2024.05.21 (화)
국내 산업보안, 내부통제 절실하다
최근 잇따른 굵직한 해킹사건으로 인해, 보안현장 움직임은 외부의 침입으로부터 기업을 안전하게 지키려는 데 이목이 쏠려있다. 방화벽, APT분석 툴 등 다양한 보안솔루션이 새롭게 주목받으며 기업의 보안수준을 한 단계 높이는 계기가 됐다.
그러나 국정원 산하 산업기밀보호센터에 따르면 국내 첨단 기술 중 전/현직 직원들에 의한 유출이 80%에 이르는 것으로 나타났다. 실제 기업이 신경을 써야하는 내부정보 통제는 방치한 채 외부에만 신경을 쓰는 것이 아니냐는 우려의 목소리가 나오고 있다. 이번 호에서는 국내산업기술 유출현황을 살펴보고, 산업기술 유출 방지를 위한 예방책을 소개한다.
2003년 10월 설립된 국정원 산하 산업기밀보호센터는 2005년부터 2012년까지 국내에서 발생한 총 294건의 산업스파이 사건을 분석했다. 이 중 202건을 분석한 결과를 보면, 기술 유출 분야는 전기전자 부문이 34%(68건)로 가장 많았다. 이어 정밀기계 31%(62건), 정보통신 15%, 정밀화학 8%, 생명공학 4% 등이 뒤를 이었다. 전기전자와 정보통신 분야를 합치면 65%에 이른다. 과거 전기전자 부문이 42%, 정밀기계 20%로 전기전자 부문이 앞도적인 비중을 차지하던 것에 비해 정밀기계, 생명공학 등 산업전반으로 확산되고 있는 추세다.
기술 유출 문제의 심각성 때문에 정부는 2007년 4월 산업기술유출방지법을 새로 제정했다. 산업기술의 불법 해외유출이 심각한 수준에 있으나 이에 따른 처벌대상이 민간 기업비밀 누설의 경우로 한정돼있고, 각종 법률에 산재해 있는 관련 규정으로는 산업기술유출 방지 및 근절에 큰 효과를 내지 못한다는 지적에 따른 것이다. 하지만 관련 법률을 새로 제정했음에도 불구하고 산업기밀 유출사고는 줄어들지 않고 있다.
산업기밀보호센터에 따르면 산업기밀 사건은 2005년 29건, 2006년 31건, 2007년 32건, 2008년 42건, 2009년 42건으로 꾸준히 증가했다. 2011년 46건을 정점으로 2012년에만 30건으로 줄었지만, 경찰청 산업기술 유출 사건 검거실적을 따르면 산업기술유출은 점차 증가하는 추세이다.
이마저도 최근 이메일, USB같은 저장매체의 다양화로 피해 사실을 알기 어려워, 발표된 피해규모가 빙산의 일각이라는 지적도 있다. 또한 협력업체나 인수합병에 의한 기술유출도 점차 증가추세이다. 피해규모에 대한 산출기준과 근거에 대한 여러 이론이 있어 공식적인 피해 금액 발표는 없지만, 업계는 연간 100조 원 규모로 추산하고 있다.
이는 2013년도 우리나라 국가예산(242조 원)의 4할에 육박한다.
담벼락만 높여놓고 대문은 열어 놓은 기업보안
▲ “고객을 대상으로 운용하는 기업에서 개인정보가 유출된다는 것은 기업의 근본적인 신뢰를 잃게 한다. CJ오쇼핑은 고객정보를 안전하게 보호하기 위해 보안안전부서를 설치하고 흩어져 있는 보안업무를 한 곳에 모으려는 노력을 하고 있다” 김흥수 CJ오쇼핑 정보전략팀 팀장
실제로 최근 이어진 3.20사태, 6.25대란으로 인해 각 계의 보안현장의 목소리는 외부의 침입을 방어하는 것에만 집중돼 있다. 실제로 최근 들어 방화벽, APT분석, DDos방지 등 대다수의 보안솔루션을 보면 기업이 외부의 침입을 경계하는 데 초점이 맞춰져 있다는 것을 알 수 있다.
그러나 산업기밀보호센터에서 발표한 자료에 따르면 기술유출 주체는 전직직원 60%, 현직 20% 등으로 나타났다.
실제로 한국산업기술보호협회에 따르면 G사 승용차 개발기술유출 사건은 전 연구원이 중국을 상대로 유출을 시도했으며, S사 휴대전화 고화질 카메라 기술은 개발팀장 외 2명이 일본으로 유출을 시도하다가 적발됐다. 상황이 이렇다보니 정부는 기술 유출 문제의 심각성을 파악하고, 2007년 4월부터 산업기술유출방지법을 새로 재정했다. 그러나 법률이 새로 제정했음에도 불구하고 산업기밀 유출사고는 여전히 줄어들지 않고 있다.
▲ “보안이란 측면에서 기업이 보호해야 할 정보도, 유출방법도 다양해지고 있다. 따라서 유출경로를 사전에 차단한다는 것은 불가능하다. 정보가 어떻게 생성되고 이용되는지 정보의 라이프사이클을 분석해 어떤 취약점이 있는지, 또 이에 대한 개선책을 찾는 것이 중요하다” 박래도 LGU+ SD본부 서비스운영담당 보안정책팀 팀장 |
실직적 양형기준의 강화가 필요해
기술유출 시도가 끊임없이 발생하는 이유 중 하나는 기술을 유출할 경우, 기술유출자에게 부를 안겨준다는 점이다.
한국은 첨단기술이 발달하면서 상용기술이 많은 나라에 속한다. 2000년을 전후해 삼성, LG 등 대기업과 우수한 기술력을 갖고 있는 중소벤처 기업이 첨단 신기술 분야에서 연구개발을 꾸준히 진행하면서 나날이 발전해왔다. 이렇듯 첨단 신기술 분야에서 대만과 중국 등 후발주자들은 기술을 추격하기 위해서, 미국과 일본 등 선진국들은 국내 기업의 세계시장 진출을 견제하고자 산업유출 시도가 늘어나고 있다.
또한 기술 진보가 빠르고 기술 순환 주기도 짧아지고 있어서 이런 분위기는 가속화되고 있다. 또한 기업들도 산업스파이를 잘 활용하면 기술개발에 필요한 막대한 비용과 시간을 단축할 수 있기 때문에 이런 유혹에 빠지기 쉽다.
실제로 중국 조선업계는 국내 조선업계의 연봉의 3배까지 주며 임원과 엔지니어를 포섭하고 있다고 알려져 있다.
실제로 디스플레이 S, L사의 핵심기술을 USB에 담아 중국기업에 넘긴 연구원들도 연봉 2배라는 유혹에 기업 기밀을 유출한 혐의로 구속됐다.
▲ “USB, 하드디스크 탈취, 사진촬영 등 유출경로는 헤아릴 수 없이 많다. 그리고 자사의 기술과 정보가 몇 천 억 원, 몇 조 원되는지 파악해보라. 아직도 보안이 기업경영에 도움이 되지 않는다고 말할 수 있는지 보안담당자는 진지하게 생각해 볼 필요가 있다” 심현석 KT클라우드 추진본부 매니저 |
유출방지기술에는 어떤 것들이 있을까
▲ “보안에는 예외가 있어서는 안 된다. 임원이라면 더욱 솔선수범해 기업의 보안 정책을 따라야 한다. 고무적인 것은 최근 잇따른 보안사고로 C레벨 임원들의 보안의식도 크게 향상됐다는 점이다. 이런 C레벨 임원들의 관심은 보안정책이 점차 사내문화로 정착되는 원동력으로 작용하고 있다” 박제성 롯데케미칼 정보전략팀 팀장
내부유출로부터 많은 기업이 자사의 정보를 지키기 위해 다양한 방법을 강구하고 있다. 특히 대기업을 중심으로 웹/e메일 차단, 화이트 체크 등 소프트웨어적 방법부터 보안 USB, 접근제한, 홍체인식 등 물리적 방법이 동원되고 있다.
특히 VDI는 서버 가상화를 통해 내부정보 유출을 원천적으로 차단하고 있다. 작년 8월, 개인 정보통신망법 개정으로 크게 대두되고 있는 기술로 가상화를 통해 모든 중요정보를 서버에서 관리토록하며 각 장치(디바이스)에서는 출력된 화면만을 공유할 수 있게 해준다. 이를 통해 각 영업지점이나 영업직원의 디바이스에 저장하지 않아도, 바로 서버에서 입력·조회가 가능해 내부자에 의한 정보유출을 사전에 방지할 수 있다.
심현석 KT 클라우드추진본부 매니저는 “수많은 신기술이 실재하고 있지만 내부에서 정보를 유출하려고만 한다면 여러 가지 경로로 유출할 수 있다”며 “VDI는 구축비용이 높다는 단점이 있지만, 데이터 유출에 필요한 정보를 원천 차단한다는 것에 근본적인 장점이 있다”고 설명했다.
통합 내부정보 유출 방지 시스템(DLP)도 주목받고 있다. 사내에서 사용하는 PC와 네트워크상의 모든 정보를 검색하고 사용자의 행위를 탐지·통제해 외부유출을 사전에 차단할 수 있다.
임직원의 보안인식변화가 중요
▲ “국내의 IT 산업에 있어서 처벌규정은 미국이나 일본에 비해 거의 완벽한 수준에 있다. 문제는 처벌규정의 강도와 그에 따른 임직원의 보안수준이 이에 미치지 못한다는 점이다. 따라서 무차별적인 제재보다는 꾸준한 보안교육을 통해 임직원의 인식을 변화시키는 것이 가장 중요하다” 구태언 테크앤로 법률사무소 대표변호사
정보보호를 강화하면 현업 종사자는 대체로 업무에 불편하다는 부정적인 시각이 생긴다. 업무의 효율성을 저해하고, 불편하다는 이유로 보안을 소홀히 하는 것이다. 기업도 이를 방지하고자 더 많은 예산을 투입하고 감시활동에 치중하게 된다. 그러나 실제로 이런 정보보호 강화활동보다 끊임없는 교육과 시스템 정비를 통해 사전에 위험요소를 예방해야한다는 목소리가 점차 커지고 있다.
구태언 변호사는 “정보보안이라는 개념은 30년 전에는 없던 것”이라며 “우리가 그동안 정보보안에 습관이 돼있지 않았기 때문에 최근 정보유출이 심화됐다”고 말했다. 30년만에 급히 발전한 정보처리의 발전에 비해 그에 따른 정보보안의 문화는 미숙했다는 것이다. 그러나 최근 기업에서의 보안교육과 사회분위기 형성을 통해 보안문화가 점차 성숙해지고 있음을 강조했다.
롯데케미칼은 임직원의 정보보호 문화를 고취시키기 위한 방안으로 전사 정보보호 집합교육을 작년부터 실시하고 있다. 정보전략팀 주도하에 보안교육을 자회사를 포함하여 총 2,425명을 32차수 강의로 실시했다. 이뿐만이 아니라 금년부터는 정보보호UCC를 제작해 임직원이 쉽게 이해하고 공감할 수 있는 환경을 조성했다. 롯데케미칼은 앞으로 국내뿐만 아니라 해외 자회사 정보보호 교육 시에도 사용하기 위해 영문, 중문, 인도네시아 용으로 제작해 활용한다는 방침이다.
▲ “연구기간 10년, 기술유출 10초. 이것은 남의 나라 이야기도, 남의 회사 이야기도 아닌 우리의 이야기다. 따라서 정보유출을 방지하기 위해선 기업이 스스로 체계적인 보안규정을 제정하고 보안담당자와 책임자를 선임하며, 기술·정보 취급자에 대한 계속적·반복적인 보안교육 그리고 지속적인 보안투자가 선행돼야 한다” 이치석 한국산업기술보호협회 상임부회장 |