산업 기술 유출범죄는 해마다 증가하는 추세로 국가정보원에 따르면 산업 스파이 해외유출 적발 건은 71건(2014~2018)으로 과거에는 대기업, IT 분야 중심이었다면 최근에는 전기•전자, 정밀 기계 분야까지 확대되어 기술 정보가 유출되고 있는 상황으로 국내 기업의 기술 보안에 비상등이 켜졌습니다.
미국은 이미 경제 스파이 법, 외국 경제 스파이 처벌 강화법 등 산업 기술 유출 사범에 대한 엄격한 법 제정을 통해 자국의 기술 정보를 보호하는 활동을 하고 있습니다. 그러나 국내는 산업 기술을 비롯한 영업 비밀정보 유출이 국내 기업과 국가 경제에 심각한 타격을 주고 있다는 점을 모두 인식하고 있지만, 인력 빼내기나 퇴직자 데려가기 등 법망을 빠져나가는 교묘한 수법 때문에 대책 마련에 어려움을 겪고 있습니다.
갈수록 보호 대상은 증가하고 유출 수법은 고도화, 다변화되어 감으로써 정부는 적절한 예산 투입 및 법 제정을 통해 기술을 보호하고 정보의 유출을 근절해야 합니다. 기업은 보안에 대한 인식 수준을 높이는 활동으로 정보보호 대응 능력을 키워야 나가야 할 시기라고 볼 수 있습니다.
중요 정보를 보호하기 위해서 우리가 해야 할 일은 무엇인가?
기업에서 다루는 정보의 종류와 양은 매우 많습니다. 그리고 그 정보들을 흔히 일반, 대외비, 비밀 이렇게 3단계의 등급으로 분류해 관리하는 경우가 많습니다. 유출 시 치명적인 피해를 가져올 수 있는 기술 및 영업 비밀정보는 비밀 등급으로 분류될 수 있습니다.
유출 시 기업의 존폐를 위협할 수 있거나, 국가 산업의 전반적인 영향력을 줄 수 있는 정보들을 ‘핵심 비밀’이라는 최상위 정보보호등급을 설정하고 그 등급의 정보를 어떻게 관리하고 보호해야 하는지에 대해 본 글에서 다뤄보려고 합니다.
기업의 핵심 비밀정보는 기업이 그 정보를 보호하기 위해 특별한 통제를 적용해 관리하고 있었는지에 따라 향후 소송이나 유출 사고가 발생할 시에 법적 보호를 받을 수 있습니다. 그러면 기업이 비밀정보 보호를 위해 해야 할 일이 무엇인지를 자세히 알아보도록 하겠습니다.
첫째, 기업이 보유한 핵심 비밀정보가 무엇인지 파악해야 합니다. 핵심 비밀정보는 기업의 비즈니스나 사업장 환경에 따라서 다양하게 정의될 수 있습니다. 흔히들 기업에서 중요 정보로 취급하는 사례를 보면 다음과 같습니다.
◎ 핵심 비밀 분류 기준 예시
- 공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서 상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법 기타 영업활동에 유용한 기술상 또는 경영상의 정보 (부정경쟁방지법 2항 제2호)
- 국내•외 시장에서 차지하는 기술적・경제적 가치가 높거나 관련 산업의 성장 잠재력이 높아 해외로 유출될 경우에 국가의 안전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 산업 기술로서 ‘산업 기술의 유출 방지 및 보호에 관한 법률’ 9조 (국가 핵심기술의 지정・변경 및 해제 등)에 따라 지정된 산업 기술 (산업 기술의 유출 방지 및 보호에 관한 법률 2조)
- 국내•외 시장에 유출될 경우 자사에 막대한 경제적 손실을 줄 우려가 있는 기술
- 기술 자산의 중요도 및 위험도 평가에 의해 일급비밀로 분류되어야 하는 기준에 충족하는 기술
- 그 밖에 기술 책임자 및 관리 조직의 장이 일급비밀로 분류될 사유가 있다고 인정하는 기술
‘핵심 비밀정보는 이것이다.’라는 명확한 기준을 정의하기는 어렵지만, 위의 예시를 참고해 기업의 환경에 맞게 기준을 마련해야 합니다.
기준이 수립되면 정의된 기준에 따라 관련된 자산을 식별하는 작업을 해야 합니다. 이때 자산은 정보 자산, 문서 자산, 소프트웨어 자산, 물리적 자산, 인력 자산(핵심 정보 취급자 포함)이 포함되어야 합니다.
특히, 식별 작업은 일회성으로 끝나는 것이 아니라 주기적으로 실시하거나 기업의 비즈니스에 큰 변화가 있는 경우에 실시해야 하므로 핵심 비밀정보 식별 작업을 프로세스화해 주기적으로 관리할 수 있도록 해야 합니다. 이렇게 식별된 자산은 기존에 비밀 등급으로 취급했던 것보다 상위의 등급인 ‘핵심 비밀’로 분류하고 해당 등급의 표식을 문서 내에 표기하도록 안내해야 합니다.
식별된 자산은 핵심 비밀 자산 관리 대장으로 관리하고, 관리 대장에는 해당 자산의 가치를 산정해 함께 관리하는 것이 좋습니다. 이 정보는 향후 해당 정보의 유출 사고가 발생 법적 대응이 진행될 경우, 손실•피해 범위에 대한 근거 자료로 활용할 수 있습니다. 가치 산정에는 투자비, 연구개발비, 인건비 등의 투자 비용 및 향후 예상되는 손해 등을 모두 포함해 가치를 산정할 수 있습니다.
둘째, 식별된 핵심 비밀정보를 관리하는 핵심 비밀정보 책임자 및 취급자를 지정하고 관리해야 합니다. 핵심 비밀정보와 관련된 자산의 관리를 위해 정보보호 최고 책임자 하위의 보안 조직 내에 핵심 비밀정보 보호를 및 유출 방지를 위한 관리 책임자를 지정해 사내에서 생성 및 유통되고 있는 핵심 비밀정보에 대한 총괄적인 조정, 통제, 교육, 감사, 사고 대응의 업무를 수행하도록 합니다.
사내 인력을 통한 정보 유출이 나날이 증가하고 있으므로 핵심 비밀정보 취급자는 보안서약서, 퇴직 시 전직금지 약정서 등을 작성하도록 합니다.
핵심 비밀정보 보호에 대한 사내 규정 및 지침, 자료 생성, 저장, 이용 시의 주의사항, 핵심 비밀 취급자로서의 주의해야 하는 행동 수칙, 많이들 범하는 실수 사례, 정보 유출과 관련된 법 조항, 법적 처벌 및 사고 사례 등을 정리한 교육 과정을 만든 후 핵심 비밀정보 취급자에게 해당 교육을 시행해 핵심 비밀 취급자로서 비밀유지의 책임감을 느끼도록 해야 합니다.
셋째, 핵심 비밀정보에 대한 물리적, 기술적 보안 통제 수단을 적용해 정보의 유출을 방지해야 합니다. 핵심 비밀정보 취급자의 근무 지역 또는 핵심 비밀정보자산이 배치된 구역을 ‘통제’ 구역 등급 이상으로 지정해야 합니다.
특히, 산업 기술을 비롯한 국가 핵심기술을 다루는 구역은 비밀 구역으로 지정하고 최상위 보안 통제를 적용해야 합니다. 해당 핵심 비밀정보 취급자 이외의 모든 출입을 금지하고, 일반 직원이 출입이 필요한 경우는 승인을 받은 후에 출입하도록 합니다. 특히 외부인은 특별한 사유를 제외하고는 출입을 금지해야 합니다.
모든 출입구는 인원 및 차량을 통제할 수 있는 출입통제 시스템을 적용하고, 유리창으로 전해지는 소리, 전화 감청을 방지할 수 있는 시스템도 적용을 고려해야 합니다.
출입 지점은 반드시 CCTV가 설치되어 있어야 하고, 상주 직원이 없는 비밀 구역이라면, 무단 침입 행위를 차단하기 위해 사람이 통과할 수 있는 출입구역 및 내부에 침입 탐지센서 설치를 검토해야 하고 내부에도 CCTV를 설치해 출입 및 비이상적인 행위에 대해 모니터링이 가능해야 합니다.
핵심 비밀정보를 저장하거나 이용하는 시스템은 사용 중인 통신 네트워크를 비롯한 OS, 애플리케이션에 걸쳐서 계정 및 권한 관리, 접근 통제를 통해 비인가자의 접근을 차단하고, 로깅을 통해 향후 추적성을 확보해야 합니다. 또한, 주기적인 취약점 점검 및 패치 등을 통해 외부 공격으로부터 시스템을 보호해야 합니다.
핵심 비밀정보 처리 시스템이 도입 및 변경이 발생한 경우에는 반드시 보안성 검토를 시행해 사전에 필요한 보호 대책들이 설계부터 반영될 수 있도록 해야 합니다. 보호 수준과 방법은 각 사의 규모와 환경에 따라 판단해 적용하면 됩니다.
일반적으로 많은 기업이 중요 정보가 생성되는 장소와 시스템에 대해서만 높은 단계의 보안 통제를 적용하지만, 정보는 기업 내에서 필요로 하는 팀, 이용자에게 지속해서 제공되기 때문에 정보는 기업 내에서 계속 유통됩니다. 그러므로 어느 팀의 누구에게까지 이 핵심 비밀정보가 흘러가는지를 파악해 같은 수준의 보안 통제를 적용해야 합니다.
즉, 생성 단계뿐만이 아니라 저장, 이용•제공, 폐기의 모든 단계를 살펴봐야 한다는 것입니다. 각 유통 단계별로 정보를 저장 및 이용하고 있는 시스템은 모두 ‘핵심 비밀정보 처리 시스템’으로 분류하고 시스템에 대한 기술적 보안 통제를 적용해야 합니다.
이때 이 정보를 이용하는 사람을 ‘핵심 비밀정보 취급자’라고 분류해 접근 권한 통제 및 인적 통제를 적용해야 하고, 불필요하게 접근 권한을 보유하고 있는 이용자는 모두 권한을 회수해야 합니다.
넷째 ‘핵심 비밀정보에 대한 키워드 및 유출 시나리오를 적용해 모니터링을 시행해야 한다.’ 입니다. 기업 내부의 보안 통제를 강화했다면 이제는 외부로 유출되고 있지는 않은지 모니터링을 해야 합니다.
모니터링을 할 때는 집중 모니터링 대상자 선정과 모니터링 시나리오 개발이 매우 중요합니다. 대상자는 앞에서 분류했던 핵심 비밀정보 취급자는 반드시 대상 안에 포함하되 사내에서 승인절차에 의해 보안 예외 권한(예를 들어 휴대용 저장 매체 사용이 가능하도록 예외처리 받는 자 등)을 보유한 임직원에 대해서도 집중 모니터링 대상자 안에 포함해야 합니다.
유출 모니터링 시나리오는 ‘누가, 언제, 어디서, 무엇을, 왜, 어떤 침해행위를 할 수 있는가?’ 등을 고려해 상세하게 작성해야 합니다.
모니터링을 효과적으로 적용하려면, 인터넷 관문이 연결된 네트워크 접점(국내•외)은 정보 유출 모니터링 솔루션이 적용되어야 합니다. 현지 언어가 가능한 전담 인력이 지속해서 모니터링 할 수 있도록 배치되어야 합니다. 기업 내의 메일(그룹웨어), 사용자 PC, Application 등 외부로 정보가 전송될 수 있는 경로를 모두 파악해 접점에 적용해야 합니다.
참고로 LG CNS는 효과적인 모니터링을 위해 AI 기술을 접목해 일일이 수작업으로 모니터링 하는 수고를 덜어줄 수 있는 기술을 보유하고 있습니다. 이를 활용하면 정보 유출 모니터링을 더욱 효과적이고 정확하게 수행할 수 있습니다.
마지막으로 핵심 비밀정보 유출 예방을 위한 통제 수단이 적절히 적용되어 있는지 주기적으로 자가 점검을 시행해야 합니다. 자가 점검의 시기, 대상 및 범위, 방법은 각 사의 상황에 맞게 수행하되, 핵심 비밀정보에 대한 물리적, 기술적 보호 조치 및 유출 모니터링 등이 적절하게 적용되어 있는지 점검해야 합니다.
시스템 또는 인원 변경으로 인해 새로운 정보 유출 경로가 생기지는 않았는지를 확인하고 이런 통제 활동이 유기적으로 잘 이루어질 수 있도록 관리 체계가 수립되어 있는지도 반드시 확인해야 합니다.
점검 결과에 대해서는 위험평가를 수행하고 위험평가 수행 시 해당 정보 및 자산이 침해된 경우, 피해 규모를 객관적으로 산정해 사후 조치에 대한 방안 및 우선순위를 선정합니다. 결과에 대해서는 경영진 보고 절차를 진행해 경영진이 핵심 비밀정보에 대한 보호 수준을 인지할 수 있도록 하는 것이 바람직합니다.
‘영업 비밀’과 ‘침해 행위’는 입증하기가 매우 어렵습니다. 작년 10월에 서울중앙지법 형사항소 5부는 경쟁사의 영업 비밀을 빼돌린 혐의로 재판에 넘겨진 중국 H 기업 한국법인의 임직원 3명에 대한 항소심에서 무죄를 선고했습니다. 재판부는 해당 임직원들이 전 직장에서 빼낸 자료들이 회사 차원에서 보안 등급을 지정해 관리한 것이 아니므로 기밀로 인정하기 어렵다는 해석이었습니다.
정보 유출 사고가 발생했을 때 수사기관에 신고만 한다고 해서 모든 것이 해결되지 않습니다. 기업 스스로가 꾸준한 보안 관리와 보안 수준을 유지하기 위한 노력 속에서 해당 정보를 보물 다루듯이 다루었다는 증거 자료를 확보하고 종합적인 사고로 법적 논리 구성을 지원해 나갈 수 있을 때 우리 정보 자산의 권리를 찾을 수 있습니다.
기술집약적 산업이 발전하면서 영업 비밀 보호 및 기술 유출 방지에 대한 사회적 경각심이 높아지고 있지만, 이에 대한 처벌이 이뤄지는 법적인 제도가 아직은 미흡한 실정입니다. 법적인 제도도 강화도 중요하지만, 그보다 각 기업이 정보가 새 나가지 않도록 울타리를 견고하게 지을 필요도 있겠습니다.
글 l LG CNS 보안컨설팅팀
[참고문헌]
- 산업 기술 및 영업 비밀 해외유출 사건 현황, 경찰청
- 산업 기술 영업 비밀 해외 유출 현황, 최인호 민주당 의원실
- 2011 CERT 구축 및 운영가이드, KISA