퇴직자 통한 기술유출 예방에 초점 맞춘 다양한 프로그램 마련 절실

[보안뉴스=신현구 한국산업기술보호협회 대외협력실장] 현대사회는 기업간, 국가간의 치열한 정보활동이 진행되고 있다. 정보활동에는 공격과 방어의 양면성이 내포되어 있지만 아무리 경쟁사나 경쟁국의 주요 정보를 얻는다 하더라도 자사 또는 자국이 갖고 있는 핵심정보를 유출한다면 ‘밑 빠진 독에 물 붓기’와 같이 개발한 기술이 곧바로 남의 것이 되는 현실이다.

더욱 안타까운 것은 우리 산업현장의 현실을 들여다보면 이렇게 ‘밑 빠진 독에 물 붓기’를 하는 기업이 많은 것으로 파악되고 있으나 자신들이 어떤 보안환경에 처해 있고, 어떤 기업비밀이 유출되고 있는지조차 관심도 없고 예방하려는 노력도 부족하다는 사실이다.

특히, 우리 산업의 근간을 이루고 있는 중소기업의 기술보호에 대한 관심과 노력은 미약하기 이를 데 없다. 정보전쟁의 시대, IT 인프라의 발전, SNS의 대중화 등의 용어가 무색할 지경이다.

국내 유수의 그룹계열사부터 정부출연 연구기관, 산학협력단 및 중소기업 등 우리 산업현장을 방문해 직접 확인한 결과 ‘밑 빠진 독에 물 붓기’와 같은 공통되는 보안현실에 직면해 있었다.

첫째, CEO나 임원이 규정을 먼저 무시하고, 본인만큼은 보안에서 예외를 요구한다.

윗물이 맑아야 아래 물이 맑은 법인데, 최고경영자의 입장에서는 보안은 귀찮은 것이고 부하직원만 잘 지키면 되며, 정작 본인은 규정 적용에 있어서 예외를 주장하거나 요구하고 있다.

각종의 보안 시스템에서 본인만큼은 시스템으로 방해받고 싶지 않은 나머지 Free-Pass 만을 요구하고 있어 보안책임자나 담당자 입장에서는 많은 애로를 겪고 있다. 더더욱 심각한 것은 최고경영자가 예외를 요구하면 바로 아래 직급인 임원 역시 업무편의(?)와 예우를 앞세워 동일한 권한을 요구하게 되면서 여타의 직원에게 보안체계 강화에 대한 불만만 증폭시키곤 한다.

정작 기업의 핵심정보는 직책이 높을수록 많이 보유하고 있음은 자명한 사실이다. 따라서 100% 지분을 갖고 있는 CEO일지라도 솔선수범해 보안규정을 준수한다면 여타의 임직원은 자연스럽게 호응할 수밖에 없다는 사실을 깨달아야 한다.  

둘째, 보안규정이 없거나 있더라도 임직원이 그 내용을 모르며, 심지어는 지켜지기 어려운 내용으로 가득 차 있다.

수도권에 있는 모 중소기업이 관련된 영업비밀 침해소송 법정에서 있었던 일이다. 보안규정과 서약서 등을 증거물로 제출하며 영업비밀 침해를 주장하는 원고에 대해 피고 측에서는 규정이 있는지도 몰랐고 더더욱 그 규정의 내용은 전혀 몰랐다고 주장했다.

법원에서는 당연히 임직원이 존재유무조차 모르고 그 내용의 숙지를 위해서 원고 측(기업)이 평소 노력을 하지 않았으므로 영업비밀 침해가 아니라며 피고가 승소하는 판결이 있었다. 아무리 훌륭한 규정을 제정했다 하더라도 임직원에게 반드시 그 내용을 숙지시키고 규정에서 정하는 대로 실행(교육, 서명, 관리자 선정, 시스템 접근제한, 감사 등)으로 옮겼어야 한다는 것으로 그렇지 못하고 제정으로만 그치면 이 또한 ‘밑 빠진 독에 물 붓기’가 아니겠는가?

또한, 기업규모나 수준을 감안하지 않고 대기업의 규정을 그대로 적용하려는 기업도 다수 발견된다. 이는 곧 초등생에게 3차원 방정식을 풀어보라는 것과 똑같다. 기업 수준에 걸맞게 실현가능한 규정부터 서서히 적용해야 한다.

셋째, 외부와의 인터넷망을 자유롭게 사용할 수 있고, 휴대폰 소지가 자유롭다.

일부 대기업을 제외한 대부분의 기업은 별도의 보안 솔루션 없이 인터넷을 자유자재로 누구나 언제든지 사용할 수 있고, 아무런 보안대책 없이 허용된 용량의 메일을 맘대로 주고받을 수 있는 환경에서 근무하고 있다.

특히, 스마트폰 소지자가 2천만 명을 넘어서고 있는 시대에 그 기능이 거의 PC수준인 스마트폰에 대한 보안대책은 대기업마저 우왕좌왕하며 그 해결책에 골치를 앓고 있는 실정이다. 인터넷망 하나만 자유롭게 이용할 수 있어도 웬만한 기업의 핵심정보는 실시간 유출되고 있다고 봐야 하는 상황에서 인터넷 망을 모두 열어놓고, 외부의 불순분자의 출입만을 막는 데에만 급급해 하고 있다.

넷째, 내부 임직원은 출입이 자유롭다.

경비원, 스피드 게이트, CCTV 등의 출입통제 시스템을 통하여 외부인에 대한 출입은 대부분 엄격히 통제하고 있으나 내부 임직원에 대한 통제는 취약한 게 현실이다.

특히, 핵심정보 유출은 90% 이상이 전현직을 포함한 내부 임직원과 협력업체 등 출입이 허용된 자에 의해서 이뤄지고 있는데 반해 우리 기업은 낯선 자에 대한 출입에만 과도한 투자를 하고 있다. 설사 내부 임직원이라 할지라도 핵심정보를 다루는 연구소, 설계실, 임원실 등의 부서의 출입은 직접적으로 관련이 있는 임직원을 제외하고는 통제해야 한다. 이는 곧 영업비밀보호법 제2조 영업비밀의 요건인 비공지성에 위배되기 때문이다.

다섯째, 출·퇴근 시 소지품 검색이 없다.

소지품 검색은 대기업도 잘 이행하지 못하고 있는 실정이다. X-Ray 검색기와 금속탐지기, 도난방지 시스템 등을 운영하고는 있으나 근본적으로 임직원을 대상으로  전수검사를 실시해 검색하는 기업은 거의 없다. 중소기업은 이런 고가의 장비를 설치하지 못하는 현실에서 소지품 검색은 엄두도 못내는 형편이다.

출퇴근 시간대의 출입구 대기행렬을 감안한다면 쉬운 일은 아니지만 근본적으로 ‘빈손출근 빈손퇴근’을 생활화해야 한다. 다만, 모든 임직원을 대상으로 한 소지품 검색은 현실적으로 불가능하다고 봤을 때 무작위로 소지품 검색을 시행함으로써 보안에 대한 경각심을 줄 필요는 있다.

여섯째, 보안교육을 받아본 적이 없거나, 보안담당자가 지정되어 있지 않다.

세계최고의 해커이자 아직까지 해커들의 우상으로 추앙(?)받고 있는 Kevin Mitnick도 가장 좋은 보안 솔루션은 임직원의 보안의식을 일깨워주는 ‘교육’이라고 강조했다. 아무리 좋은 보안 솔루션이라도 해당 솔루션을 무력화시키는 기술은 또다시 탄생할 것이므로 완벽한 솔루션은 존재할 수가 없는 법이다.

비록 단기간에 성과측정이 어려울 뿐더러 계량화 할 수는 없더라도 보안교육이야말로 아무리 강조해도 지나치지 않는 법이다. 효과적인 보안교육을 위해서라면 당연히 보안업무의 책임과 권한을 부여받은 보안담당자가 지정되어 지속적·반복적으로 이루어져야 한다.

일곱째, 보안감사를 받아본 적이 없다.

보안규정에 반드시 상세히 기술되어 있어야 할 내용으로써 보안업무는 정기적 또는 비정기적인 감사를 통하여 개인 대 개인, 부서 대 부서 간의 경쟁을 유발시키고 항상 임직원 모두가 감사를 의식하여 보안을 생활화하고 습관화하도록 유도해야 한다.

특히, 감사실적의 평가에 있어 징계를 위한 평가보다는 표창을 주기 위한 감사를 실시함으로써 임직원으로 하여금 자발적으로 동참하는 분위기 조성이 필요하다. 왜냐하면 징계를 통한 역효과보다는 표창을 통한 솔선수범을 유도하는 게 훨씬 낫기 때문이다.  

여덟째, 보안담당자가 보안을 모른다.

인사부서, 구매부서, 영업부서, 개발부서 등 대부분이 분야별 전문가로 전문성을 강조한 업무로 구분하고 있으나 아직까지 국내 기업에서 보안담당자는 마치 허드렛일, 부차적인 업무, 소모성 업무, 비생산적인 업무, 누구나 할 수 있는 업무로 판단한 나머지 대부분의 보안담당자가 한직(?)으로 평가받고 있다.

그러나 이제는 정보화시대에 걸 맞는 실력 있는 전문가, 인사전문가, 법률전문가, 리더십과 설득력이 있는 전문가, IT를 이해하는 전문가 등의 능력을 고루 갖춘 자만이 보안담당자의 자격이 있다고 할 수 있다. 아마추어 보안담당자의 시대는 끝났다. 그런 의미에서 정부에서는 산업기술유출방지법에 근거한 산업보안관리사 자격제도를 도입하고자 노력하고 있다.

아홉째, 이제까지 아무 일 없었고 지킬만한 비밀이 없다.

“이제까지 보안에 아무런 관심이 없었어도 순탄하게 기업목표는 잘 달성해 왔고, 아무런 보안투자를 안했어도 우리 기업비밀이 잘 유지되고 있고, 심지어는 특별히 우리 회사는 지킬만한 기술이 없는데 보안으로 번거롭게 하고, 보안에 왜 투자를 해야 하는가?”라고 생각하는 경우가 많다.

그러나 과연 이제까지 아무런 일이 없었을까? 이런 조직의 비밀은 이미 모두 남의 손에 가 있음을 잊어서는 안 된다. 과연 지킬만한 가치가 없는 걸까? 내가 가진 것이 얼마나 소중하고 값나가는 비밀인지 경쟁사 입장에서 생각해 보면 알게 된다. 기술정보뿐만 아니라 임직원정보, 영업정보, 경영정보 모두가 경쟁사에 있어서는 현재의 생존경쟁 상황에서는 더없이 소중한 정보일 것이다. 이제는 칼과 화살로 전쟁하는 아날로그 시대가 아니기 때문이다.

열 번째, 핵심인력으로 분류되었던 임직원이 퇴직을 해도 아무 대책이 없다.

현재 가장 큰 문제 중에 하나가 퇴직자의 기업비밀 침해다. 고용의 불안과 퇴직연령의 하향추세는 임직원이 장래 재취업의 불안에서 오는 대책으로 기업의 비밀을 사유화하려는 경향이 강하다.

이러한 문제를 해결하기 위해서는 과거 핵심인력으로 분류되었던 임직원이 퇴직할 때 재취업문제 등 퇴직 후의 대책을 수립·시행하는 프로그램을 연구소와 기업이 도입해야할 시기가 됐다. 이는 기업비밀 유출이 주로 퇴직자에 의해 이루어지고 있는 현실에서 가장 심도 있게 고려할 문제이다.

따라서 퇴직을 고려한 본인의 선택적인 재취업교육과 퇴직자가 개발했거나 알고 있는 정보를 활용할 수 있도록 하는 분사 정책 등 종합적인 대책이 절실하며, 이는 기업비밀보호 차원에서 도입되어야 할 전략이기도 하다.

이상과 같이 우리 기업의 대부분이 ‘밑 빠진 독에 물 붓기’를 하고 있는 현실에서 하루빨리 자사 기업 및 기관의 보안실태를 점검하고 대책을 강구해야 할 것으로 보인다.

[글_신 현 구 한국산업기술보호협회 대외협력실장(peter@kaits.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>