| 기업정보 유출은 ‘기업 생존의 문제’ | 2007.07.31 | ||||||||||||||||
기업정보 유출, ‘국부’가 샌다
조선 설계기술 유출로 1300억 원 피해, 와이브로 기술 해외 유출 적발로 15조 원 피해 모면, 현대·기아자동차 핵심기술 중국 유출로 22조 원 손실 추산… 국가정보원은 올해 1월부터 6월까지 기술유출 적발이 11건에 피해액만 총 37조 원에 달한다고 밝혔다. 하지만 기업들이 대외 이미지 실추를 우려해 외부에 공개하지 않은 게 더 많아 실제 피해 건수는 이보다 수배 내지 수십배 더 클 수도 있다는 게 전문가들의 지적이다. 한 마디로, 빙산의 일각만 보고도 호들갑을 떨고 있는 것이다. 기업정보의 유출은 한 기업의 생존과도 직결될 만큼 중차대한 사안이지만 더 나아가 ‘국부’의 유출로 이어질 수 있다는 점에서 그 심각성이 크다. 기업정보 유출 사례와 예방법, 기업정보 유출방지를 위한 각종 솔루션에 대해 알아본다.
대표적인 기술유출 사례와 대책 기업정보 유출은 기업 생존의 문제
유출 분야에 있어서는 반도체와 휴대폰 등 IT 분야가 70% 이상을 차지하고 있는 것으로 나타나 대비책이 필요한 것으로 나타나고 있다. 국정원이 밝힌 올해 6월까지의 자료에 의하면 올 1월부터 6월까지는 총 11건이 적발됐고, 피해액은 37조 원이 넘는 것으로 알려졌다. 하지만 알려진 것보다는 감춰진 것이 더 많아 빙산의 일각일 수 있다는 지적이 나오고 있다. 다행히도 올 4월부터 산업기밀유출방지법이 발효되어 시행되고 있는데, 얼마나 효과를 거둘 수 있을지는 미지수다. 지난 6월, 어느 신문에 실린 짤막한 단신 기사가 눈길을 끌었다. 경기지방경찰청 보안과는 회사의 핵심기술을 빼돌려 중국에 유출한 혐의로 40살 김 모 씨 등 두 명을 구속하고 이 모 씨 등 두 명을 불구속 입건했다. 경찰조사 결과 이들은 지난 2월 해고 통보를 받자 이에 불만을 품고 회사의 노래방 기계 제작 핵심 기술을 빼돌린 뒤 연구소 컴퓨터에 저장된 핵심자료를 모두 파손해 회사에 1000억 원의 피해를 입힌 혐의를 받고 있다. 노래방 기계를 개발하는 중소업체였던 이 회사는 지난 4월말 결국 도산했다. 정말 씁쓸한 뉴스가 아닐 수 없다. 과거 TV 뉴스에서나 볼 수 있었던 기술 유출 사건은 이제 자그마한 중소기업으로 확산되는 분위기다. 실제로 국정원을 비롯해 각종 기관에서 내놓고 있는 연구조사보고서는 기업의 정보유출이 얼마나 심각한지를 보여준다. 올해 발생한 대형 기술유출 사건들 ◆조선 설계도면 유출 : 가장 최근의 사건으로는 지난 7월 13일 조선 설계기술 유출 시도가 적발된 것. 세계에서도 내로라하는 조선 기술을 보유한 대우조선의 한 직원이 선박 69척의 설계 기술을 통째로 중국에 빼돌리려다 적발됐다. 이 설계 기술이 중국에 고스란히 넘어갈 경우 수조 원대의 피해를 입을 것으로 조선업계는 추산했다. 서울지검 형사5부(김현호 부장검사)는 지난해 2월 초, 대우조선의 기술기획팀장으로 근무하던 엄모(53)씨를 컨테이너선, 원유운반선 등 선박 69척의 제조기술을 자신의 컴퓨터 하드디스크에 저장해 빼돌린 혐의로 구속했다. 검찰에 따르면 엄씨는 대우조선에서 퇴사한 후 3월 경쟁회사의 부사장으로 입사했는데 빼돌린 자료는 15만장 분량의 선박 설계도면으로, 이로 인해 1300억원의 피해를 입은 것으로 추정됐다. 검찰은 엄씨가 입사한 업체가 최근 중국 칭다오에 조선소 건립을 추진 중인 것으로 드러나 중국으로의 기술 유출 여부도 장담할 수 없는 상황이라고 덧붙였다. ◆와이브로 기술 해외 유출 : 우리나라가 세계 최초로 개발한 모바일 원천 기술인 와이브로(WiBro) 기술도 해외로 유출될 뻔했다. 서울중앙지검 첨단범죄수사부(부장검사 이제영)는 와이브로 기술을 빼돌려 미국 통신회사 등에 팔려고 시도했던 포스데이타의 전현직 직원 7명을 적발해 4명을 구속했다. 와이브로는 모바일 기기에서 초고속 인터넷을 이용할 수 있게 해주는 핵심 통신기술로, 정보통신부와 ETRI 등이 주축이 되어 2004년부터 개발을 추진해온 국책사업인데, 삼성전자와 포스데이타가 각각 5000억 원과 900억 원을 투자해 개발을 진행, 2006년 세계 최초로 상용화에 성공한 바 있다. 이번에 검찰에 적발된 포스데이타 직원들은 회사 인사정책에 불만을 품고, 미국 캘리포니아주에 회사를 설립, 이메일과 CD를 이용해 기술을 유출한 후 이를 다시 미국의 통신회사에 1800억 원을 받고 판매하려고 한 혐의다. 검찰과 포스데이타는 이들 기술이 해외로 넘어갈 경우 수출에 막대한 지장을 초래해 약 15조 원의 피해가 발생했을 것으로 추산했다. ◆현대·기아자동차 자동차 핵심기술 중국에 유출 : 현대·기아자동차의 자동차 핵심기술 중국 유출 사건은 국내 최대 규모의 ‘산업스파이’ 적발 사례로 기록됐다. 국내 자동차 생산기술을 중국으로 불법 유출한 사례가 적발되기는 이번이 처음. 중국에서 국내 자동차와 거의 흡사한 짝퉁 자동차들이 생산되고 있는 것은 결코 우연이 아니었던 것. 수원지검 형사4부(부장검사 김호정)는 현대·기아자동차의 소음 및 안정성 등 핵심 차체 조립기술 등을 중국의 C 자동차에 팔아넘긴 혐의로 전·현직 직원 9명을 적발해 이중 5명을 구속기소했다. 검찰에 따르면 이들은 지난해 11월부터 최근까지 모두 9차례에 걸쳐 쏘렌토 승용차와 신차 등의 차체조립 기술 등 57개 영업비밀 자료를 이메일을 통해 전직 지원들이 운영하는 자동차 기술 컨설팅 업체인 A사에 넘긴 혐의다. A사는 이들로부터 넘겨받은 기술 중 차체 조립 관련 기술 9건을 중국 C사에 기술 이전해주는 대가로 2억3000여 만원을 받은 것으로 알려졌다. 또 현 직원 지모씨 등은 휴일의 출입절차도 무시한 채 A사 관계자들의 공장 견학을 눈감아준 것으로 조사됐다. 검찰은 A사가 중국내 다른 자동차 생산회사인 J사에도 기술이전을 시도했다고 전하면서 이번 기술유출로 한국과 중국의 자동차 생산기술 격차가 2010년 기준 3년에서 1.5년으로 줄어들 것으로 예상되고 2010년까지 3년 동안 예상 손실액이 22조3000억원에 달할 것으로 추산했다. ◆리니지 게임 소스 유출 피해 : 우리나라의 간판 게임인 ‘리니지’ 시리즈의 차기작인 ‘리니지3’의 핵심 기술도 일본 소프트뱅크 계열의 게임웹진인 포게이머(4gamer.net)로 유출돼 파문이 일었다. 이와 함께 공개되지 않았던 리니지2와 극비로 개발중인 ‘프로젝트M’의 핵심 소스도 외부로 빠져 나간 것으로 확인됐다. 서울지방경찰청에 따르면 엔씨소프트가 개발중인 온라인게임 리니지3의 기획문서를 일본 게임물 전문 출판사인 포게이머에 400억 원 투자 유치를 위한 교섭조건으로 제시, e메일로 4회에 걸쳐 유출한 혐의로 11명을 검거했다. 이번 사건에 연루된 피의자는 전 엔씨소프트 개발실장, 상무, 기획팀장 등 모두 임원급 인사들이다. 경찰은 이외에도 리니지2의 프로그램 소스 파일 5700여개를 유출해 타 게임 제작에 사용한 사실도 드러났으며, 게임 소스를 휴대용 저장매체에 저장해 타 게임사 취업과정에 이용하려고 한 관계자들도 모두 입건했다. 경찰 측은 국내 최대 게임사의 게임소스가 국내외에 유출된 최초의 사건이라면서 피해액은 1조 원에 달할 것으로 집계했다. 유출 형태별 산업기밀 유출 사례 ◆전·현직 종업원에 의한 유출 : 직원 30명에 연 매출이 40억 원에 달하는 인터넷 SW 개발업체인 A사의 경우다. 국책과제를 연구하고 있던 직원 두 명이 2주 간격으로 그만두었다. 개인적인 일이라고 여겼했는데, 핵심 개발자인 또다른 연구원 한명도 갑자기 어머님 병환을 이유로 사직서를 제출했다. 하지만 얼마 지나지 않아 정부 과제 선정시 경쟁업체의 책임자로 나와서 동일한 내용을 발표하는 것을 알게 됐다. 물론 결과는 경쟁업체가 과제를 수주했다. 이로 인해 A사는 10억 원에 달하는 연구과제에서 탈락했다. 하지만 아무런 증거가 없어 손을 쓸 수 없었다. ◆기업간 협력을 통한 유출 : 모터 드라이브 제조업체인 B사는 70명의 종업원에 연 매출 60억 원의 중견기업이다. 거래하던 기업으로부터 제품개발 의뢰가 들어와 시제품 제작을 마무리하고 양산 발주를 기다리고 있는데 아무리 기다려도 연락이 오지 않았다. 알고 보니 시제품 제작 완료 후 샘플과 도면을 그 회사에 넘겨준 것이 화근이었다. 그 기업은 넘겨준 도면을 바탕으로 중국에서 이미 제품을 양산하고 있었다. 이로 인해 B사는 전년 대비 매출이 30% 이상 급감했다. 또 양산 차질로 인해 생산직 근로자 20여명을 구조조정해야 했다. ◆기업간 전략적 제휴에 의한 유출 : 소프트웨어 개발업체인 C사는 직원은 몇 명 되지 않지만 독자적인 소프트웨어 개발 능력을 보유하고 있었다. 하지만 영업과 마케팅 능력이 부족해 같은 업종의 대형 기업과 전략적 제휴를 맺고 공동 판매를 하기로 했다. 이 대형기업은 공동 판매의 조건으로 소스코드 공개를 요구했다. 물론 매출이 급한 C사는 소스 코드를 공개했고 전략적 제휴가 끝난 1년 뒤 이 대형기업은 C사가 개발한 제품과 거의 비슷한 제품을 내놓았다. 기술을 도용한 것 아니냐는 항의도 소용이 없었다. 이로 인해 C사는 수십억 원의 피해를 입었다.
◆해외과학자·기술연수생에 의한 유출 : 반도체장비 제조업체인 D사는 연 매출 100억 원이 넘을 정도로 잘 알려진 기업이다. 문제는 기술훈련생이었다. 동남아시아 출신 기술훈련생을 여러 명 고용하고 있는 D사는 그 중 한명이 영어도 잘 하고 기술지식도 많아 연구소에 근무하게 해주었고, R&D 프로젝트에도 참여하게 했다. 그러는 사이에 그 기술훈련생은 회사의 핵심 기술을 외국에 경쟁업체에 넘겨주고 있었다. 이 사실을 나중에 알았고, 조치를 취하려고 했을 때 기술훈련생은 이미 출국해버린 뒤였다. 중소기업 유출피해, 갈수록 늘어나 이제 어느 기업도 기밀 정보의 유출에서 자유롭지 못하다. 그만큼 대기업뿐만 아니라 중소기업의 기술수준이 향상됐음을 의미한다. 특히 우리나라가 IT 강국으로 급부상하면서 한국기업을 겨냥해 기술유출을 시도하는 사례마저 적발되고 있다. 국정원에 따르면 중소기업의 기술유출이 전체의 65%를 차지하고 있을 정도다. 대기업은 DRM 등의 보안시스템을 구축하고 핵심기술의 블랙박스화 등을 추진하고 있지만 중소기업의 경우 전반적인 보안 인프라가 매우 취약한 형편이다. 중소기업청과 한국산업기술진흥협회가 부설연구소를 보유한 중소기업을 대상으로 실시한 ‘산업기밀관리 실태조사’ 결과를 7월 13일에 발표했다. 이 조사는 올해 3월 28일부터 5월 9일까지 부설연구소를 보유한 중소기업 1만2317개사를 모집단으로 유형별, 업종별, 매출액별로 분리해 추출한 1200개사를 표본으로 실시됐다. 이 조사에 따르면, 응답기업의 17.8%가 최근 3년간 산업기밀의 외부 유출로 인해 피해를 입은 것으로 나타났으며, 이중 52.6%는 2회 이상의 유출 피해를 경험했다. 기업 유형별로는 혁신형 중소기업의 기밀유출 비율이 18.7%로 일반 중소기업의 16.1%에 비해 높게 나타났다.
송재빈 중소기업청 기술경영혁신본부장은 “유출 피해를 입었다고 밝힌 17.8%의 기업은 빙산의 일각이다. 유출사실 조차 모르는 기업이 더 많을 것”이라고 강조하면서 “국정원, 과기부, 산자부 등 관계 기관과 협력해서 기술유출 방지 지원사업을 지속적으로 확대 지원할 계획”이라고 밝혔다. 주요 조사결과를 자세히 살펴보면, 우선 혁신형 중소기업의 기밀유출 비율이 18.7%로 일반 중소기업보다 높게 나타났는데, 벤처와 이노비즈 인증을 모두 획득한 기업의 19.4%가 기밀 유출로 피해를 입었으며, 벤처기업의 18.5%, 이노비즈 기업의 17.9%, 일반 중소기업의 16.1%가 기밀 유출 경험이 있는 것으로 나타났다. 업종별로는 기계 소재가 23.2%로 가장 높게 나타났으며, 화학섬유 19.6%, 건설업 19.5% 등의 기밀유출 비율이 높게 나타났다. 반면 전기전자 15.1%, 정보통신 14.8% 등 첨단산업의 경우 기밀유출 비율이 상대적으로 낮게 나타났다. 기술변화가 심한 첨단산업의 경우 기밀유출 방지를 위한 노력 또한 활발하게 추진하고 있기 때문에 유출이 상대적으로 적은 것으로 분석되고 있다.
산업기밀 유출경험이 있는 기업의 1인당 평균 피해금액은 ‘1억 이상 5억 미만’이 37.1%로 가장 높았으며, 1건당 10억 이상의 대규모 피해를 입었다는 기업도 13.6%로 높게 나타났다. 산업기밀 유출 관련자로는 퇴직사원이 62.9%로 가장 많았으며, 현직 사원(23.5%), 협력업체 직원(23.5%), 경쟁업체 직원(9.9%) 등이 기밀을 유출하는 것으로 나타났다.
산업기밀 유출 방법은 복사 및 절취(39.4%)와 핵심인력 스카우트(30.5%)가 대부분을 차지했으며 이는 퇴직자가 관련 기밀을 빼돌려 스카우트 기업에 넘기는 전형적인 형태라고 할 수 있다. 아울러 기밀유출 수법으로는 이메일(20.7%), 합작사업 및 공동연구(13.1%), 관계자 매수(13.1%), 시찰 및 견학(9.9%) 등으로 점차 다양화되고 있는 것으로 분석됐다.
산업기밀 유출 사고가 발생하는 원인으로는 보안관리와 감독체계 허술(24.8%), 임직원들의 보안의식 부족(23.5%)을 가장 큰 이유로 꼽았다. 그 다음으로 개인의 재산상 이익 추구(14.3%), 회사의 처우에 대한 불만(11.3%), 보안 비용에 대한 투자곤란(10.1%), 임직원들의 애사심 부족(10.1%) 등의 순으로 나타났다. 산업기밀 관리의 주요 애로사항은 무엇일까? 핵심인력 유출 위험성(29.8%)과 보안인프라 투자 곤란(23.8%)으로 나타났으며, 그 다음으로 임직원의 기밀보호 관심 부족(15.9%), 법적·제도적 장치 미흡(13.0%)에 애로를 느낀다고 응답했다. 산업기밀 보호를 위해 정부에서 어떤 지원을 원하느냐는 질문에 보안시스템 구축 지원(22.9%)이라고 가장 많이 답했다. 그 다음으로 보안투자에 대한 지원제도 확충(19.7%), 산업보안교육 확대(16.1%), 보안진단 및 마스터플랜 수립 지원(13.9%) 등이 필요하다고 응답했다. 이와 같은 조사 결과에 따라 중소기업청의 한 관계자는 “실제 유출이 일어난 지역을 현장 방문해 사례를 발굴하고 기술유출 방지 대응 매뉴얼을 개발, 보급할 것”이라면서 “온라인 산업보안 교육과정을 올해 하반기부터 개설하고 특히 중기청 R&D사업 참여기업은 의무적으로 이수토록 해 국가 R&D 사업의 보안관리를 강화할 계획이다. 또한 산업보안기술개발 결과를 활용해 내년부터 본격적으로 중소기업에게 보안시스템 구축을 지원할 계획”이라고 말했다. 국정원 “올해 6개월 동안 37조 원 피해” 국가정보원이 제공한 자료에 따르면, 올해 1월부터 최근까지 기술유출로 인한 사건 적발건수와 피해액은 총 11건에 37조3000억 원에 이른다. 신문과 방송 뉴스로 잘 알려진 포스데이타와 기아자동차, 그리고 중소업체 등이 주요 기술유출 업체였다. 국정원은 지난 2003년부터 기술유출 관련 통계를 내고 있는데, 현재까지 총 103건을 적발했다.
우선 분야별로는 전기전자가 52건으로 가장 많았고, 정보통신이 23건으로 다음을 이었다. 신분별로는 전직 직원 출신이 62건으로 가장 많았고 현직 27건의 순이었다. 유형별로는 연구원 매수가 73건으로 압도적으로 많았고 무단보관에 의한 유출이 10건이었다. 유출 동기는 개인영리 목적이 44건, 금전적 유혹이 31건, 처우불만이 14건이었다. 또 중소기업의 유출사건이 갈수록 늘고 있는데 2003년 2건이던 것이 지난해 20건으로 늘어났다.
국정원의 한 관계자는 “피해가 대기업은 물론 중소벤처로 확대되고 있고, 피해지역도 서울과 수도권에서 부산, 대전으로 점차 확산되는 분위기”라면서 “국정원도 대기업보다는 중소기업에 집중하고 있다. 대기업은 보안의 자생력이 생겼다고 판단해 이제는 중소기업 위주로 보안에 대한 지원을 강화하고 있다”고 전했다. 아울러 기밀유출의 피해를 막기 위해서 중요한 자료는 분류하고 비밀로 등급을 나눠 관리해야 하며 보안담당자가 반드시 지정되어야 한다고 강조했다. 보안시스템 보유, 어떻게 하고 있나 일반적으로 기업에서 보안시스템으로 도입하고 있는 것으로는 출입통제시스템과 PC보안시스템, 네트워크 보안시스템, 문서보안시스템 등이다. 출입통제시스템과 PC보안시스템을 보유한 비율이 네트워크 보안시스템과 문서보안시스템을 보유한 비율에 비해 상대적으로 높게 나타났다. 내부자에 의한 기밀유출의 원인은 주로 회사의 기밀 정보를 아무나 접근할 수 있는 무원칙적이고 무제한적인 접근권한 부여 때문이며 인증체계 역시 미흡하기 때문이다. 중소기업들의 경우 내부로부터 기밀 유출을 최소화할 수 있는 문서보안시스템 보유 기업의 비중이 8.4%로 매우 낮게 나타났다. 따라서 일반 문서 및 전자문서에 대한 외부로의 무단 유출 가능성을 최소화하기 위해서는 문서보안시스템의 도입이 절실히 요구되고 있다. 기업 유형별로는 정보통신 관련 중소기업이 출입통제시스템과 문서보안시스템을 일반 중소기업보다 많이 보유하고 있었고, PC보안시스템과 네트워크 보안시스템의 경우 일반 중소기업이 정보통신관련 중소기업보다 많이 보유하고 있는 것으로 나타났다. 시스템 투자비용으로는 조사대상 기업의 87%가 산업기밀 관리시스템 도입을 위해 5000만원 미만을 투자했고, 중소기업 대부분이 보안시스템 투자에 소극적인 것으로 조사됐다. 1억 원 이상 기업은 3.3%에 불과했다.
기업정보 유출 막기 위한 법률 정부는 부정경쟁방지 및 영업비밀보호에 관한 법률(이하 영업비밀보호법)과 산업기술유출방지 및 보호에 관한 법률(이하 산업기밀유출방지법)을 제정, 기업정보 유출을 막고 있다. 영업비밀이란, 공연히 알려져 있지 않고 독립된 경제적 가치를 가지는 것으로, 상당한 노력에 의해 비밀로 유지된 생산방법/판매방법 기타 영업활동에 유용한 기술상 또는 경영상의 정보를 말한다(부정경쟁방지 및 영업비밀보호에 관한 법률 제2조 제2호). 산업스파이를 처벌할 목적으로 2003년 12월부터 시행된 이 법에 의거해 부정한 이익을 얻거나 손해를 가할 목적으로 영업비밀을 취득해 사용하거나 제3자에게 누설하는 행위, 외국에서 사용하거나 외국에서 사용될 것임을 알고 제3자에게 누설하는 행위가 있을 시 5년 이하의 징역 또는 그 재산상 이득액의 2배 이상 10배 이하의 벌금에 처하도록 하고 있다. 영업비밀보호법의 처벌 규정이 모호하다는 단점을 보완하기 위해 신설, 제정된 산업기술유출방지법은 산업기술의 부정한 유출을 방지하고 산업기술을 보호함으로써 국내 산업의 경쟁력을 강화하고 국가의 안전보장과 국민경제의 발전을 도모할 목적으로 2004년 11월 이광재 의원 등 여야의원 34명이 공동 발의해 2006년 9월 국회 본회의 의결을 거쳐 올해 4월 28일부터 효력이 발생됐다. 산업기술유출방지법은 총 6장39조로 구성되어 있는데, 산업기술을 외국에서 사용하거나 사용하게 할 목적으로 유출하는 경우 7년 이하의 징역 또는 7억 원 이하의 벌금에 처할 수 있고 국내에서 사용할 목적으로 유출하는 경우에는 5년 이하의 징역 또는 5억 원 이하의 벌금에 처하도록 했다. 이와 관련해 임형진 산업자원부 산업기술정책팀 사무관은 “과거 상하이자동차의 쌍용자동차 인수를 통한 기술유출 사례 등이 문제가 돼 왔지만 방법이 없었다. 기업이 매각 등을 통해 기술을 수출하는 것에 대해서는 그동안 규제가 없었기 때문이다. 하지만 산업기술유출방지법이 제정되면서 합법적인 수출일지라도 국가 핵심기술에 대해서는 승인을 받도록 했다”고 설명했다. 그럼에도 불구하고 두 법안의 처벌 수위가 낮다면서 이를 강화하자는 목소리도 나오고 있다. 국회 국방위원회의 맹형규 의원은 산업기술 유출에 따른 막대한 국가·경제적 손실을 예방하기 위해 유출사범에 대한 형량을 현행 7년에서 10년으로 강화시키는 관련법 개정안을 대표 발의했다. 현재 산업기술 유출 사범에 대해서 영업비밀보호법은 ‘7년 이하의 징역 또는 재산상 이득액의 2배 이상 10배 이하 벌금’으로, 산업기술유출방지법은 ‘7년 이하의 징역 또는 7억원 이하의 벌금’으로 정하고 있으나 처벌 수위가 너무 낮다는 주장이다. 맹 의원 측은 “기술유출 사범에 대한 최고 형량이 7년에 불과해 실효성이 의문시된다”면서 엄중처벌을 해야 한다는 취지에서 개정안을 내놓게 됐다고 설명했다. 중소기업청의 산업보안기술 개발사업은 산업기술 유출을 막기 위한 노력의 일환으로 시행되고 있다. 올해의 경우 약 30억 원이 지원되는데, 총 37개 과제가 선정됐다. 보안장비 및 솔루션 개발능력과 원천기술을 보유한 중소기업을 대상으로 총 개발소요비용의 75% 이내 1억원 한도로 지원되는 이번 사업은 하드웨어가 20개, 소프트웨어가 17개 분야로 선정됐다. 하드웨어 과제는 방화벽, 침입방지시스템, VPN, 보안카메라, DVR 등이며, 소프트웨어 과제는 문서보안, DB보안, OS보안, 보안취약점 점검 개발 등이다.
해외에서는 기술유출 어떻게 막고 있나 ◆미국-경제스파이처벌법 등 적용 : 미국은 연방정부 차원에서 강력한 대응을 하고 있다. 해외 유출 가능성이 있는 기술에 대해 적극적으로 대처하기 위해 1996년 ‘경제스파이처벌법’을 제정했다. 외국기업 및 정부기관 등과 연계된 영업비밀의 유출행위인 경우 ‘산업스파이죄’를 적용하고 있다. 경제스파이처벌법에 따르면 산업스파이 행위를 연방 차원의 형사범죄로 규정, 연방 정부가 해당사건을 직접 수사할 수 있는 근거를 마련했다. 산업스파이죄는 개인의 경우 15년 이하 징역 또는 50만 달러 이하 벌금, 법인은 1000만 달러 이하의 벌금을 부과하도록 규정하고 있다. 미국은 또 국가안보와 직결된 기업의 인수합병을 막고 핵심 기술에 대해서는 수출을 최대한 통제하고 있다. 군수무기나 최첨단 군사기술은 막아놓고 있다. 1988년부터 ‘종합무역법 5021조’(통칭 엑슨플로리오법)에 따라 대통령이 미국의 국가안보를 위협할 것으로 판단되는 외국 업체의 기업인수를 막을 수 있도록 규정하고 있으며, ‘수출통제법령’을 통해 대테러, 생화학무기, 범죄통제, 미사일기술 등 12개 분야를 선정, 수출을 통제하고 있다. ◆일본-지적재산권 보호에 앞장 : 일본은 영업비밀을 포함한 지적재산의 보호를 국가의 생존문제로 파악, 기업의 지적재산권을 보호하기 위한 노력을 기울이고 있다. 일본 경제산업성은 2003년 기업들의 지적재산권을 보호하기 위해 ‘기술유출 방지지침’을 비롯해 지적재산 취득관리 지침, 영업비밀관리지침 등을 제정·시행하는 한편, 내각정보조사실(CIRO) 주도로 기업 및 경제단체와 유기적인 협조를 통해 산업기밀 보호활동을 수행하고 있다. 또 일본은 2005년에 부정경쟁방지법을 개정, 영업비밀의 국외사용과 공개 행위 및 퇴직자에 의한 영업비밀의 사용, 공개행위 처벌 등 법률을 대폭 강화했다. ◆중국-부정경쟁방지법 제정 : 중국은 2003년 국가안전법을 제정한 후 산업기밀 누설을 국가안전에 위해를 가하는 행위로 간주해 관계자 전원을 중형으로 처벌하고 있다. 또 부정경쟁방지법을 제정해놓고 있는데, 여기서는 공연히 알려져 있지 않고, 권리자의 경제적 이익을 위한 실용성이 있고, 권리자가 비밀보호 조치를 취한 기술상·경영상의 정보에 해당하는 것을 영업비밀로 규정, 영업비밀 침해시에는 감독·조사기관의 위법행위 정지명령이 가능하다. 또 1만 위안(약 120만원)에서 20만 위안(약 2400만원)까지 벌금을 부과할 수 있도록 했다. 중국은 이밖에 2000년에 ‘인터넷관련 기밀보호법’을 제정, 인터넷상에 게재되는 정보를 사전 검열, 첨단기술 또는 국가기밀을 유출한 사실이 적발될 경우 관련자를 중형으로 처벌하고 있다. 기술유출에 대한 인식 재고 필요 정부의 기술유출 방지를 위한 노력이 계속되고 있음에도 기술유출 사건은 해마다 증가추세에 있다. 그 이유는 무엇일까. 본지는 <보안뉴스> 웹사이트에서 7월 2일부터 7월14일까지 기술유출의 가장 큰 원인은 무엇인지 설문조사를 실시했다. 이 조사결과, ‘사내 보안 전담인력의 부족’ 때문이라는 답변이 26.17%로 가장 많았다. 그 다음으로 ‘직원들의 보안의식 부재’가 17.76%, ‘핵심인력의 이직’이 15.89%였다. 정보유출자에 대한 가벼운 처벌 때문이라는 답변도 14.02%이나 됐다.
이처럼 관련 법률의 강도는 점차 세어지고 있는데도 불구하고 기술유출시 처벌되는 경우가 거의 없다는 게 더 문제다. 대한상공회의소가 지난 2006년 10월 국내 400개 기업을 조사, 발표한 자료에 의하면 유출 피해 기업의 절반(47.6%) 가량이 기밀 유출 사실을 파악하고도 아무런 조치 없이 넘어가거나 자체징계(6.1%)에 그친 것으로 드러났다. 고소 또는 고발(26.2%), 손해배상 청구(9.8%), 수사기관 의뢰(7.3%) 등 적극적인 조치를 취한 기업은 43.9%였다.
대한상공회의소의 한 관계자는 “기업들이 자체적으로 기밀 유출자를 색출하기가 쉽지 않고 혹시 사건이 커지면 기업 이미지가 나빠질 것을 우려해 고소, 고발보다는 자체 해결을 원하기 때문”이라고 답했다. 중소기업기술정보진흥원의 중소기업 핵심기술 유출실태 조사 결과에서도 사내 보안관리 규정 위반시 경미한 조치에 그치고 있다는 사실을 알 수 있다. 구두상의 주의(39.3%)와 경고 등의 경징계(30.8%), 위반자 보안교육(13.1%) 등으로 끝나는 경우가 많았고 감봉 이상의 중징계는 9.1%에 불과했다. 게다가 아무런 조치가 없었다는 답변도 7.7%에 달했다.
기밀유출 재발을 막기 위한 사후대응도 매우 취약한 것으로 나타나고 있다. 유출 사건 이후 에 피해 기업들의 과반수 이상은 방화벽 구축 및 개선(9.4%)이나 보안부서 신설, 증원(4.7%) 등의 적극적인 대응책보다는 보안관리규정 강화(29.7%)나 문서, 장비 관리시스템 개선(26.6%) 등의 소극적인 대응으로 일관했다. 심지어 피해를 경험하고도 보안체계를 전혀 개선하지 않았다는 업체도 6.1%나 됐다. 기술유출을 예방하기 위한 대책 기술유출을 효율적으로 예방하기 위한 보안대책으로는 관리적, 물리적, 기술적 보안 등으로 구분된다. 국정원 산업기밀보호센터에서는 이와 같은 분야별 보안대책들을 제시하고 있다. 우선 관리적 보안에서는 내부인원, 외부인원, 중요자료에 보안으로 구분하고 있는데, 내부 인원의 경우 ▶채용/재직/퇴직시 단계별 구분해 적절한 보안대책을 강구하고 ▶직원을 채용할 때는 “재직중 취득한 회사기밀을 누설하는 경우 손해배상은 물론 민/형사상 책임을 지겠다”는 내용의 보안 서약서를 받고 보안에 대한 경각심을 주도록 하고 ▶재직중인 핵심인력에 대해서는 정기적으로 면담을 실시하고, 금전적 문제와 근무여건 등 제반 애로사항을 수시로 파악해 불만이 없도록 사전에 조치하고 ▶정기적으로 보안교육을 실시하는 한편 정기 도는 불시 보안점검을 실시해 경각심을 제고하고 ▶퇴직시에는 재직 중에 관리했던 연구/개발 및 영업비밀과 관련된 서류 등 일체를 반납하도록 하고 이를 확인한다. 외부인원은 업무상 정기적으로 출입하는 협력업체 직원은 최소한으로 제한하고, 출입지역도 일정한 한계를 두어 핵심시설에는 일체 접근하지 못하도록 엄격하게 통제할 것을 당부했다. 중요 자료의 보안에 있어서도 제품의 설계도나 소스코드와 같은 핵심 기술자료는 영업비밀로 분류하고 비인가자는 접근하지 못하도록 물리적/기술적 보안대책을 강구하며, 기술이전이나 하청계약 체결시 자료를 제공할 때에는 반드시 비밀 유지의무 조항을 포함시키고 이를 위반했을 경우 책임소재를 명시하는 것이 좋다고 말한다.
PC 보안관리 ·PC별로 사용자 및 관리책임자를 지정해 다음에 정한 보안대책을 강구한다. 1. 장비별/자료별/사용자별 비밀번호 사용 2. 10분 이상 PC를 사용하지 않을 때는 자동으로 화면보호 조치 3. 백신 및 PC용 침입차단시스템 운용 4. 업무와 연관하거나 보안에 취약한 프로그램의 사용 금지 ·PC별로 사용자 및 관리책임자를 지정하여 다음에 정한 보안대책을 강구한다. 1. 비인가자가 PC를 사용하지 못하도록 하기 위한 장비 접근용 비밀번호(1차) 2. PC사용자가 서버에 접속할 때 인가된 인원인지를 확인하는 사용자 인증 비밀번호(2차) 3. 해당 문서를 열람/수정 및 출력하기 위해 사용권한을 제한할 수 있는 자료별 비밀번호(3차) ·PC 비밀번호는 숫자와 문자 및 특수문자 등을 조합하여 8자리 이상으로 정하고 분기 1회 이상 주기적으로 변경하여 다음 사항을 고려하여 정한다. 1. 사용자계정(ID)과 동일한 것은 사용하지 말 것 2. 개인 신상자료 및 부서 명칭 등과 관계가 있는 것은 사용하지 말 것 3. 일반 사전에 등록된 단어는 사용을 피할 것 4. 같은 단어나 숫자를 반복(111 등)하여 사용하지 말 것 5. 이미 사용된 비밀번호는 다시 사용하지 말 것 6. 같은 비밀번호를 여러 사람이 같이 사용하지 말 것 7. 응용프로그램을 이용한 자동 비밀번호 입력기능은 사용하지 말 것 E-Mail 보안관리 ·외부 발송용 E-Mail은 크기를 일정 규모 이하로 제한하고, 초과할 경우에 해당 부서장의 승인을 받도록 조치한다. ·E-Mail을 이용한 내부자료 불법유출시 관리규정에 의한 처벌 내용을 수시로 교육한다. 해킹 방지를 위한 예방대책 ·윈도 사용자는 마이크로소프트사에서 제공하는 최신 보안패치를 모두 적용한다. ·전자우편은 발신인이 분명하지 않거나 수상한 첨부파일이 있는 것은 열지 않고 삭제한다. ·메신저 프로그램 사용시 메신저에 URL이나 파일이 첨부되어 있을 경우 메시지 발송자를 확인한 뒤에 실행한다. ·P2P 프로그램에서 파일을 내려받을 때에는 백신으로 검사한 후 실행한다. ·웹사이트 방문시 ‘보안경고’창이 나타날 때에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의한다. ·폴더는 가급적 공유하지 말고 부득이하게 공유하더라도 사용이 완료되면 해제한다. ·바이러스 백신은 항상 최신 버전의 엔진으로 업데이트하고 수시로 검사한다. [월간 정보보호21c 통권 제84호 김완선 기자(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||||||||||||||||
 |
