[보안뉴스 김정완] 작년 산업기술 유출 현황에 따르면 ┖전·현직 직원에 의한 기술유출┖에 이어 ┖협력업체 직원에 의한 기술유출┖이 다음으로 높게 나타났다. 이는 기술유출의 주체가 그동안 해당 기업의 내부자에서 협력업체로 확대되고 있음을 의미한다.

협력업체의 자의 또는 타의에 의해 모기업의 기밀에 대한 누설, 유출, 침해 등의 가능성이 높으므로 각별한 관리가 요구된다. 그러나 협력업체의 경우 경영여건 및 보안관리체계가 모기업에 비해 상대적으로 취약한 것이 사실.

그렇다고 이를 방관하고 있을 수 없다. 이에 김경선 한국산업기술보호협회(KAITS) 주임연구원을 만나 모기업과 협력업체의 상생협력 파트너십을 통한 기술유출 방지방안에 대해 들어봤다.

- 우선 협력업체에 의한 기술유출 현황에 대해?

국가정보원 산업기밀보호센터의 발표에 따르면 최근 5년(2006~2010) 간 산업기술의 해외 유출 사건은 총 189건에 이르고 있다. 이를 분야별로 분석해 보면 전기전자, 정밀기계, 정보통신 등 우리나라가 세계시장 점유율 상위제품을 차지하고 있는 분야에 집중되고 있으며 기술유출자의 신분은 대부분 전·현직 직원 등 내부자에 의해 이루어지고 있다.

특히 리스크 분산, 조직 슬림화 등 경영 효율성 추구와 비용절감 차원에서 아웃소싱이 증가하면서 협력·하청업체 임직원에 의한 기술유출이 증가하고 있어 각별한 주의가 요구된다.

아웃소싱은 기업의 생존을 위한 전략으로 기업 혁신을 가속화하고, 업무의 신속성과 전문성을 행상시키는 등 장점이 있다. 하지만 아웃소싱에 의존함으로써 회사 기밀 및 노하우가 협력업체로 누설될 염려가 있어 핵심기술을 상실할 수도 있다는 점을 고려해야 한다.

- 그러한 기술유출 트렌드가 시사하는 바가 있다면?

최근 경영 효율성 추구 차원에서 아웃소싱이 증가하면서 협력·하청업체 임직원에 의한 기술유출이 증가하고 있어 대책마련이 시급하다.

대기업의 경우 경쟁사에 대해 철저한 보안을 유지하고 있으므로 경쟁사가 비밀을 직접 취득하기에는 어려움이 있어 경쟁관계에 있는 회사의 협력업체를 통해 정보를 획득하기도 한다. 또한 상대적으로 우월한 지위를 이용해 협력업체에 정보를 요구하기도 하며, 협력업체가 신규 거래처 확보 및 거래 지속 등을 이유로 모기업의 정보를 불법적으로 활용하기도 한다.

이러한 핵심기술 유출로 인한 피해는 직접적인 금전적 피해뿐만 아니라 향후 후발주자가 기술격차를 줄임으로써 오는 간접 피해까지 감안한다면 그 피해는 막대할 것으로 추정된다. 또한 모기업의 피해에서 끝나는 것이 아니라 협력관계에 있던 다른 중소협력 업체에까지 그 파급효과가 미쳐 동반 피해가 예상된다.

따라서 동반피해를 막기 위해서는 모기업의 보안수준까지는 아니더라도 협력업체 역시 일정 수준의 보안의식 강화 및 보안역량 제고 조치가 필요하겠다.

- 모기업의 협력업체 보안관리 지원 사례를 든다면?

포스코의 경우, 거래관계에 있는 중소협력업체와 상생협력 차원으로 희망기업에 대해 인사노무, 기술관리, 정보보안 등 경영전반에 대한 맞춤형 경영컨설팅을 지원하고 있다. 협력업체 S사의 사례를 간략히 소개하면 S사의 여건 등을 고려해 ‘즉실천’을 포함한 단기 개선과제와 시간과 예산 투입 등이 필요한 프로젝트 중심의 중장기 과제를 구분해 선정·추진하기를 제안했고 S사는 이에 적극 호응했다.

현대자동차의 경우, 협력업체를 통한 보안사고를 막기 위해 협력업체의 보안수준 향상을 위한 다양한 프로그램을 지원하고 있다. 관련 기술지도 및 점검방법 등의 보안가이드를 제작해 협력업체에 배포하고 2006년부터 보안인증제를 도입·적용해 협력업체의 자율적 보안역량 강화를 유도하고 있다. 또한 도면 보안을 위해 표준 DRM 시스템을 개발해 협력업체까지 적용함으로써 기술유출 방지에 큰 효과를 보았고, 보안USB 시스템 및 기타 정보보호 시스템을 개발해 계열사까지 확대했다.

삼성전자는 협업 시 상호 정보보안 준수에 대한 계약 체결(NDA 등) 준수와 올바른 정보공유 범위와 대상 선정 및 사전에 정보의 보안성 검토를 하도록 하게 했으며 또한 정보 공유 시 관련 보안절차를 반드시 준수하도록 하고 협업 종료 시 공유자료 회수 및 폐기를 철저하게 하도록 했다.

LG전자는 특히 협력업체의 대표를 대상으로 약 1시간 동안 ‘협력사 정보보안 교육’ 과정을 운영하고 있으며 협력업체 및 특정업무 수행 인원 등 LG전자와 계약관계에 있는 모든 인원을 대상으로 비밀유지서약서를 작성·제출하도록 함으로써 법적 준거성을 유지하고 있다.

- 전사적 차원의 협력업체 지원체계는 어떻게 구축해야 하는가?

모기업은 전사적 차원에서 협력업체 관련 보안관리 규정을 제정·운영할 필요가 있다. 특히 기존의 단순하고 소극적인 규정에서 탈피해 협력업체의 보안관리 수준제고를 유도할 수 있는 적극적인 보안규정을 수립해야 한다.

또한 협력업체에 대한 보안관리 현황 평가를 정기적으로 실시해 규정수립 등에 반영해야 한다. 평가는 정기적으로 실시하고 협력업체의 보안관리 전반에 대한 체크리스트를 통해 평가하도록 해야 한다.

이 때 평가 결과는 등급을 나누어 최고 등급에는 모기업과의 거래시 인센티브를 부여하고 최하 등급시 패널티를 주는 등 협력업체의 보안관리 수준 제고에 대한 동기부여를 추진할 필요가 있겠다.

한편 일본에서는 외부 보안감사를 통해 기업의 보안 위험을 파악하고 문제에 신속히 대응하며 기업의 보안관리 수준을 파악하고 그에 맞는 대책을 세우고 있다. 이는 정보보안 향상에 단계적으로 대처하는 방안으로 기업에 부담을 주지 않으면서도 기업의 정보보안 수준을 단계적으로 향상하도록 유도하고 있는 만큼 우리 기업들이 이러한 좋은 예를 배울 수 있었으면 한다.

- 마지막으로 덧붙여 줄 말씀?

일부 대기업이 협력업체에 대해 보안관리 대책을 요구하는 사례가 증가하고 있는데, 이는 보안대책이 해당 기업의 문제에만 그치는 것이 아니라 기업간 거래에서 충족되어야할 필수불가결한 요소가 되었음을 의미한다.

협력업체는 모기업의 핵심기밀에 접근이 쉽고 업무과정에서 일부 정보를 공유·보관하게 되어 철저한 보안관리가 요구된다. 그러나 협력업체는 경영여건 및 보안관리체계제가 모기업에 비해 상대적으로 취약해 기술유출의 가능성이 높다.

이에 모기업 차원의 보안관리 지원을 통해 협력업체의 자율적인 보안관리 체제를 구축하도록 해야 한다. 또한 모기업과 협력업체간 상생협력적 파트너십 마인드를 형성해 기술유출 방지 및 보호의 효과를 높이도록 해야 한다. 물론 이를 위해서는 모기업, 협력업체, 정부(전문기관) 이 3개 주체의 유기적인 협력이 필요할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>