\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

[시큐리티월드 이태근] 최근 우리나라에서도 사회적으로 이슈가 되는 대형 보안 사고가 수차례 발생하고 있다. 인터파크에 이어 국방부도 해킹에 뚫렸으며 공공기관 내부 주요 문건들이 외부에 노출되고, 국내 유명 전자기기 대기업의 영업비밀이 유출되는 등의 사건이 발생했다. 사고의 대부분은 기술적인 이유보다는 관리적 소홀로 인한 것이었다.
\r\n
\r\n근무했던 회사의 주력제품과 신제품의 영업정보, 기술정보를 이동식 저장 매체로 가지고 나와 경쟁회사에 취업한 후 정보를 제공한 이유로 부정경쟁방지법상 영업비밀침해죄로 기소된 사건이 있었다. 법원은 1·2심에서 유죄 판결을 내렸으나 대법원은 유출된 자료가 영업비밀에 해당한다고 보기 어렵다는 이유로 파기 환송했다.
\r\n
\r\n①피해 회사가 해당 파일에 대해 보안 책임자를 지정하거나 별다른 보안장치 또는 보안관리 규정을 두지 않았고 ②대외비 또는 기밀 자료라는 특별한 표시를 하지도 않았으며 ③방화벽이 설치되지 않아 내부 네트워크망을 통해 연구원뿐만 아니라 생산직 사원들도 자유롭게 그 정보에 접근할 수 있어, 이 사건 파일이 상당한 노력에 의해 비밀로 관리됐다고 보기 어렵다는 것이 이유였다.
\r\n
\r\n결국 영업비밀에 해당하지 않으므로 비록 피고인이 영업비밀 준수 서약서 또는 보안 서약서를 작성했다 하더라도 영업비밀 침해에 해당하지 않는다는 것이 요지였다. 이 사건을 통해 기술적인 보안도 중요하나 중요자산 식별, 관리책임자 지정 및 정보보호 시스템을 통한 관리 등 관리적 보안이 중요함을 되새길 수 있다.
\r\n
\r\n최근에는 사물인터넷(IoT), 빅데이터, 인공지능(AI) 등 정보기술의 급속한 발전과 함께 기술적 위협도 빠르게 퍼지고 있어 사람이 이를 인지하고 기술적 보안을 도입한다 해도 신속한 대응을 하기 어려워지고 기업들이 최신 보안 위협에 대응하기 위한 신기술이 적용된 정보보호 시스템 구축에 드는 비용과 인력 투입에 대해 어려움을 토로하고 있어 이를 고려한 보안 대책이 필요한 실정이다. 기술적 보안에만 의존하기보다는 관리적 보안을 적절하게 수립해 조직의 구성원들이 ‘보안정책을 준수해야 한다’는 책임 의식을 생활화 하는 것이 기술적 위협에 노출되기 쉬운 구성원 각자의 취약점을 제거할 수 있는 가장 효율적인 방법이 될 수 있다.
\r\n
\r\n정보보호 시스템 구축을 위한 투자가 어려운 중소기업의 경우 영업비밀보호센터를 통해 ‘영업비밀 원본 증명 서비스’와 같은 공공 서비스를 활용하면 영업비밀 원본증명은 물론 기밀정보도 관리할 수 있어 기술적 보안에 투자되는 비용을 최소화할 수 있다. 이와 함께, 기밀정보취급 인력에 대한 교육, 기술적인 통제 및 이력 관리 등 중요 자산 관리 등에 대한 컨설팅 지원을 받아 관리적 보안 체계를 갖춘다면 적은 비용으로도 자산을 지킬 수 있다.
\r\n
\r\n성공적인 관리적 보안은 최고경영자의 적극적인 지원과 실천 의지가 필수다. 보안 정책 수립을 통해 경영진의 정보보호 의지가 직원과 공유됨은 물론 책임 또한 공유돼야 한다. 업무 프로세스 내의 일상적인 업무뿐만 아니라 보안 관리에 대한 책임도 체계적으로 유지되도록 하고, 인력의 변동 시에도 보안 책임이 인계될 수 있도록 프로세스를 관리해야 하며, 주기적인 보안 인식 교육과 관리·감독을 통해 보안에 허점이 있는지를 지속적으로 점검해 위험 발생을 최소화해야 한다.
\r\n
\r\n보안 사고를 방지하기 위한 기술적 보안 투자도 중요하지만 이를 관리하지 않으면 보안 시스템은 고철 덩어리일 뿐이다. 반면에 관리적 보안은 기술적 보안보다 복잡하지 않고 쉽게 실천할 수 있으며, 적은 비용으로도 조직의 중요 자산에 대한 보안 취약성을 제거해 안전한 보안 환경을 만들어 갈 수 있다.
\r\n[글 이태근 한국특허정보원장(rheetk37@kipi.or.kr)]
\r\n
\r\n[월간 시큐리티월드 2017년 3월호 통권 242호(sw@infothe.com)]