수많은 내ㆍ외부 환경의 변화에도 불구하고 기업의 정보 자산을 지키겠다는 의지와 관심만이 기업의 경쟁력을 유지해 나갈 수 있는 원동력이 된다. 이러한 의지와 관심이 기업 내 전체 직원들의 생각 속에 자리 잡을 때 그 기업은 강한 체질을 가진 기업이 자리매김할 것이다.

손자병법을 보면 ‘지피지기 백전불태’라는 말이 있다. ‘나를 알고 적을 알면 위태롭지 않다’라는 뜻이다. 고대 전쟁에서 상대방에 관한 정보는 전쟁의 승패를 가를 정도로 중요하게 평가됐다.

정보화시대로 표현되는 현대는 ‘정보=무기’라는 말이 성립할 정도로 더 큰 위력을 가지고 있다. 특히 정보가 디지털화되고 인터넷을 통해 국가의 구분이 없어진 상황에서 정보는 기존과 달리 순식간에 전파돼 엄청난 파급력을 갖게 됐다. 손가락 만한 USB 메모리로 수 십만 명의 개인정보, 기업기밀 등을 간단히 옮길 수 있는 것이다.

기업 내의 핵심기술은 사실상 기업의 전부라 해도 과언이 아니다. 특히 IT분야에서는 여타의 제조업분야와는 비교할 수 없을 만큼 그 기업이 보유하고 있는 영업비밀에 대한 중요성은 해당 기업의 사활과도 직결되는 것이라 생각된다.

그럼에도 우리의 IT기업들 대부분은 기업 내부 영업비밀의 보호문제에 있어서는 여전히 무관심하거나 열악한 상황에 처해있는 것 같다. 특히 지극히 일부의 대기업을 제외하고 대부분의 IT 분야 회사들은 비교적 규모가 작은 중소기업들이어서 별도의 보안시설이나 인력 등을 활용하기 힘든 점도 문제이기는 하나 이러한 현실적인 문제 탓만을 논할 사안은 분명 아니라고 본다.

최근 그 중요성이 더해지고 있는 산업기밀유출보호는 일반적으로 1.보안정책, 전략분야인 관리적인 보안업무, 2. 유형적 자산 관리를 주로 하는 시설보안업무, 3. IT분야에 속하는 정보보호분야 등으로 구분, 운영되고 있다. 그러나 가장 중요하고 핵심적이라고 할 수 있는 보안정책, 전략을 담당하는 전략적인 보안전문가는 거의 없는 상태이고 시설보안업무를 수행하는 분야는 보안전문가로 지칭된다.

뿐만 아니라 보안정책, 전략수립은 뒷전인 채 첨단기술유출에 대한 보안대책으로써 여러가지 IT보안관련 프로그램을 설치, 운영하고 있는 것이 우리의 보안대책이다. 그러나 이러한 IT보호대책이 과연 핵심기술유출을 방지하는데 얼마나 기여하는지에 대한 투자효과분석의 결과물은 없다. 이와 더불어 IT보안업무가 기업 보안업무의 핵심인지, 어느 정도의 중요성을 가지는 지는 기업과 업종에 따라 매우 상이하므로 일괄적으로 모든 기업의 보안업무의 1순위로 치부되는 것도 경계돼야 한다.

보안 관리에 허점 ‘산재’

오늘날 우리나라 기업들은 첫번째 보안대책으로 정보보호에만 투자하는 것은 상당히 과장된 측면이 있다고 볼 수 있다. 실제로 세계적인 경쟁력을 갖춘 글로벌 기업으로 광고하는 국내 기업의 경영진 대부분은 보안관리에 대한 기초적인 개념조차 모르는 경우가 많고 보안전문가라는 실무자는 자신의 제한된 업무나 지식이 기업 보안관리의 전부인 양 침소봉대하고 있지만 이에 대한 어떠한 비판이나 논의도 없다.

일반적으로 기업은 전체 보안 비용의 20%정도를 IT보안에 투자하고 있다. 그러나 이러한 투자가 기술 유출방지의 기여도에 따른 미국의 통계자료를 보면, IT를 이용한 기술유출은 전체 기술유출 경로의 6%에 불과하다는 것에서 알 수 있듯이 기술유출방지 측면에서의 효과는 매우 미미한 편이다.

우리나라의 경우도 국정원에서 발표한 자료에 의하면, 기술유출의 80~90%가 전곀痴?직원에 의한 물리적 반입출 시스템의 허점을 이용한 유출이었고 IT를 이용한 기술유출은 상대적으로 매우 드물었다. 이와 같이 IT보안(정보보호)에 대한 투자 효과는 보안보다는 사내 인트라넷의 시스템 가용성 문제로 인한 업무의 혼선을 방지하는 것과 같이 전산 데이터의 활용성 측면과 더 관련이 있다고 보는 것이 적절하다.

최근 이슈화되고 있는 기술유출 방지대책의 첫걸음은 기업환경의 변화에 따라 기업 보안정책을 수립하고 구체적인 프로세스를 수립하는 것에서 시작해야 한다.

조직의 안정성을 도모하는 전문가는 0과 1의 이진법적인 사고를 가진 온라인의 파수꾼인 IT보안실무자보다도 오히려 기술유출방지업무의 최고 보안전문가로 지칭되는 것이 타당할 것이다.

우리나라 대부분의 기업이 보안진단에 따른 보안의 필요성과 비용효과에 대한 분석 없이 방화벽이나 침입탐지시스템(IDS)과 같은 IT 보안 시스템에 대해 투자하는 것으로 모든 보안대책을 수립한 것처럼 착각한다. 왜냐하면 IT솔루션을 제공하는 업체에서 버젓이 ‘Total Security Solution’이라는 표현을 공공연히 사용하고 기업에는 이를 분석할 전문가가 없기 때문이다.

그러나 앞에서 언급한 것처럼 IT솔루션은 데이터의 기밀성 유지보다는 전산시스템의 안정적인 사용을 위해 필요한 것이라 보는 것이 타당하다. 실질적인 기술유출 경로의 10%도 채 안되는 분야의 보안대책을 ‘통합보안’이라고 칭하는 것은 침소봉대의 전형이다. 그렇다고 IT 솔루션이 불필요하다는 것은 아니지만 전체적인 기업 보안 정책을 먼저 수립하고 핵심요소의 하나로써 적절하게 작용할 때 의미가 있을 것이다.

이와 같은 문제점을 해결하기 위한 대책으로 다양한 분야의 산업보안 전문가를 양성하는 교육기관을 설립해서 지금까지 절름발이로 운영돼 온 보안산업과 교육프로그램을 균형 있게 발전시켜야 한다.

급변하는 21세기 세계 경제 속에서 살아남으려면 우리는 각자의 분야에서 자신의 영역의 전문성을 배양하고 조직전체의 안정성을 제고하는 전략적 사고를 가진 보안전문가를 양성해야 한다.

보안업무수행의 효과를 향상시키기 위한 방법에는 편리함에 상응하는 취약성이 있다는 것을 인정하는 것에서 출발해야 한다. 보안업무에서 기업활동의 편리성과 조직의 안전성 이라는 2가지 장점을 동시에 추구하기란 많은 경험과 전문성을 가진 보안실무자들도 쉽지 않은, 계속적인 노력이 뒷받침돼야 한다.

보안정책 프로그램의 효율적 가동 중요

기업보안의 핵심 업무는 기업 실정에 맞는 프로세스를 정립하고 적절한 업무처리 기법을 계속 유지하는 것 중요하므로 기업에 맞는 보안 인프라 구현에는 매우 다양한 방법이 시도돼야 한다.

첨단 기술을 도입하거나, 엄격한 정책과 절차를 적용하거나, 혹은 정책을 관리할 보안전문가를 배치할 수도 있다. 또 정보자산을 보호하고 보안에 강력한 기업 환경을 구현하기 위해서는 좋은 솔루션을 선택하는 것뿐만 아니라 각자의 기업에 어울리는 보안정책 프로그램을 만들어 효율적으로 가동하는 것도 중요하다. 현실은 어떠한가? 그렇다면, 정보유출을 막을 수 있는 대응방법을 아래와 같이 요약할 수 있다.

첫번째, 개별 기업들의 영업비밀보호 문제를 더 이상 각 기업들만의 몫으로만 여겨서는 안 될 것이다. 이는 국가의 지식재산의 유출을 막는 중대한 공익과도 관련된 문제이므로 이 부분에 대한 국가의 정책적 지원이 실질적으로 마련될 필요가 있다.

두번째는 영업비밀 침해사안에 있어서의 엄중한 법 집행의 필요성이다. 현행 부정경쟁방지 및 영업비밀보호에 관한 법률 중 이 부분과 관련된 처벌규정 등도 현실적 침해유형을 고려해 벌칙규정의 법정형을 상향 조정하는 등 형벌을 통한 일반예방효과를 높이는 것도 필요할 것이지만 최소한 현행 법률의 해석, 적용에 있어서 각 사안별 피해의 규모를 고려해 보다 엄중한 실질적인 양형과 형의 선고가 절실하다고 본다.

세번째로 기업 스스로의 보호노력과 인식의 전환이 필요하다.

단순히 취업규칙이나 직원과의 비밀유지서약서 등을 사전에 징수해 두는 것 정도로 기업의 영업비밀 유출방지를 위한 노력을 다했다는 안이한 인식에서 벗어날 필요가 있다. 부정경쟁방지법에 따라 영업비밀의 보호를 받기 위해서는 특히 비밀성과 경제적 유용성 외에 해당 비밀에 대한 관리가 무엇보다 중요하다.

기업의 영업비밀의 관리상태를 철저히 해야 할 것이고 이는 해당 정보의 통제, 관리에 대한 인적, 물적 관리의 구체적인 매뉴얼을 재정비하는 것에서부터 출발해야 할 것이라 생각된다. 마지막으로 영업비밀이 침해된 경우의 신속한 대응도 중요하다.

정보의 관점에서 기업의 경영 프로세서는 많은 정보 자산을 이용해 이를 매출로 연결시키는 행위의 반복이다. 기업의 경쟁력은 기업이 존립하는 한 반복되는 이 과정에서 피로감을 느끼지 않고 꾸준히 수행해 나가는 끈기에 있다고 하겠다.

<글 : 권도형 과장 롯데캐피탈 경영전략본부 IT전략 1팀>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>