디맥이앤지 “기술보호 역량지원 사업 참여가 큰 도움”

보안전문가 통해 전반적인 보안실태 진단, 취약점 개선·교육 진행

[보안뉴스 김태형] 우리나라 중소기업의 기술보호 현실은 대기업에 비해 상당히 미흡하다. 특히, 핵심기술을 보유하고 있으면서 대기업과 협력하고 있는 중소기업의 경우 명확한 기술보호 가이드를 통해 회사 전반적인 보안정책을 수립 및 시행해야 기술유출 피해를 예방할 수 있지만 그 역량은 매우 부족한 실태라고 할 수 있다.

중소기업청에서 발표한 ‘2013년 중소기업 기술보호 역량 및 수준조사’ 결과에 따르면 국내 중소기업이 보유한 기술이 고도화됨에 따라 연평균 기술유출 피해액이 3.4%씩 증가하고 있다. 이처럼 기술유출 피해액이 증가하는 상황에서 중소기업들을 위한 기술보호 가이드가 시급한 상황이다. 이에 중소기업청은 ‘중소기업 기술보호 역량 무료진단 서비스’를 통해 중소기업들의 기술보안 역량 높이기에 나섰다.

이에 본지는 대기업 LG전자의 주요 협력사인 디맥이앤지의 기술보호 역량 무료진단 현장을 동행 취재했다. 디맥이앤지는 장비 제작 전문 업체로, 현재는 LCD, LED 검사 장비를 제작하고 있는 중소기업이다. 기술보호를 위해 중소기업청의 ‘중소기업 기술보호 역량 무료진단 서비스’를 신청해 기술보호를 위한 사전보안진단, 보안교육, 심화컨설팅을 받았다.

이번 디맥이앤지의 기술보호 역량 무료진단 상담·컨설팅을 진행한 김치홍 전문가는  “이 서비스는 중소기업청 기술보호통합포털(www.ultari.go.kr)을 통해 온라인으로 신청할 수 있다. 서비스 신청 시에는 원하는 상담 분야, 상담 제목, 희망 내용을 간략하게 기재하면 되며, 보안교육을 원하는 경우 희망 내용에 표기하면 된다”고 말했다.

이렇게 중소기업에서 기술보호 서비스를 신청하면 신청기업의 지역과 상담분야를 고려해 전문가를 배정하고 자동 문자안내 서비스를 통해 신청기업에 접수 사실과 해당 전문가에 대한 안내가 제공된다.

또한 그는 “상담분야는 보안진단, 보안기술, 법률상담, 신고·수사 등 4가지로, 보안진단 상담에서는 중소기업이 가지고 있는 보안장비, 보안시설 구축, 서버 등 정보화 기기에 대해 보안관리 요령을 컨설팅 받을 수 있다”면서 “보안기술 상담에서는 해킹 등 사이버 공격으로 인한 피해 복구와 대응에 대한 서비스를 지원받을 수 있으며, 법률상담에서는 기술유출 피해기업의 분쟁 대응과 소송 등에 관한 자문을 받을 수 있다. 마지막으로 신고·수사에서는 중소기업 기술유출 피해 발생 신고와 수사에 관한 지원이 가능하다”고 설명했다.

이러한 중소기업청의 서비스는 분야별 전문가가 서비스 신청 기업을 방문해 실질적이고 실현 가능한 보안역량 강화 방안을 무료로 제시하게 된다. 최대 6일간 진행되는 이 서비스는 사전보안 진단 및 보안교육이 2일간 무료로 제공되고 해당 기업이 심화컨설팅이 필요하다고 판단해 신청하면 4일간 심화교육이 진행된다. 단, 심화 컨설팅의 경우 비용의 65%는 중소기업청에서 지원하고, 나머지 35%는 해당 기업에서 유료로 부담한다.

김치홍 전문가는 “디맥이앤지의 기술보호 역량 무료진단 서비스 첫 번째 과정으로 사전 보안진단을 통해 몇 가지 미흡한 부분을 보완하도록 했다”면서 “우선 디맥이앤지는 핵심 자산을 보호하기 위해 몇 가지 보안장비를 설치·운영하고 있지만 제대로 된 보안규정과 보안조직을 갖추지 않고 있어 이를 정비해 주었다. 이와 함께 법적 구비요건이 부족한 부분에 관련법을 적용시켜 법으로 보호받을 수 있는 보안정책을 만들어 시행하도록 했다”고 말했다.

이에 디맥이앤지는 보안조직을 팀단위까지 구성하고 정·부 책임자를 임명해서 보안조직을 재설계했다. 또한, 경력자 채용시 영업비밀 침해 및 보안 서약서 징구에 관한 내용도 전문가의 지도를 통해 숙지했다.

예를 들면, 새로 채용된 경력자가 이전 회사에서의 영업비밀 침해 적용기간이 끝나지 않을 경우 타 부서에 배치했다가 영업비밀 침해 적용기간이 끝나면 관련 부서에서 업무를 하도록 하는 방법이나 전 회사에서 영업비밀을 1건도 가지고 나오지 않았다는 보안서약서를 받는 방법을 꼼꼼하게 알려주는 식이다.

김치홍 전문가는 “기업에서의 보안목적은 정보자산을 안전하게 보호하는데 있다. 그러나 중소기업에서 정보자산에 대한 분쟁이 발생했을 때, 해당 기술이 상대방의 기술이 아니라, 우리 회사의 기술이라는 것을 입증하는 것이 매우 중요하다”면서 “이를 위해서 상당한 노력이 필요한데, 그 방법으로는 임직원에 대해 영업비밀서약서를 연봉계약시에 징구하고, 회사 자산관리 목록 대장 관리, 임직원 보안교육 등을 통해 기술 유출을 예방하고 보호하는데 힘써야 한다”고 강조했다.

또한 그는 “회사 내의 여러 시설에도 공용구역, 일반구역, 제한구역, 통제구역 등으로 명확히 구분한 후, 철저한 출입통제를 위한 과학화 장비를 설치·운영하는 것이 기술을 보호하는데 중요한 역할을 할 수 있다”고 덧붙였다.

마지막 날에는 업무용 PC와 노트북, 서버, 네트워크, USB,이메일 등에 대한 기술적 보안관리 중심으로 위험분석을 통해 기존에 설치된 보안 시스템의 취약성을 도출해 보안틈새를 막는 방법과 추가 설치가 필요한 시스템에 대해서도 설명했다.

이와 관련 디맥이앤지 용석주 대표는 LG전자의 협력사이기 때문에 지적재산인 핵심기술을 비롯해 장비 설계도면, 그리고 관련 SW가 외부로 유출되지 않도록 해야 한다”면서 “보안장비 도입과 운영을 통해 정보유출 방지에 최선을 다하고 있다. 문제는 오프라인 도면에 대한 보안이 취약하다는 것이다. 우리와 같은 작은 중소기업에서 모든 보안 솔루션을 갖춘다는 것이 쉽지 않기 때문에 미흡한 부분이 있다”고 설명했다.

그러나 그는 “이번 기회를 통해 온·오프라인 문서에 대한 보안대책을 확실히 마련할 수 있었다. 이 뿐만 아니라 회사 전반적인 보안체계를 정립하고 실행할 수 있는 기회가 됐다”고 덧붙였다.

이에 대해 김치홍 전문가는 “디맥이앤지의 경우 고객사 보안규정은 잘 준수하고 있다. 하지만 사전보안진단 결과를 보면, 퇴직자 중 연 5%가 경쟁사 등으로 이동하는 것으로 나타나 기술보호 측면에서 안전할 수 없다는 것으로 판단해 심화컨설팅을 권유했다”면서 “이에 디맥이앤지는 결과적으로 퇴직자 보안관리체계를 갖추게 됐다. 이번 컨설팅을 통해 잘 되고 있는 부분은 자가진단을 통해 스스로 체크하도록 하고 부족한 부분은 지침·절차를 만들어 보안규정 및 정책을 체계화하도록 했다”고 설명했다.

용석주 대표는 정기적으로 LG전자로부터 보안진단을 통해 관리와 점검을 받고 있어서 보안의 중요성에 대해서는 이미 잘 알고 있었다. 하지만 보안을 체계화해서 업무 시스템에 어떻게 적용해야 하는지에 대해서는 미흡했던 게 사실이다. 용 대표는 “이번 중소기업청의 지원을 통해서 보안을 한층 더 강화할 수 있게 됐다. 이번 중기청 기술보호역량 지원사업은 우리와 같은 중소기업이 체계적인 보안을 갖추는 계기가 되어 매우 유익했다”고 말했다.

또한, 디맥이앤지는 중기청 기술보호 전문가로부터 회사 전반에 걸쳐 보안 실태를 진단 받아 취약점을 개선할 수 있었고, 임직원들에게도 보안교육을 통해 한 단계 높은 보안의식을 심어줄 수 있었다는 게 자체 평가다.

한편, 디맥이앤지의 고객사인 LG전자 정보보안팀 김재수 팀장도 중기청 지원사업이 진행되고 있는 현장을 방문해 전문가의 활동을 지켜본 후 “협력사의 보안역량을 강화하기 위해서는 중기청 지원사업이 큰 도움이 된다. 앞으로 이러한 지원사업에 더 많은 중소기업 협력사들을 참여시키고, 이를 바탕으로 협력사 보안을 한 단계 격상시키겠다”고 말했다.

또한 그는 “LG전자 협력사에 대한 보안진단을 매년 실시하고 있는데, 이와 같이 중소기업청에서 진행하는 중소기업의 기술보호 역량 무료 진단 프로그램에 참여하는  협력사(중소기업)에 대해서는 LG전자에서 매년 진행하는 협력사 보안진단에서 제외하는 방법도 검토하겠다”고 말했다.

이처럼 중소기업청의 기술보호 역량사업은 대기업에서도 관심을 갖고 함께 하고 있다는 점에서 중소기업들의 보안 강화 활동이 더욱 확대될 것으로 기대된다. 한편, 중소기업청은 올해 1,200개 사를 대상으로 이와 같은 기술보호 진단과 자문 서비스를 제공할 계획이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>