우리나라 기술경쟁력, 어떻게 지켜야 하나 

지금까지 40개 국가핵심기술이 공식 확정되기까지의 과정과 7개 분야별 핵심기술의 세부 내용, 그리고 이에 대한 정부부처 및 각 분야 주요 업계의 동향에 대해 알아봤다. Part 3에서는 마지막 순서로 국가핵심기술을 보유한 기업이나 대학, 연구기관 등이 취해야 할 보호조치에 대해 보다 구체적으로 살펴보자.

산업기술유출방지법에 따라 제정된 시행령 제14조에는 국가핵심기술을 보유·관리하고 있는 대상기관은 법 제10조 제2항에 따라 총 6가지의 보호조치를 취해야 한다고 명시돼 있다. 이를 위해 관련기관이나 기업들이 우선적으로 수행해야 할 과제들을 보호조치 내용을 하나씩 짚어보면서 진단해보기로 한다. 

 

1. 국가핵심기술에 대한 보호 등급의 부여와 보안관리 규정의 제정

국가핵심기술을 보유·관리하고 있는 기업·기관이 핵심기술에 대한 보호 등급을 부여하고 보안관리 규정을 제정하기 위해서는 가장 먼저 대상기관 스스로 산업기술보호를 위한 체계가 어느 정도 수준인지 파악하는 일이 선행돼야 한다. 참고로 산업자원부에서 작성한 ‘산업기술 보호지침’에는 산업기술 보호수준을 자가 진단할 수 있는 자가진단표를 제시했다. 여기에는 보유 자산의 통제 및 분류, 산업기술의 유출방지 및 보호 세부규정, 산업기술의 유출방지 및 보호조직의 구성, 인력의 관리, 침입방지, 정보 시스템 관리, 사고의 대응 및 복구, 산업기술의 유출방지 및 보호문화 정착 등 총 8개 영역으로 구성돼 있어 이 자가진단표를 통해 대상기관 수준에 맞는 보호조치를 수립할 수 있도록 한 것이다. 

그 다음에 국가핵심기술을 비롯한 대상기관이 보유하고 있는 모든 자산의 중요도 및 위험도를 평가하면 정량적 수치로 그 결과를 얻어낼 수 있게 된다. 이를 바탕으로 보호 등급을 부여하고, 앞서 언급한 8개 영역을 포함시켜 보안관리 규정을 제정하면 된다. 

2. 국가핵심기술 관리책임자와 보호구역의 지정

두 번째 보호조치는 바로 국가핵심기술을 체계적으로 관리·보호할 수 있는 조직체계를 갖추고, 관리책임자를 임명함으로써 책임소재를 명확히 해야 한다는 점이다. 이를 위해서 대상기관은 국가핵심기술 보호조직의 부서, 책임자의 직위, 인력구성, 업무관계, 업무절차, 업무방법 등에 대한 역할 및 책임을 보안관리 규정에 반드시 명시해야 한다. 단, 조직을 구성하기 어려운 작은 규모의 대상기관은 산업기술의 유출방지 및 보호조직의 업무내용을 알고 있는 담당자로 하여금 그 업무를 수행토록 해야 한다.

또한, 장소별로 중요도를 차등화해 보호구역을 지정하고, 가장 높은 보안 수준이 요구되는 국가핵심기술관련 보호구역에 대해서는 출입통제 시스템을 비롯해 CCTV 시스템, 도·감청 방지 시스템 등의 보안 시스템을 구축해야 한다.

3. 국가핵심기술 보호구역의 통신시설과 통신수단에 대한 보안

특히, 국가핵심기술 보호구역의 경우 연구원들의 회의나 업무보고 등에 대한 도·감청을 통해 기술이 유출될 가능성을 차단하기 위해 통신보안을 강조한 조치사항이다. 이러한 보호구역의 경우 특히, 유리창으로 전해지는 소리의 진동을 증폭해 도청하거나 전화 감청을 시도할 우려가 있기 때문에 이를 탐지 및 방지하는 전자파탐지장치와 도청방지 유리 등을 설치할 필요가 있다. 

4. 국가핵심기술 관련 정보의 처리 과정과 결과에 관한 자료의 보호

이 조치는 정보를 수집·처리하는 PC나 서버 등에 대한 보안대책과 문서관리 및 자료폐기에 관한 것으로, 대상기관에서 사용하는 데스크톱, 노트북 등 PC에 대해서는 산업기술 관련문서는 평문 조회가 불가능하도록 암호화해 데이터베이스에 저장하는 등의 보호대책을 마련하고, 이메일의 경우에는 외부 발송시 e-mail 크기를 일정규모 이하로 제한하며 이를 초과할 경우에는 해당 부서장의 승인을 받도록 하는 등의 별도의 보호조치를 마련해 이를 직원들에게 숙지시켜야 한다. 특히, 최근 기술유출의 주요 경로로 주목받고 있는 USB 등 보조기억장치에 대해서도 별도의 지침을 마련하는 것이 바람직하다.

또한, 산업기술을 저장했던 장비는 그 사용연한이 다했다 하더라도 일반폐기물과 동일하게 처리해서는 안 되고, 해당 장비에 대한 폐기절차가 마련돼야 한다. 

5. 국가핵심기술의 연구개발 인력에 대한 보안교육 실시

국가핵심기술과 관련 있는 연구개발 인력에 대한 보안교육은 입사 시부터 퇴사 시까지 지속적으로 이루어져야 하는 매우 중요한 기술유출방지 수단이다. 이러한 보안교육의 시행여부에 따라 기술유출 및 침해의 빈도와 강도를 현저히 낮출 수 있고, 법적 증거로도 활용할 수 있다. 이러한 보안교육에는 자체교육과 외부교육이 있는데, 이 두 가지 교육을 적절히 병행해야 하며, 1년 단위로 일정이나 내용에 대한 계획을 수립해 이를 사전에 연구개발 인력에게 고지하는 일도 중요하다.  

6. 국가핵심기술의 유출사고에 대한 대응체제 구축

국가핵심기술 보유·관리 대상기관은 ‘산업기술의 유출 및 침해사고가 발생할 우려가 있거나 발생했을 경우 해야 하는 일이 무엇인가?’라는 질문에 명확한 답을 할 수 있어야 산업기술의 유출 및 침해사고에 적절히 대처할 수 있다. 이 때문에 기술유출 방지를 위한 사전예방 대책 못지않게 사후대응체제 구축에도 힘을 쏟아야 한다.

만약 기술유출사고가 발생했을 경우에는 사전에 마련된 대응체제에 따라 신속하게 일을 처리해야만 혼란을 막고 피해를 최소화할 수 있기 때문이다. 이를 위해서는 우선 침해사실 신고가 선행돼야 하며, 신고자는 신변보호를 요청할 수 있다. 무엇보다 효과적인 대응체제를 구축하기 위해서는 과거 사고사례 분석을 통해 개선점을 찾는 일이 이루어져야 한다.

[월간 시큐리티월드 통권 제129호 권 준 기자(info@boannews.com)]

           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>