[월요기획-보안]내부자에 의해 기업 정보가 샌다

관련 통계자료 다운로드 내부자 보안 강화를 위한 13가지 실천항목

 ‘리니지 게임 영업기밀 일본 유출, 와이브로 원천기술 미국 유출 기도, 현대기아자동차 핵심 기술 중국 유출 중 검거!’

 최근 대기업, 중소기업을 가리지 않고 기업 내 중요 정보를 유출하는 사건이 끊이지 않고 있다.

 기업 핵심 정보의 전자문서화 등 정보의 유통량이 증가하고 그룹웨어, 지식관리시스템(KMS) 등 도입으로 지적 자산이 증가하면서 기업 정보 유출이 일반화되고 있다. 여기에 기업 핵심 인력의 빈번한 이동도 기업의 중요 정보를 유출하는 통로가 된 지 오래다.

 검찰과 국정원 및 관련 업계에 따르면 반도체와 디스플레이 등 산업기술에 집중됐던 기술 유출이 최근 와이브로 등 첨단 정보통신 기술 분야로 넓어졌으며, 유출 대상 국가도 중국이 아닌 미국과 일본 등 선진국으로 확대되고 있다. 이렇게 내부자에 의한 기업 중요 정보의 유출은 기업은 물론이고 국가 경쟁력에도 심각한 타격을 주고 있어 이에 대한 대책 마련이 시급한 상황이다.

 ◇기업 정보 유출 피해 눈덩이=국정원 산업기밀보호센터에 따르면 지난 2003년부터 2006년까지 적발된 기술 유출은 총 92건이다. 4년간 예상 피해액으로 따지면 96조원에 달한다. 이에 더해 적발되지 않아 해외로 빠져나간 기술유출 사례까지 합치면 수백조원에 달할 것이라는 것이 산업보안 전문가들의 중론이다.

 지난 2003년 6건에 머물렀던 기술 유출 사건은 2004년 26건, 2005년 29건, 2006년 31건 등으로 매년 지속적으로 증가하고 있다. 특히 반도체·휴대폰 등 정보기술 분야가 70% 이상을 차지하고 있으나 최근에는 정밀기계와 생명공학 등 산업 전반으로 확산되는 양상이다.

 또 중소기업도 예외는 아니어서 중소기업기술정보진흥원 조사에 따르면 17.5%의 기업이 기술 유출을 경험했다. 이 같은 기업의 첨단 기술 유출사고는 피해가 기업에 그치지 않고 국가 경제에도 손실을 미치고 있다. 대부분의 기술 개발 참여자가 죄의식 없이 기술을 유출하고 있으며 단발성 범죄로 범증 확보가 힘들어 추적이 곤란한 경우도 많다.

 ◇내부자 유출 심각하다=핵심 기술의 유출 경로는 대부분 전·현직 직원이다. 중소기업기술정보진흥원 조사에 따르면 기술 유출 경로는 79.5%가 퇴직 직원에 의해 이뤄졌다. 현직 직원도 11.4%에 달해 90.9%가 전현직 직원에 의한 유출인 것으로 드러났다. 경쟁 업체나 종사자에 의한 유출은 12.5%, 협력업체 종사자 4.5%, 연구원생·기술고문·고용 외국인 등이 4.5% 순이었다. 해킹에 의한 기술 유출은 4.5%에 머물렀다.

 기업 내 허술한 보안 관리로 인해 내부자에 의한 유출 사건이 줄을 잇고 있는 것. 기업 규모별로 볼 때 대기업은 중소나 벤처 기업에 비해 기술유출방지에 적극적이나 전체적으로 볼 때 디지털저작권관리(DRM) 등 기밀관리시스템에 대한 투자가 부족하다.

 산업기술진흥협회 조사에 따르면 전체 기업 중 보안 관리 규정이 있는 곳은 58.8%에 달한다. 여기에 정보보안 시스템을 구축한 곳도 29.4%며, 문서관리시스템을 운용하는 곳도 27.7%다. 또 보안담당부서를 운영하는 곳은 17.9%며 디지털저작권관리를 하는 기업은 6.1%에 머무르고 있다.

 하지만 기업들의 보안관리 규정은 대부분 유명무실하며 보안 담당부서 역시 전문성이 낮고 인력난에 허덕이고 있다. 게다가 기업에 설치한 보안 시스템이란 것이 대부분 출입통제시스템이나 방화벽 등 초보적인 단계의 보안 솔루션이다. 기업들은 주요 문서나 도면 등 콘텐츠를 보호하는 DRM이나 도면문서관리시스템(DMS)에 대한 투자가 낮아 내부로부터 정보 유출이 심각한 상황이다.

 ◇어떻게 막아야 하나=정보보호 전문가들은 기업 내 중요 기술 유출 방지를 위해서는 정책과 프로세스, 기술적 통제로 구성된 다층화된 대응 체계를 세워야 한다고 입을 모은다. 이를 위해서는 기술환경·조직문화·비즈니스 정책 프로세스 등 기업의 모든 측면에 대한 관심이 있어야 한다. 기술적 자원을 보호하기 위해서는 DRM과 DMS 구축도 시급하다. 기업은 정보 및 시스템에 대해 효과적인 접근통제를 할 수 있는 정보보호 시스템을 도입, 사고가 발생해도 최소화할 수 있다.

 실제로 최근 발생한 와이브로 기술 유출 사건도 미리 설치됐던 문서보안 솔루션에 의해 범인을 잡을 수 있었다. 중요한 문서가 이동되는 경로 및 접근한 내역이 중앙에서 관리되기 때문이다.

 하지만 이런 솔루션을 설치한 곳은 대기업 등 몇 곳에 지나지 않는다. 한국정보보호진흥원에 따르면 42.9%의 기업이 방화벽 등 기본적인 네트워크 보안 솔루션을 도입했으나 문서나 콘텐츠를 보호하는 DRM이나 DMS에 대한 도입은 미비하다. 대부분 중요 기술은 전자 문서로 만들어지고 자료가 e메일이나 메신저 등을 통해 이동, 콘텐츠를 보호하고 관리할 수 있는 솔루션 도입이 절실하다.

 기밀 정보와 사용자 간 접근 통제시스템 등 물리적인 대응 체계도 필요하다. 여기에 정보유출 방지를 위한 정보보호 정책 수립과 인력 확충, 교육을 통한 관리적 대응책도 피해를 최소화할 수 있는 방법이다. 특히 기업 CEO와 임원 등 고위 관계자들이 정보보호에 대한 인식을 높이고 투자에 나서야 할 때란 게 업계의 중론이다.

  김인순기자@전자신문, insoon@