2008년 국가정보원 산업기밀보호센터 조사에 의하면, 국내 산업기술 유출 적발건수는 2000년부터 2007년 12월까지 총 145건으로 이러한 산업기술이 모두 유출되었을 경우 약 95조원의 경제적 손실을 입었을 것으로 추산되고 있다. 연도별 산업기술 유출 적발현황을 살펴보면, 2003년 이전에는 산업기술 유출 적합이 10건 이하에 불과하던 것이, 2004년에는 26건, 2005년 29건, 2006년 31건, 2007년 32건 등 매년 증가하는 추세를 보이고 있어 산업기술 보호를 위한 전략이 시급한 상황이다.

산업기술 유출 주체는 크게 내부자와 외부인 등으로 구분할 수 있다. 이에 대한 해결방안으로 국내 기업들은 많은 예산을 들여 보안 시스템을 구축하고 있으나, 지금까지는 물리 및 기술적 접근의 보안 시스템(침입경보, CCTV, 문서보안, DB 보안 등) 구축 중심으로 투자를 진행해왔다. 그러나 이러한 보안 시스템 관점의 산업기술 유출방지 접근방법으로는 한계성을 가지고 있으며 비즈니스 업무 프로세스를 실제 수행하는 인적 자원에 대한 통제수단을 고려하지 않고는 근본적으로 차단하기 어렵다. 이러한 이유는 최근에 발생되고 있는 산업기술 유출사례를 분석해 볼 때 조직이 보유하고 있는 보안 시스템들의 취약점을 잘 알고 있는 내부직원에 의하여 빈번하게 발생되고 있기 때문이다.

다른 보안활동보다 내부인력 통제의 중요성을 사전에 인식한 해외 연구그룹들은 산업기술 유출사고 사례분석을 통해 특성을 도출하고, 인간 행위적 관점의 해결방안을 연구하고 있다. 연구결과로 도출된 산업기술 유출사고의 특성을 정리하면, 먼저 조직 내에서 업무와 관련하여 부정적 상황(경제적 이득, 지인부탁, 진급누락 등)이 정보유출 실행을 유도하고 있으며, 사전에 미리 치밀한 준비과정을 거치고 있다. 또한 정보유출 사고발생 내부직원은 단순한(해킹 기법 같은 복잡하지 않은) 방법을 통하여 업무 프로세스 및 응용 시스템 등의 취약점을 활용하고 있으며, 이와 같은 보안사고 발생비율은 직원의 직급과 비례하여 증가하고 있음을 보여주고 있다.

이러한 산업기술 유출사고의 특성을 고려한 인간 행위적 관점의 연구결과로서 보안 사고에 유발에 따른 검거 두려움을 직원들에게 심어줄 수 있는 보안 활동이 가장 큰 영향을 미치는 것으로 나타났다. 또한 이와 비슷한 맥락에서 보안사고 예방에 대한 경영진의 공식적인 대응방법보다 동료직원들의 비공식적인 구속력이 내부직원들의 태도변화에 더욱 영향을 미치는 것으로 조사되어 시스템 중심의 보안활동 접근방법보다는 사람 중심의 보안활동이 접근방법이 더욱더 실효성을 거두는 것(약 2배 이상)으로 분석되었다.

2008년 한국산업기술보호협회에서 발간한 산업기술보호 실태조사에서 국내 기업들의 물리적 보안 및 기술적 보안수준에 비해 인적 보안수준은 상대적으로 매우 낮은 점을 고려하면 국내 산업기술 보호를 위한 정책의 전환을 필요로 하고 있다. 실제로 일부 대기업을 제외하고는 인적보안과 기술적 보안을 총괄하여 일관된 관점으로 정책을 추진할 수 있는 전담조직이 부재한 상태이며, 기업 내부 및 언론 상에서 보안사고 뉴스를 접할 때마다 단편적인 방법(Heuristic Method)으로 대응을 하고 있는 상태다. 이러한 시스템 중심의 보안활동은 이동 가능한 업무환경이 구축됨에 따라 점진적으로 한계성이 드러나고 있기 때문에, 행위적 관점의 보안활동으로 정보유출 동기를 줄일 수 있는 방법, 정보유출 사고유발을 최소화 할 수 있는 업무환경 구축방법, 보안 사고에 대한 범죄적 두려움을 조성할 수 있는 방법 등에 관한 새로운 형태의 보안활동이 필요한 시점이다.

<글 : 장 항 배 | 대진대학교 경영학과 교수(hbchang@daejin.ac.kr)>

[월간 시큐리티월드 통권 제154호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>