국내 제조기업의 기술 유출 사고가 연이어 발생하고 있다. 특히 반도체, 전자, 자동차 등과 같은 세계 수준의 기술정보(설계도면, 소스코드, 생산공정 등)가 여러 형태로 유출되고 있다. 쉼 없이 발생하고 있는 기술 유출 사고의 원인은 크게 세 가지로 정리해 볼 수 있다.
먼저 국내 보유 기술의 우수성 때문이다. 연구개발(R&D) 과정을 통해 이루고자 하는 기술 수준이 추격에서 선도로 높아지면서 연구개발의 위험성을 최소화하고, 비교적 짧은 시간에 기술 격차를 최소화하려는 주변국들로부터의 침해 가능성이 있다.
둘째 정보통신기술(ICT)을 매개로 한 융합화 환경 때문이다. 다시 말하면 기존의 제품 생산을 위한 기계적 공정 방식이 디지털로 전환되고 서비스화하면서 가치 네트워크 관점의 업무 협업이 가능해졌기 때문이다. 정보 공유 업무 환경 변화는 다양한 이해관계자와 개방적인 혁신을 가능하게 하였으나 정보가 상호 공유되는 과정에서 보안 위험성도 높아지게 됐다. 이와 함께 디지털화한 기술정보는 유출되더라도 저장소에 그대로 남아서 사고 발생 여부 인지를 매우 어렵게 한다.
마지막으로 최근에 강조되고 있는 정치·경제 환경 변화 문제다. 세부적으로 미국과 중국의 기술 패권 경쟁 지속과 더불어 코로나19로 인한 글로벌 공급망 붕괴에 따른 기술 요새화(要塞化) 현상 때문이다.
세계 각국은 기존 공급망 체계를 유지하기보다 분업과 공유의 미덕은 줄이면서 스스로 생존하기 위한 전략을 추진하고 있다. 그 과정에서 연구개발(R&D)을 통한 직접적인 획득이 어려운 기술에 대해 기업 인수합병, 학술적 협력 활동, 우수 인재 유치 등과 함께 불법적인 기술 유출·탈취 시도가 이루어지고 있다. 결론적으로 보유 기술 가치 상승과 공유 과정, 기술 요새화 흐름이 기술 유출·탈취의 원인으로 존재한다.
공공 영역과 범위를 넘어선 민간기업 대상 기술 유출 사고는 기업 고유의 문제로 한정할 수 있으나 주변 국가에 비해 가격 경쟁력이 낮은 상태에서 기술 경쟁력까지 낮아진다면 산업 경쟁력뿐만 아니라 국가 안보에도 큰 손실을 미칠 수 있어 공급망 안정 노력을 포함한 경제 안보 개념이 형성되고 있다. 참고로 경제 안보는 전염병·기후환경 등과 같은 생태 안보 등과 함께 新 안보 영역에 포함하기도 한다.
기술 유출 방법도 기존과는 다른 형태로 변화하고 있다. USB와 같은 단편적인 저장장치나 상용 웹 메일을 통한 불법 기술정보의 전송 수준을 넘어 암묵적 형태의 기술정보를 보유하고 있는 핵심 인력 유출은 물론 사이버 공격 수단을 통한 기술 탈취 형태로 진화하고 있다.
특히 기존 사이버 공격은 주로 특정 서비스 중단을 위한 혼란을 목표로 하고 있으나 최근에는 경제적 목적 달성을 위한 정보 탈취 행위가 횡행하고 있다. 기술 탈취를 목적으로 하는 사이버 공격은 현실 세계에서 발생하는 물리적 범죄와 달리 가해자와 피해자가 얼굴을 마주하거나 물리적 접촉이 거의 없고(익명성), 시간과 공간의 제약을 받지 않는다(국제성). 또 악성코드와 침해 도구를 사용할 수 있는 일정 수준의 ICT 관련 지식을 필요로 하며(전문성), 상대의 존재를 의식하면서 대면하지 않기 때문에 죄책감이 희박하고 대담해지는 경향이 있다(비대면성).
이에 따라 이전과 구별되는 기술 유출 행위에 대응하기 위해서는 기존과 다른 관점의 보안대책 수립이 요구된다. 무엇보다 시스템, 네트워크, 데이터베이스 등과 정보자산 관리 중심의 대응 수준을 넘어 정보자산 활용 중심(쓰임새 중심), 다시 말하면 산업자산 가치 중심 보안대책 마련이 요구된다. ICT를 매개로 한 융합 환경에서는 현실 공간과 사이버 공간이 점진적으로 일체화되기 때문에 영역(경계선) 중심의 보호 방법보다는 가치 중심의 차등화된 보안대책이 필요하다. 세부적으로 보안 경제적 관점을 고려해서 모든 정보자산에 대한 획일화된 보안대책 적용 수준을 넘어 보호 대상 가치와 활용 정도에 따라 다차원적 보안대책을 적용해야 한다.
기업 대상의 가치사슬 기반 보안대책이 마련된 다음에는 산업 네트워크 관점에서의 보안대책 수립이 필요하다. 예를 들어 제조업은 모기업과 협력기업 사이에 다양한 협업 활동이 진행되는데(공동 연구개발, 원부자재 수급, 공동생산과 조립 등) 업무절차와 정보흐름 등을 고려해 차별적인 보안대책을 마련해야 한다. 사이버 공격이 발생한 이후에는 일반적으로 시스템과 네트워크 복구·복원이 진행되는데 이런 복구·복원 과정에서도 가치사슬과 지속 가능성 관점에서 선택적 우선순위가 고려돼야 한다.
최근 산업사회 전반에 걸쳐 산업별 단편적인 디지털화 수준을 넘어 제품·서비스 자체는 물론 R&D, 생산 공정별 디지털화된 데이터를 매개로 한 혁신과 대전환 과정이 진행되고 있다. 이러한 과정을 통해 1차 데이터 연계 수준, 2차 데이터 통합 수준을 넘어, 3차 지능화된 서비스 제공을 목적으로 하고 있다. 단계적 진화 과정에 대한 안정적 성장을 확보하기 위해서는 무엇보다 신뢰 수준의 보안이 선행돼야 하며, 이는 경제 안보 관점에서 거시적 접근을 요구하고 있다.
경제 안보 문제는 0과 1의 이분법적인 논리로만 해결될 수 없으며, 산업 생태계에 대한 기본 이해를 바탕으로 법·제도 제·개정, 경영관리 혁신, 범죄심리 해석 등 입체적 지식과 융합적 해결 역량을 필요로 한다. 다소 거리가 있었던 안보와 경제, 보안 간 새로운 변화 흐름을 기대해 본다.
장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr
〈필자소개〉장항배 중앙대 산업보안학과 교수는 (사)한국산업보안연구학회 학회장을 지냈다. 현재 4단계 BK21 '사이버 물리공간 청정화 연구사업단' 단장직을 수행하면서 미래 융합 공간에서 오염요소(기술유출과 탈취, 사이버범죄 등)를 최소화하기 위한 다학제적 연구를 진행하고 있다. 2019년부터 한국공학한림원 기술경영정책분과 일반회원으로 활동하고 있다.
