• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기업보안이야기⑫] Investigation Security 2014.12.04

기업 내 부정 비리 관련 조사활동도 중요한 보안업무


[보안뉴스= 백봉원 ASIS International Korea Seoul 사무총장] Security 내 조사(Investigation) 업무는 크게 Special Investigation(사내 부정, 비리, 도난, 기밀 유출 등 조사 활동), Brand Protection(위조품, 유출품 취급업체 정보파악 및 단속활동), 디지털 포렌식(Digital Forensic: 용의자의 유전자나 지문, 휴대폰, PDA, 컴퓨터 하드디스크, 기업 회계자료 등의 데이터를 수집, 복원, 분석하는 조사활동) 등으로 나눌 수 있다. 기업보안이야기 12회에서는 Special Investigation과 Brand Protection에 대해서 이야기하고자 한다.

▲ Security 업무 중 가장 어려운 업무 중의 하나가 부정비리 관련 조사활동이다. 모든 임직원
   이 인지된 모든 부정행위(Wrongdoing)에 대해 보고할 수 있는 툴을 개발해야 한다.

Special Investigation

Security 업무 중 가장 어려운 업무 중의 하나가 부정 비리 관련 조사활동이다. 같은 직장 내에서 동료를 조사하는 것 자체가 쉬운 일이 아니기 때문이다.

부정비리는 그 성격과 유형에 따라 상하 직급과 부서를 가리지 않고 회사 전반적으로 발생한다. 그 중에서도 가장 안타까운 일은 직원들이 행한 일이 회사의 규율을 위반했는지 잘못된 일인지를 본인들이 모르는 경우다. 회사는 신입사원부터 관리자, 현장직원, 임원 등 전 직원에 대해 해당사항에 대해 정기적이고 지속적으로 교육을 할 수 있는 체계를 구축해야 한다.

모든 임직원이 인지된 모든 부정행위(Wrongdoing)에 대해 보고할 수 있는 툴을 개발해야 한다. 예를 들어 인터넷상의 On-line 보고 시스템 및 사내 인트라넷(Intranet)을 이용한 보고방식(투명경영신고센터-Security Web-site)을 개발한다든지 Toll-Free 전화신고제도, 전화 편지, Fax 등 모든 방법으로 보고될 수 있도록 하는 규정을 수립해 운영할 수도 있다.

기업이 이와 같은 윤리경영을 지향함으로써 자유시장경쟁체제의 강화를 위한 규제완화 및 행정절차의 투명성 확보, 윤리경영 기업에 대한 제도적 인센티브 제공 등 정부정책 준수에 따른 혜택을 얻게 된다. 또한, 회사의 대외신뢰도 이미지 제고로 브랜드 가치 향상과 윤리경영의 시스템화로 리스크 관리 능력을 향상시킬 수 있다는 것, 그리고 공정거래 자율준수 프로그램 도입으로 제재 수준을 경감할 수 있는 효과를 얻을 수 있는 것이다.


What to be Reported? 신고 되는 사항들(예)

- 회계 또는 감사 관련 제보사항

- 자재, 부품 또는 장비의 도난

- 현금 또는 기타 유동자산의 부당 유용(도난)

- 이해상충 관련사항(Conflict of interest issues)

- 부적절한 구매 협의

- 입찰 절차 변경

- 부적절한 대가의 취득

- 허위 warranty claims / 자재 보상

- 판매기록 조작

- 회사 자산유용(Expense Report 허위작성 포함)

- 재고실사를 통해 밝혀진 자재의 미확인 손실 또는 도난의 추정

- 상기 언급된 도난 및 사기 행위의 기도

- 기물 파손, 사보타주 포함 자재, 부품, 장비 및 기타회사 자산에 대한 고의적/악의 적인 파손 및 가해

- 위조 및 변조된 부품 및 액세서리의 발견 및 보고

- 컴퓨터 시스템 또는 커뮤니케이션 네트워크 무단 침입

*상기 항목 이외의 기타 모든 잠재적 불법 행위

회사 내 비리조사는 거의 대부분이 제보에 의해 실시된다. 제보의 방법은 우편, 전화, FAX 등 여러 방법이 있지만, 회사 내 인트라넷(Intranet)을 이용하게 하는 방법도 사용할 수 있다.

전에 근무했던 회사에서는 무기명 제보를 포함해 모든 내용을 조사했다. 무기명이다 보니 때로는 모함하는 경우도 있어 조사가 쉽지는 않았으나 절차를 수립해 체계적인 조사가 이루어지도록 했다.

접수된 내용은 법무팀 등 관련부서와 만들어진 극소수만이 참석하는 협의회에서 조사의 우선순위와 방법 등을 결정하고 조사를 실시하는 절차로 조사를 진행했다.

또한 사건의 내용은 자칫 외부로 알려질 경우 당사자는 물론 해당조직, 그리고 때로는 회사에 악영향을 끼칠 사안들도 있어 철저히 보안을 유지하면서 실시했으나, 참고인 인터뷰 과정에서 일부 내용이 빠져나가 곤혹스러운 경우도 발생했다.

고위직의 경우는 주로 Security Head가 직접 실시했으며, 성희롱 사건의 경우에는 성격을 고려해 Security 여직원이 직접 인터뷰를 하게 했다.

또한, 조사하는 사람이나 받는 사람 다 스트레스를 느끼지만 조사자의 경우보다는 조사받는 당사자의 경우는 결과에 따라 자신의 ‘운명’이 결정될 수 있어 더 많은 스트레스를 받게 된다. 따라서 Investigator는 인터뷰의 방법과 내용에 대하여 철저히 준비하고 인터뷰를 진행할 수 있어야 한다. 

이미 언급되었듯이, 같은 회사의 직원을 조사한다는 것은 매우 힘든 일이다. Security 업무가 어느 정도 안정이 되면 Investigation 업무의 비중이 높아져 Security가 상당히 힘이 있는 부서라고 생각되지만, 한편으로는 원활한 협조자로 보이는 타 부서(팀)로부터 ‘오만’한 것으로 치부되는 경우도 있었다.

또한, 조사를 실시하는 사람은 최대한 많은 것을 확인해야 업무의 성과를 얻을 수 있다는 생각으로 자칫 상대방이나 관련부서의 입장을 고려하지 않는 업무 진행으로 Security 조직이 동료나 협조자가 아닌 해코지 하는 조직으로 오해를 받는 경우도 발생할 수 있다.

Security 조직이 최고경영자 직속으로 편성하는 이유는 바로 Investigation 업무의 성격 때문이다. 때로는 조사 후, 보고하는 과정에 중간의 책임자가 사실을 은폐하거나 왜곡한다든지, 다른 목적으로 이용한다든지 하는 것을 예방하는 차원과 내용의 유출 차단을 이유로라도 최고경영자에게 직접 보고하는 조직체계를 구축해야 한다.

Security는 조사 및 보고 업무만 수행한다. 의견을 보고서에 넣을 수는 있으나 최고 경영자가 인사위원회 회부, 재조사 등의 결심을 하는 것이다. 때로는 능력 있는 직원이 안타까운 일로 회사를 그만두는 경우도 있다.

고의로 잘못된 일을 하는 직원은 당연히 처벌받아야 하겠지만 어떤 직원은 회사 내의 절차를 잘 모르고 실수한다든지, 또는 회사 규정과는 거리가 있는 보편화된 관행대로 비용을 지출하다가 책임지는 경우도 종종 있다. 이를 위해서 회사는 관련 규정을 재검토하고 직원들에게 잘 홍보하고 교육하는 시스템을 구축해야 한다.

Security 교육은 매우 중요하다. Security는 웹사이트 운영, 사내 인트라넷, 사보, 회보 또는 집합교육 등 다양한 방법의 교육매체를 활용해 직원들에게 정보를 제공할 수 있어야 하며 수시로 대화와 소통할 수 있도록 하는 시스템을 구축해야 한다. 또한, Security는 회사 직원뿐만 아니라 회사에 방문하는 방문객, 현장에서 같이 일하고 생활하는 비정규직 근로자에 대한 교육 또한 간과하지 말아야 한다.


Brand Protection: 부정위조품, 유출품 취급업체 정보파악 및 단속활동

Brand Protection(상표권 보호) 활동은 조사 업무와 위조품에 대한 진위 여부 판별 업무를 총칭하는 개념으로서 상표권을 침해하는 위조, 유출 등의 불법행위를 적발, 단속하여 잠재적인 회사의 이미지 실추, 판매 감소, 고객 신뢰도 저하 등을 예방하는데 주목적을 두고 있다. 위조제품은 국내뿐만 아니라 전 세계적으로 큰 이슈가 되고 있으며, 이에 대한 단속도 점점 강화되고 있는 추세다.

국내 자동차 A/S 부품시장의 경우, 각종 위조품이 20~30%를 잠식한 것으로 추정되고 있으며, 이와 같은 위조 부품은 회사 브랜드를 침해하는 것뿐만 아니라, 고객의 안전 또한 크게 위협하고 있는 불법행위다.

이러한 범죄행위는 근절되어야 하며, 이에 대한 적극적인 대응이 필요하다. 물론, 국가기관(검찰, 경찰, 국가정보원 등)에서도 국민의 생활을 위협하는 ‘위조품’을 단속하고 있으나, Man Power 상 한계가 있는 것이 현실이다.

따라서 각 기업은 Brand Protection 전담 부서를 별도로 운영해 회사의 이미지 실추, 고객 신뢰도 저하, 판매 감소, 각종 사고 예방에 노력해야 한다. 부품의 유출(Diversion)은 납품업체가 정상납품 품목 이외에 추가로 생산, 시중에 유출하는 제품을 말하는 것으로 기업 내의 손실 방지를 위해 단속을 해야 한다.

위조(Counterfeit)의 경우는 과거 국내에서도 활발하게 이루어졌지만 최근에는 거의 중국에서 제작하고 수출까지 이루어지는 형태로 관리해야 할 우선순위다. 특히, 몇 년 전에만 하더라도 제품 품질의 문제로 식별이 쉽게 가능해 단속이 용이했으나, 최근에는 원래 제품의 90% 수준까지 품질이 올라와 기업들의 상당부분 피해가 예상되고 있다.

제품 단속은 Security에서 단독으로 이루어지는 경우도 있지만, 회사 밖의 사건으로 Security에서 처리하기에는 한계가 있어 국정원, 경찰, 세관의 협조를 얻어 합동 단속으로 이루어지는 것이 바람직하다. 다만 사건이 기사화되거나 외부로 유출되어 회사 이미지가 훼손되지 않도록 충분한 협의를 거쳐야 할 것이다.


특히, Brand Protection 업무의 경우, 경영진에게 업무 성과를 Economic Impact(적발금액을 1년간 발생되는 금액으로 가정하여 계산한 금액) 부분으로 수치화해 보여줄 수 있어 다른 Security Project 추진 승인 시에 병행 보고하면서 업무를 수월하게 풀어가는 방법도 있다.


△ 위조품(Counterfeit) : 상표권자의 허가 없이 등록 상표를 무단 사용하여 제조한 상품으로 유출품(Diversion) 또한 고객을 속이기 위해 정상가에 판매하면 위조 행위에 해당


△ 유출품(Diversion) : 납품업자가 납품물량 외에 추가 이익을 목적으로 정품과 동일한 품목을 추가로 생산하여 판매 유출한 상품

위조품의 경우, 외관에 오타가 있거나 정품과 다른 서체를 사용하는 경우가 있거나 도색/코팅이 되어 있지 않고 무엇보다도 조립상태라든지 완성도가 떨어지고 외관, 색상, 모서리/표면 처리가 매끄럽지 못한 특징들이 있다. 또 포장재가 조잡하거나 인쇄상태가 불량하다는 것을 육안으로도 확인 가능하다.

위조품의 경우에는 Security에서 자체적으로 단속활동을 하는 것에는 한계가 있다. 물론 관계 업체, 대리점 등은 자체 조사활동이 가능할 수도 있으나 영장 등 법적인 문제를 고려한다면 국가정보원이나 경찰과의 합동 단속을 통해 진행하는 것이 업무 처리 측면에서 훨씬 효율적이다.

그러나 공권력을 가진 기관이라 하더라도 Brand 관련 업무에 경험이 많지 않아 때로는 단속에 있어 실수하는 경우도 적지 않아 합동 단속 시에 가급적이면 유사 업무 경험자와 함께 하는 것이 좋다.

한번은 김포에 있는 ‘B’상사를 경찰과 합동으로 단속하여 창고와 컨테이너(40피트)에서 Wheel Cover, Brake part, Fender liner 및 Cable 등 불법 위조 및 유출품으로 의심되는 품목을 발견했으나 영장 없이 현행범 체포를 시도했던 경찰은 업자의 강한 저항에 부딪쳐 결국 압수수색을 못하고 컨테이너를 봉인만 하고 철수했다. 다음날 경찰은 압수수색영장을 발부 받고 위법 부품을 확인하러 갔으나, 이미 물건은 봉인 상태가 뜯겨진 채로 사라진 상태였다.

단속을 위해 며칠을 합동 잠복하고 공을 들인 것이 물거품이 되는 순간이었고 결국 전날 발견된 몇 개의 부품만 확보하고 조사를 마무리한 경우였다. 계획된 단속이라면 반드시 충분한 협의를 거쳐 영장 등 사전준비에 만전을 기해야 한다.

또 Security에서는 내부 정보에 관심을 가져야 한다. 때로는 회사 내부와 연계된 직원이 있을 수도 있어 단속관련 정보가 유출될 수 있으므로 관련인 이외에는 정보 공유가 되지 않는 방안을 신중히 검토해야 한다.

경기도 소재 ‘E’업체의 경우는 Timing Belt를 회사의 상표 금형을 제작, 위조한다는 정보를 확보하고 경찰과 합동으로 단속을 실시했으나 깨끗한 상태로 치워져 있어 허탕을 친 경우도 있었다. 그날은 미국 본사에서 책임자까지 와서 단속을 시범(示範)한다는 차원이었으나 이미 업체에 단속 정보가 유출되어 망신만 당한 경우도 있었다.

때로는 긴급 상황으로 112를 출동시켜 단속하는 경우도 있으나 현행범이 아니면 단속의 성과를 얻기에는 한계가 있으므로 철저한 사전 계획을 수립해 단속을 실시하는 것을 원칙으로 해야 한다. 단속에 있어 무엇보다도 중요한 것은 정보의 확보와 공권 외부 기관과 지속적으로 파트너십을 유지하는 것이다.


Security 활동에 있어 Brand Protection 업무의 Key는 다음과 같다.

- 위조/유출 관련 지식 습득

- 업체 정보의 전문화 및 다각화

- 위조 업체에 대한 정보 확보 시 즉각적인 대응

- 관련 외부 기관(국가정보원, 검·경찰, 세관, 사법기관)과 Liaison 구축 및 유지

- 사내 유관부서(부품판매, 마케팅, 법무 등)와 유기적 협조 체제 구축

[글 _ 백 봉 원 ASIS International Korea Seoul 사무총장

(메일: jhpaik100@daum.net /카페 : http://cafe.naver.com/securitycso)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>