePoint | 문서 라이브러리 변경 | 팀 사이트, 커뮤니케이션 사이트 내 파일 이벤트 |
| Teams | 파일 탭 업로드 | Teams 채널 내 파일 공유 이벤트 |
3. 조건부 정책 (Conditional Policy)
개요
조건부 정책은 사용자, 위치, 시간, 문서 유형 등 다양한 조건에 따라 암호화를 자동으로 적용하는 SHIELD DRM의 핵심 정책 엔진입니다.
정책 유형
Endpoint Policy (엔드포인트 정책)
대상: 로컬 PC의 Document Security 6
제어: PC에서 직접 문서 암·복호화 정책 적용
- DRM ↔ MIP 변환 정책
- 문서 등급별 접근 제어
- 확장자별 변환 대상 지정
Cloud Storage Policy (클라우드 스토리지 정책)
대상: OneDrive, SharePoint, Teams
제어: 클라우드에 업로드되는 문서에 정책 자동 적용
- 업로드 시 자동 암호화
- 스토리지별 차등 정책
- 사용자/그룹별 정책 분리
SDF (Sensitive Docs Flow)
대상: 조직 내 문서 전체
제어: 세분화된 문서 보안 정책
- 암호화 / 복호화
- 반출 제어
- 은닉 정보 적용
정책 조건 요소
| 조건 | 설명 | 예시 |
|---|---|---|
| 사용자/그룹 | 특정 사용자 또는 그룹에 정책 적용 | 임원 그룹: 기밀 등급 자동 적용 |
| IP 범위 | 네트워크 위치 기반 제어 | 사내 IP: 암호화 해제 허용 |
| 시간대 | 특정 시간 조건 | 업무 시간 외: 반출 차단 |
| 문서 유형 | 확장자, 암호화 유형별 제어 | .docx: AIP 변환, .pdf: DRM 유지 |
| 정책 우선순위 | 다중 정책 충돌 시 실행 순서 결정 | 높은 우선순위 정책 우선 적용 |
4. DRM-MIP 권한 매핑
개요
기존 DRM 암호화 문서의 권한 체계를 Microsoft의 MIP 레이블 권한으로 자동 매핑하여, 변환 후에도 동일한 보안 수준을 유지합니다.
매핑 구조
DRM 권한 MIP 권한
───────── ─────────
읽기 (Read) → View
편집 (Edit) → Edit
출력 (Print) → Print
반출 (Export) → Extract
해제 (Decrypt) → Full Control
권한 변경 → Change Permissions
프린트마킹 → Print (with watermark)
유효기간 → Content Expiration
암호 키 관리
| 방식 | 설명 |
|---|---|
| BYOK (Bring Your Own Key) | 고객��사가 자신의 암호 키를 제공하여 문서 보호 |
| HYOK (Hold Your Own Key) | 고객사의 키 관리 서버에서 암호 키를 직접 보유 |
| SCI Server 연동 | Document Security의 암호화 키 서버와 연동하여 키 관리 |
5. 고가용성 및 안정성
개요
SHIELD DRM은 대량의 문서 변환 요청을 안정적으로 처리하기 위한 고가용성 아키텍처를 제공합니다.
주요 메커니즘
재시도 로직 (Retry Logic)
1. 문서 변환 요청
↓
2. 일시적 오류 발생 (네트워크, API 제한 등)
↓
3. 재시도 큐에 등록
↓
4. Backoff 전략에 따라 자동 재시도
↓
5. 성공 시 큐에서 제거 / 실패 시 관리자 알림
MS Throttling 관리
Microsoft Graph API는 요청량에 따라 속도 제한(Throttling)을 적용합니다. SHIELD DRM은 이를 감지하고 자동으로 요청 속도를 조절하여 서비스 안정성을 확보합니다.
| 상태 | 설명 | 대응 |
|---|---|---|
| 정상 | API 요청 정상 처리 | 즉시 처리 |
| Throttling 감지 | 429 응답 수신 | 요청 속도 자동 조절 |
| Retry-After | 대기 시간 지정 | 지정 시간 후 재시도 |
다중 테넌트 지원
테넌트별 독립적인 이벤트 처리 및 리소스 분리를 통해 테넌트 간 영향을 최소화합니다.
6. Document Security 365 연동
개요
Document Security 365는 로컬 PC 환경에서 DRM 문서와 MIP 문서 간 양방향 변환을 지원하는 클라이언트 솔루션입니다.
주요 기능
DRM ↔ MIP 양방향 변환
- 마우스 우클릭 쉘 메뉴를 통한 즉시 변환
- DRM 정책과 MIP 정책 간 자동 매핑
레이블 시각화
- MIP 레이블 적용 문서의 전용 아이콘 표시
- 레이블 색상으로 암호화 상태 즉�시 확인
요구 사항
| 항목 | 요건 |
|---|---|
| Document Security | 버전 6.0.3.24 이상 |
| Microsoft 365 플랜 | Business Premium 또는 E3 이상 |
| Sensitivity Label | Microsoft Compliance Center에서 레이블 생성 및 게시 완료 |