유출된 정보 가치 수량으로 계산하기는 곤란

브랜드화된 지적재산 가치는 반드시 보호해야

해외 선진 기업체에서도 고의에 의한 정보의 도난이나 유출은 실제로 매일 발생하고 있지만, 단지 그것이 포착되지 못하고 있기 때문에 그 심각성을 인식하지 못하고 있다. 최근 한 조사기관이 발표한 자료에 의하면, 미국 기업체 5개사 중에서 2개사에서 발생한 정보유출로 인한 피해 손실액은 연간 평균 60만 달러에서 210만 달러에 달하고 있는데, 이 같은 재정손실은 유형의 손실보다는 무형의 손실이 더 큰 것으로 나타났다. 국가의 안전 못지않게 이젠 기업보안이 새로운 화두로 떠오르고 있는 것이다.

오늘날과 같은 기업환경에서 각 기업들이 정보를 보호하기 위해서는 우선 정보의 가치와 리스크라는 측면을 현실적인 시각으로 살펴볼 필요가 있다. 그 이유는 정보의 외부유출 취약성에 대한 현실적인 접근만이 기업보안에 대한 인식을 제고할 수 있기 때문이다.

주의해야 할 기업보안의 종류

이를 위해서는 산업스파이나 정보의 유출, 기업보안의 종류 등에 대해 살펴볼 필요가 있다. 산업스파이는 경쟁사의 경쟁력 있는 장점들을 불법으로 염탐하는 행위를 말하며, 경쟁정보(Competitive Intelligence)란, 보다 경쟁력 우위를 확보하기 위해 주요한 정보를 수집하는 것을 말한다. 기업정보를 수집하는 방법은 크게 우의적인 정보수집과 비우의적인 정보수집으로 나누어지는데, 전자는 공개된 소스나 현실적으로 활용 가능한 정보, 공표됐거나 공유되는 정보, 경쟁사의 프로파일 등이 포함되는 반면에, 후자는 전형적으로 불법적이고 비윤리적이며, 고의적인 형태로 행해지는 것으로 테러리즘이나 위협, 산업스파이, 기업비리, 고객의 데이터베이스, 금융정보 등이 포함된다고 할 수 있다.

따라서 기업정보의 수집대상은 크게 White Zone, Gray Zone, Black Zone으로 나눌 수 있는데, White Zone(무해한 정보)은 도덕적이고 합법적인 것으로 공개된 소스 정보나 경쟁사 프로파일이 해당되며, Gray Zone(회색 정보)은 불법은 아니지만 비도덕적인 방법으로 간주되는 것으로 정보를 수집하기 위해 쓰레기통을 뒤지거나 위장하는 것을 말한다. 마지막으로 Black Zone(치명적인 정보)은 불법이자 비윤리적인 방법으로 기업체의 기밀정보, 불법으로 입수한 지적 재산 등이 포함된다.

해외 선진국의 정보유출 실태

그렇다면 이러한 정보들의 유출상태는 어느 정도로 심각할까? 국내의 경우 이와 관련해서 정확한 수치가 산출돼 발표된 사례가 없으므로 해외 선진국의 경우를 중심으로 살펴보자. 2002년 미국의 ASIS가 주요 기업체를 대상으로 조사한 자료에 의하면 응답 기업체의 약 40%가 지적재산 도용으로 인한 피해를 입은 것으로 나타났으며, 영국의 경우는 2002년 정보보호 위반실태에서 보듯이 2001년에는 조사 기업체의 44%가 적어도 한번 이상은 정보유출로 심각한 피해를 경험한 것으로 나타났고, 그 중 37%는 심각한 경제적인 위기를 겪은 것으로 조사됐다. 이 같은 수치는 전체 응답 기업체의 약 40% 또는 5개 업체중 2개 이상의 업체들이 산업스파이로 인한 정보유출 사고를 경험했음을 보여주고 있는 것이다.

정보 도용으로 인한 비용손실은 상상불허

기업체의 입장에서 볼 때 만약 그 회사가 살만한 가치가 있는 어떤 것을 판매하고 있다면, 분명 그 정보는 도용될 가능성이 있는 중요한 정보인 셈이다. 올 2월 Personal Computer World에서 발표한 자료에 의하면 피고용인의 경우, 약 70%가 전직을 할 경우 이전 회사의 기업비밀을 도용한 경험이 있다고 밝힌 바 있다.

정보가 외부로 유출되어 피해를 입은 기업체의 입장에서 볼 때, 손실을 수치화하거나 정량화하기란 매우 어렵다. 하지만 2002년 미국 ASIS의 조사자료에 의하면 2001년 한해동안 미국 기업체들의 지적재산 도용으로 인한 손실액은 연간 590억 달러에 달한 것으로 추정됐고, 이 가운데 지적재산권 도용을 포함해서 자국과 해외의 경제 스파이로 인한 손실액을 합하면 연간 3,000억 달러 이상인 것으로 추정되고 있으며, 2003년 12월 CSO가 발표한 자료에 의하면 미국 기업체들의 지적재산 도용으로 인한 피해액은 3,000억 달러에 달한 것으로 나타났다.

그러면 도난당한 컴퓨터에 저장된 데이터의 가치는 어느 정도나 될까? 한 가지 흥미로운 사실을 살펴보면, 2003년 BSI Computer Theft Survey의 자료에 따르면 도난당한 노트북 컴퓨터에 저장되어 있는 데이터의 가치는 평균 69만 759달러에 달한 것으로 추정됐으며, 또 2002년 ASIS가 발표한 자료에 따르면 컴퓨터에 저장된 데이터 손실액은 평균 30만 달러 이상에 달한 것으로 나타났다. 지난 2003년 기준 글로벌 경제범죄 조사에 따르면 과거 2년간 산업스파이로 인한 기업체들의 피해액은 1개 업체당 평균 420만 달러에 달한 것으로 드러나, 조사대상 업체의 5개 업체 중에서 2개 업체가 연간 적게는 60만 달러에서부터 많게는 210만 달러의 피해를 본 것으로 발표됐다.

美 기업체의 가치는 약 70%가 지적재산

최근 미 ASIS가 발표한 자료에 따르면 미국 기업체들의 가치는 약 70%가 지적재산으로부터 발생되는 것으로, 각 기업체들의 보호대상 중에서 기업비밀과 신상품 디자인이 주를 이루는 것으로 나타났다.

세계적인 음료업체인 C사를 살펴보면, 2003년 이 회사의 주식가격에 의한 총 가치는 1,230억 달러에 달했는데, 그 중 현금과 재산, 빌딩, 장비 등 물리적 보안을 통해서 시각적으로 보호되어야 할 자산액은 273억 달러인데 반해, 보안으로 보호되지 않는 지적재산이나 브랜드 파워 등은 그것의 약 3배가 넘는 966억 달러에 이르는 것으로 나타나 기업체들의 자산에 대한 정보보호가 시급한 것으로 조사됐다.

2000년에 접어들면서 발생한 해외 산업스파이 범죄와 관련한 사례를 몇 가지 살펴보면, 2003년 5월 세계적인 자동차 메이커인 미국의 G사가 자사의 기밀서류를 독일의 V사로 유출한 Jose Ignacio Lopez라는 사람을 기소한 사건이 발생했다. 이 사건으로 인해 V사는 현금 1억 달러를 배상하고, G사로부터 10억 달러의 부품을 구매하는 조건으로 일단락됐는데, 독일은 Lopez에게 죄를 경감하는 조건으로 22만 달러를 기부하게 했고, 미국은 Lopez를 산업스파이로 기소하고 스페인으로부터 추방할 것을 요구했다. 또 올해 2월 PC World Technology사가 발표한 사례에 따르면 윈도우 코드가 분실되는 바람에 B사의 주식가치가 5센트씩 떨어져 이 회사의 전체 자산가치는 53억 9,500만 달러의 손실을 초래하기도 했다.

또한, 2003년 6월 29일 USA Today가 보도한 자료에 따르면, 핸드셋 제조업체인 V사는 영상 PTT(Push-To-Talk)와 관련한 기밀유출로 경쟁사인 N사를 대상으로 소송을 했는데, 이 소송에서 V사는 N사가 부적합하게 기밀정보와 프로토타입의 핸드셋, 영업기밀정보를 취득했다고 주장해서 이 회사의 주식은 4.7센트가 하락, 전체 12억 9,200만 달러의 손실을 보기도 했다. 이 밖에 2003년 6월 보잉사의 한 매니저는 록히드 마틴사의 영업기밀을 훔쳤다는 혐의로 기소됐다. 록히드 마틴과 관련된 약 3,800페이지 분량 141건의 서류가 보잉사의 한 매니저의 사무실에서 발견된 것. 이 서류들은 양사와 연루된 위성발사와 관련된 계약자료로 전체 계약금액은 20억 달러에 달했으며, 이중 약 10억 달러를 록히드 마틴사에 양여하는 것으로 현재 록히드 마틴사는 보잉사를 상대로 소송을 제기해놓은 상태이다.

사소한 정보 하나라도 산업스파이에겐 표적

이 같은 사례를 통해서 얻을 수 있는 결론은 각 기업체가 보유하고 있는 어떤 정보든, 모든 정보는 스파이의 표적이 된다는 사실이다. 뿐만 아니라 이 같은 손실은 정보의 유출이 추적이 됐거나 확인이 되었을 경우에만 그나마 추정이 가능하며, 따라서 그 손실액은 빙산의 일각일 수 있다는 것이다. 다시 말해, 실제로는 그 보다 훨씬 심각한 사태를 초래할 수 있으며, 그것은 바로 기업의 존폐를 좌우하는 타격을 입힐 수 있다.

해외 선진업체의 산업스파이 사례를 통해 확인할 수 있는 사실은 기업체의 고의에 의한 정보의 도난이나 유출은 실제 매일 발생하고 있는데, 단지 그것을 포착하지 못할 뿐이라는 사실이다. 앞에서도 밝혔듯이 미국의 경우 5개 업체 중에서 2개 업체가 입고 있는 정보유출로 인한 피해 손실액은 연간 평균 60만 달러에서 210만 달러에 달하고 있는데, 이 같은 재정손실은 유형의 손실보다는 무형의 손실이 더 크다는 것을 극명하게 보여준다고 하겠다. 따라서 미국의 경우, 각 기업체들도 이 같은 리스크를 줄이기 위해서 적재적소의 보안예산을 확보해야 한다는 목소리가 점차 커지고 있는 상황이다. 

[권 준 기자(joon@infothe.com)]

  <저작권자 : 보안뉴스(www.boannews.com). 무단전재-재배포금지>