국내 산업보안, 내부통제 절실하다

최근 잇따른 굵직한 해킹사건으로 인해, 보안현장 움직임은 외부의 침입으로부터 기업을 안전하게 지키려는 데 이목이 쏠려있다. 방화벽, APT분석 툴 등 다양한 보안솔루션이 새롭게 주목받으며 기업의 보안수준을 한 단계 높이는 계기가 됐다.
그러나 국정원 산하 산업기밀보호센터에 따르면 국내 첨단 기술 중 전/현직 직원들에 의한 유출이 80%에 이르는 것으로 나타났다. 실제 기업이 신경을 써야하는 내부정보 통제는 방치한 채 외부에만 신경을 쓰는 것이 아니냐는 우려의 목소리가 나오고 있다. 이번 호에서는 국내산업기술 유출현황을 살펴보고, 산업기술 유출 방지를 위한 예방책을 소개한다.

양광수 ksyang@ciociso.com

2003년 10월 설립된 국정원 산하 산업기밀보호센터는 2005년부터 2012년까지 국내에서 발생한 총 294건의 산업스파이 사건을 분석했다. 이 중 202건을 분석한 결과를 보면, 기술 유출 분야는 전기전자 부문이 34%(68건)로 가장 많았다. 이어 정밀기계 31%(62건), 정보통신 15%, 정밀화학 8%, 생명공학 4% 등이 뒤를 이었다. 전기전자와 정보통신 분야를 합치면 65%에 이른다. 과거 전기전자 부문이 42%, 정밀기계 20%로 전기전자 부문이 앞도적인 비중을 차지하던 것에 비해 정밀기계, 생명공학 등 산업전반으로 확산되고 있는 추세다.
기술 유출 문제의 심각성 때문에 정부는 2007년 4월 산업기술유출방지법을 새로 제정했다. 산업기술의 불법 해외유출이 심각한 수준에 있으나 이에 따른 처벌대상이 민간 기업비밀 누설의 경우로 한정돼있고, 각종 법률에 산재해 있는 관련 규정으로는 산업기술유출 방지 및 근절에 큰 효과를 내지 못한다는 지적에 따른 것이다. 하지만 관련 법률을 새로 제정했음에도 불구하고 산업기밀 유출사고는 줄어들지 않고 있다.
산업기밀보호센터에 따르면 산업기밀 사건은 2005년 29건, 2006년 31건, 2007년 32건, 2008년 42건, 2009년 42건으로 꾸준히 증가했다. 2011년 46건을 정점으로 2012년에만 30건으로 줄었지만, 경찰청 산업기술 유출 사건 검거실적을 따르면 산업기술유출은 점차 증가하는 추세이다.
이마저도 최근 이메일, USB같은 저장매체의 다양화로 피해 사실을 알기 어려워, 발표된 피해규모가 빙산의 일각이라는 지적도 있다. 또한 협력업체나 인수합병에 의한 기술유출도 점차 증가추세이다. 피해규모에 대한 산출기준과 근거에 대한 여러 이론이 있어 공식적인 피해 금액 발표는 없지만, 업계는 연간 100조 원 규모로 추산하고 있다.
이는 2013년도 우리나라 국가예산(242조 원)의 4할에 육박한다.

▲ “고객을 대상으로 운용하는 기업에서 개인정보가 유출된다는 것은 기업의 근본적인 신뢰를 잃게 한다. CJ오쇼핑은 고객정보를 안전하게 보호하기 위해 보안안전부서를 설치하고 흩어져 있는 보안업무를 한 곳에 모으려는 노력을 하고 있다” 김흥수 CJ오쇼핑 정보전략팀 팀장

담벼락만 높여놓고 대문은 열어 놓은 기업보안

실제로 최근 이어진 3.20사태, 6.25대란으로 인해 각 계의 보안현장의 목소리는 외부의 침입을 방어하는 것에만 집중돼 있다. 실제로 최근 들어 방화벽, APT분석, DDos방지 등 대다수의 보안솔루션을 보면 기업이 외부의 침입을 경계하는 데 초점이 맞춰져 있다는 것을 알 수 있다.
그러나 산업기밀보호센터에서 발표한 자료에 따르면 기술유출 주체는 전직직원 60%, 현직 20% 등으로 나타났다.
실제로 한국산업기술보호협회에 따르면 G사 승용차 개발기술유출 사건은 전 연구원이 중국을 상대로 유출을 시도했으며, S사 휴대전화 고화질 카메라 기술은 개발팀장 외 2명이 일본으로 유출을 시도하다가 적발됐다. 상황이 이렇다보니 정부는 기술 유출 문제의 심각성을 파악하고, 2007년 4월부터 산업기술유출방지법을 새로 재정했다. 그러나 법률이 새로 제정했음에도 불구하고 산업기밀 유출사고는 여전히 줄어들지 않고 있다.

업계에서는 우스갯소리로 ‘가장 효과적인 연구개발은 이미 개발이 끝난 연구 성과물을 가져오는 것’이라고 말할 정도다. 기밀을 보호하는 데 있어 국내 기업의 보안관리 수준이 부실하다는 것을 알 수 있는 대목이다. 더욱이 일부 대기업·중견기업의 경우를 제외하고, 중요 핵심정보의 접근이 손쉽고, 유출도 쉬워 산업 유출 피해를 키우고 있다. 업계에서는 외부자를 막는 수많은 최신 보안시스템을 회피하며, 흔적도 없이 핵심정보를 캐낼 수 있는 해커는 전 세계적으로 많지 않을 것이라고 말한다. 반면 기업 내부자는 손쉽게 핵심정보를 유출할 수 있는데, 굳이 해킹을 통해 핵심 정보를 빼낼 이유가 없다고 말할 정도이다.
운송업계의 한 IT 기획팀장은 “IT 업무의 특성상 IT 보안 업무가 증가한다고 해서 별도의 예산이 책정되는 것은 아니다”며 “기존의 IT 예산을 쪼개고, 쪼개서 IT 보안 예산을 늘린다는 것인데 늘린다는 것인데, 기업에게 당장 필요한 내부통제에 대한 보안이 우선돼야 한다”고 주장했다.
더욱이 최근의 내부정보 유출은 기업의 핵심기밀에 국한되는 것이 아니라, 영업방법, 유통정보, 기업에 가입돼 있는 회원정보까지 영역이 넓어지고 있다. 이 같은 기업정보는 핵심기밀에 준해 기업에서 관리되고 있다. 게다가 최근 이어진 회원정보 유출로 이런 경향은 뚜렷하게 증가하고 있다.
김흥수 CJ오쇼핑 정보전략팀 팀장은 “기본적으로 고객을 대상으로 운용되는 기업은 경영정보같은 기밀문서도 중요하지만, 무엇보다 개인정보가 무엇보다 중요하다”며 “개인정보가 내부에서 유출될 경우 기업 자체의 근본적인 신뢰를 고객들에 잃을 수 있어, 기업존폐에 심각한 영향을 줄 수 있다”고 말했다.

▲ “보안이란 측면에서 기업이 보호해야 할 정보도, 유출방법도 다양해지고 있다. 따라서 유출경로를 사전에 차단한다는 것은 불가능하다. 정보가 어떻게 생성되고 이용되는지 정보의 라이프사이클을 분석해 어떤 취약점이 있는지, 또 이에 대한 개선책을 찾는 것이 중요하다” 박래도 LGU+ SD본부 서비스운영담당 보안정책팀 팀장

박래도 LGU+ SD본부 서비스운영담당 보안정책팀 팀장은 “회사의 전략방향, R&D, 영업 기밀은 당연히 기업의 지켜야할 필수적인 정보라고 볼 수 있고, 그 외 보호해야할 대상들이 많다”고 밝히며 “서비스업종은 결국 고객의 신뢰를 바탕으로 성장하기 때문에 고객정보를 최우선적으로 보호하고 있다”고 말했다. 이처럼 기업이 지켜야할 내부정보는 점차 많아지고 다양해지고 있는 추세이다.

실직적 양형기준의 강화가 필요해

기술유출 시도가 끊임없이 발생하는 이유 중 하나는 기술을 유출할 경우, 기술유출자에게 부를 안겨준다는 점이다.
한국은 첨단기술이 발달하면서 상용기술이 많은 나라에 속한다. 2000년을 전후해 삼성, LG 등 대기업과 우수한 기술력을 갖고 있는 중소벤처 기업이 첨단 신기술 분야에서 연구개발을 꾸준히 진행하면서 나날이 발전해왔다. 이렇듯 첨단 신기술 분야에서 대만과 중국 등 후발주자들은 기술을 추격하기 위해서, 미국과 일본 등 선진국들은 국내 기업의 세계시장 진출을 견제하고자 산업유출 시도가 늘어나고 있다.
또한 기술 진보가 빠르고 기술 순환 주기도 짧아지고 있어서 이런 분위기는 가속화되고 있다. 또한 기업들도 산업스파이를 잘 활용하면 기술개발에 필요한 막대한 비용과 시간을 단축할 수 있기 때문에 이런 유혹에 빠지기 쉽다.
실제로 중국 조선업계는 국내 조선업계의 연봉의 3배까지 주며 임원과 엔지니어를 포섭하고 있다고 알려져 있다.
실제로 디스플레이 S, L사의 핵심기술을 USB에 담아 중국기업에 넘긴 연구원들도 연봉 2배라는 유혹에 기업 기밀을 유출한 혐의로 구속됐다.

▲ “USB, 하드디스크 탈취, 사진촬영 등 유출경로는 헤아릴 수 없이 많다. 그리고 자사의 기술과 정보가 몇 천 억 원, 몇 조 원되는지 파악해보라. 아직도 보안이 기업경영에 도움이 되지 않는다고 말할 수 있는지 보안담당자는 진지하게 생각해 볼 필요가 있다” 심현석 KT클라우드 추진본부 매니저

이렇듯 기술유출을 시도하는 원인에는 기술유출을 시도하다 적발됐을 때 처벌보다 기술 유출로 인해 얻을 수 있는 경제적 이익이 더 크기 때문에‘모험’이자‘범행’을 저지르게 된다는 것이다. 적발되지 않는다면 고액연봉을 얻을 수 있고, 적발되더라도 경제적 이익이 보장되는 데다 상대적으로 처벌이 약하다는 점이 유혹으로 작용한다.
현행 산업기술유출에 대한 처벌 법규는 ‘부정경쟁방지 및 영업비밀보호에 관한 법률’과 ‘산업기술의 유출방지 및 보호에 관한 법률’가 있으며 해외유출자에게는 법정최고형 징역 10년 또는 10억 원 이하, 내유출자에게는 법정 최고형 징역 5년형 또는 5억 원 이하에 처하게 되어있다.
심지어는 기술유출로 얻은 이득액의 2배에서 10배까지를 배상하거나 재산몰수형까지 기술유출사범에 대한 강력한 처벌조항을 두고 있다. 그러나 실제로 법원에서의 기술유출사범에 대한 형량은 불가피한 유출이라는 시각이 강해 상당히 온정적으로 판결하고 있다.
구태언 테크앤로 법률사무소 대표변호사는 “현재 산업보안에 관련된 양형 기준은 국민의 법 감정의 변화, 체계적인 추세를 고려해 지금보다 한 차원 강화돼야 한다”며 “특히 산업기술 유출 피해금액 산정 시 기준을 정립해 피해규모의 3배의 배상을 물릴 필요성이 있다”고 주장했다.
박제성 롯데케미칼 정보전략팀 팀장은 “기술 유출 범죄가 날로 심각해지고 있고, 특히 피해를 당한 기업은 엄청난 손실을 입게 되는데 이에 비하면 처벌 수위가 너무 낮다”며 “작년 한 국회의원이 산업기술을 유출한 산업스파이에 대해서 성범죄자처럼 5년간 신상정보를 공개하자고 산기법(산업기술유출방지법) 개정안을 발표했는데, 이런 규제를 통해 경각심을 부여할 필요가 있다”고 말했다.

▲ “보안에는 예외가 있어서는 안 된다. 임원이라면 더욱 솔선수범해 기업의 보안 정책을 따라야 한다. 고무적인 것은 최근 잇따른 보안사고로 C레벨 임원들의 보안의식도 크게 향상됐다는 점이다. 이런 C레벨 임원들의 관심은 보안정책이 점차 사내문화로 정착되는 원동력으로 작용하고 있다” 박제성 롯데케미칼 정보전략팀 팀장

유출방지기술에는 어떤 것들이 있을까

내부유출로부터 많은 기업이 자사의 정보를 지키기 위해 다양한 방법을 강구하고 있다. 특히 대기업을 중심으로 웹/e메일 차단, 화이트 체크 등 소프트웨어적 방법부터 보안 USB, 접근제한, 홍체인식 등 물리적 방법이 동원되고 있다.
특히 VDI는 서버 가상화를 통해 내부정보 유출을 원천적으로 차단하고 있다. 작년 8월, 개인 정보통신망법 개정으로 크게 대두되고 있는 기술로 가상화를 통해 모든 중요정보를 서버에서 관리토록하며 각 장치(디바이스)에서는 출력된 화면만을 공유할 수 있게 해준다. 이를 통해 각 영업지점이나 영업직원의 디바이스에 저장하지 않아도, 바로 서버에서 입력·조회가 가능해 내부자에 의한 정보유출을 사전에 방지할 수 있다.
심현석 KT 클라우드추진본부 매니저는 “수많은 신기술이 실재하고 있지만 내부에서 정보를 유출하려고만 한다면 여러 가지 경로로 유출할 수 있다”며 “VDI는 구축비용이 높다는 단점이 있지만, 데이터 유출에 필요한 정보를 원천 차단한다는 것에 근본적인 장점이 있다”고 설명했다.
통합 내부정보 유출 방지 시스템(DLP)도 주목받고 있다. 사내에서 사용하는 PC와 네트워크상의 모든 정보를 검색하고 사용자의 행위를 탐지·통제해 외부유출을 사전에 차단할 수 있다.

김흥수 CJ오쇼핑 팀장은 “CJ오쇼핑은 Ozone이라는 정보유출관리 솔루션을 통해 DB, 고객정보, 웹로그, 고객인증 등 흩어져 있는 정보를 한눈에 볼 수 있다”며 “앞으로는 빅데이터를 이용해 추가로 문제가 생길만한 요소를 사전에 예방하는 방법을 준비하고 있다”고 설명했다.
롯데 케미칼도 현재 내부정보 유출 방지 시스템을 구축 중에 있다. 11월에 오픈 예정으로 저장매체 사용 차단 및 모니터링, 개인정보 및 보안키워드 유출 차단 등의 효과를 롯데케미칼 측은 기대하고 있다. 또한 최근 모바일 디바이스로 업무를 처리하는 기업이 많아지고 있어서, 이에 발맞춰 모바일 애플리케이션 관리(MAM)와 기기 관리(MDM)가 속속 등장하고 있다. 이런 솔루션은 보안을 유지할 뿐만 아니라, 상황에 맞춰 업무효율성도 제고할 수 있다. 가령 보험 설계사의 경우, 자신의 디바이스를 이용하는 경우가 많은데, 이런 경우 특정 애플리케이션만을 통제하는MAM를 사용할 수 있다. 반면, 기업내부에서 모든 모바일기기를 통제 할 경우MDM이 효과적이다.
통합계정관리 기술의 발전도 괄목할 만하다. 그동안 기업은 외주업체 개발자나 내부 개발자가 중요정보에 접근시 별도 허가과정을 거치지 않아 업무상 보안사고가 잦았다. 그러나 최근 기업 임직원은 물론 외주업체 개발자나 협력업체에게도 계정을 부여하는 기업이 점차 늘어나고 있다. 이를 통해 중요정보에 대한 접근을 차단하고, 유사시 디지털포렌식을 통한 추적도 용의하다.
박래도 LGU+ 팀장은 “기업규모가 커지고 다양한 임직원들이 비즈니스가 이뤄지는 환경에서 ‘정보유출경로’를 관리한다는 것은 사실상 불가능하다”고 말하며 “주요 정보의 ‘생성-저장-이용-파기’단계로 분석하는 라이프사이클 관리와 주요 정보에 접근할 수 있는 계정관리를 통해 보다 효율적인 정보유출 방지활동을 할 수 있다”고 설명했다.

▲ “국내의 IT 산업에 있어서 처벌규정은 미국이나 일본에 비해 거의 완벽한 수준에 있다. 문제는 처벌규정의 강도와 그에 따른 임직원의 보안수준이 이에 미치지 못한다는 점이다. 따라서 무차별적인 제재보다는 꾸준한 보안교육을 통해 임직원의 인식을 변화시키는 것이 가장 중요하다” 구태언 테크앤로 법률사무소 대표변호사

임직원의 보안인식변화가 중요

정보보호를 강화하면 현업 종사자는 대체로 업무에 불편하다는 부정적인 시각이 생긴다. 업무의 효율성을 저해하고, 불편하다는 이유로 보안을 소홀히 하는 것이다. 기업도 이를 방지하고자 더 많은 예산을 투입하고 감시활동에 치중하게 된다. 그러나 실제로 이런 정보보호 강화활동보다 끊임없는 교육과 시스템 정비를 통해 사전에 위험요소를 예방해야한다는 목소리가 점차 커지고 있다.
구태언 변호사는 “정보보안이라는 개념은 30년 전에는 없던 것”이라며 “우리가 그동안 정보보안에 습관이 돼있지 않았기 때문에 최근 정보유출이 심화됐다”고 말했다. 30년만에 급히 발전한 정보처리의 발전에 비해 그에 따른 정보보안의 문화는 미숙했다는 것이다. 그러나 최근 기업에서의 보안교육과 사회분위기 형성을 통해 보안문화가 점차 성숙해지고 있음을 강조했다.
롯데케미칼은 임직원의 정보보호 문화를 고취시키기 위한 방안으로 전사 정보보호 집합교육을 작년부터 실시하고 있다. 정보전략팀 주도하에 보안교육을 자회사를 포함하여 총 2,425명을 32차수 강의로 실시했다. 이뿐만이 아니라 금년부터는 정보보호UCC를 제작해 임직원이 쉽게 이해하고 공감할 수 있는 환경을 조성했다. 롯데케미칼은 앞으로 국내뿐만 아니라 해외 자회사 정보보호 교육 시에도 사용하기 위해 영문, 중문, 인도네시아 용으로 제작해 활용한다는 방침이다.

▲ “연구기간 10년, 기술유출 10초. 이것은 남의 나라 이야기도, 남의 회사 이야기도 아닌 우리의 이야기다. 따라서 정보유출을 방지하기 위해선 기업이 스스로 체계적인 보안규정을 제정하고 보안담당자와 책임자를 선임하며, 기술·정보 취급자에 대한 계속적·반복적인 보안교육 그리고 지속적인 보안투자가 선행돼야 한다” 이치석 한국산업기술보호협회 상임부회장

LGU+는 연2회 보안의무교육을 실시, 사내 인트라넷 보안포털 운영, 매월 1회 U+보안의 날을 시행 등 보안에 대해 지속적인 관심을 보이고 계도하고 있다. 박래도 LGU+팀장은 “보안활동을 얼마나 했느냐가 중요한 게 아니고, 임직원의 의식을 바꾸는 것이 무엇보다 중요하다”며 “단기간에 될 수 있는 일이 아닌 만큼 보안강화에 대한 임직원 공감대 형성을 최우선 과제로 삼고 있다”고 말햇다.
LGU+는 이런 노력을 바탕으로 보안이 생활화 될 수 있도록 하고 있으며, 궁극적으로는 임직원이 보안을 의식하지 않고 현업업무를 수행하더라도 보안규정이 지속적으로 준수될 수 있도록 지원하고 있다.
“기술유출의 가장 큰 발생원인은 보안에 대한 불감증이다. 대부분의 임직원이 보호할만한 중요정보가 없다는 안일함, 지금까지 아무 일도 없었다는 착각 속에 살고 있었다”
이치석 한국산업기술보호협회 상임부회장은 기술유출기업의 대부분은 유출사고가 발생한 후에나 후회하고, 호들갑을 떨며, 유출된 정보를 되찾기 위해 법적소송도 불사하는 사례가 비일비재하다고 설명한다. 그러나 이미 유출된 정보는 되찾아 올 수 없으며, 그 피해또한 기업이 짊어질 수밖에 없다고 말한다.
IT라는 개념이 이 땅에 도입된 지 어느덧 30여 년이 지났다. 이전까지 정보보안은 거추장스러운 옷에 불과했다.
그러나 지금에 이르러 불편함이 기업의 자산을 보호해줄 수 있는 수단으로 점차 인식되고 있는 추세이다. 따라서 기업은 기술은 언제든지 유출될 수 있다는 문제를 인식하고, 중요 정보와 기술을 보호하기 위한 적절한 보호 조치가 선행돼야 한다. 또한 임직원에 대한 끊임없는 교육을 통해 기술보호에 대한 사내 분위기를 형성하는 것도 필요하다.