국내 기업 대응책 수준은

최근 국가정보원 산업기밀보호센터가 발표한 자료에 따르면 지난 2004년부터 2008년까지 160건의 산업 기술 유출 사건이 적발됐으며 피해액은 253조4300억 원에 달하는 것으로 알려졌다. 특히 국내 첨단 산업이 발전하면서 유출 사건도 점차 늘어나는 추세다. 지난 2007년 32건이었던 적발 건수는 지난해 42건으로 늘었다.이처럼 늘어나고 있는 기술 유출 때문에 기업들의 정보 보안에 대한 대응 수준도 그 어느 때보다 높아지고 있다.LG전자는 지난 3월부터 회사 보안 강화 차원에서 보안 규정을 위반한 직원에게 벌점을 부여하고 있다. 벌점은 중요도에 따라 5점, 10점, 15점이 있다. 노트북에 암호가 설정되지 않거나 방문객 관리 절차가 미흡할 경우 5점, 중요 문서를 방치하거나 개인 저장 매체를 사용하면 10점, 저장 매체 외부 반출과 비문 관리 절차 위반 시에는 15점을 받게 된다.적발된 보안 위반 사례는 모두 조직 책임자에게 통보된다. 연간 누적으로 벌점 30점이 넘으면 팀장 통보, 70점이 넘으면 징계 심사가 이뤄진다. LG전자 관계자는 “징계 관점이 아니라 보안 사고 예방 차원에서 실시하는 것으로 임직원들의 보안 의식이 보다 높아질 것으로 본다”고 말했다.LG전자는 또 2월 말부터 문서를 출력할 때 사원카드 인증을 의무화했다. 회사 직원이 아닌 외부인은 복사기를 사용할 수 없게 된다. 문서 출력 외에도 복사, 자료 스캔, 팩스 전송도 마찬가지로 사원카드 인증이 필요하다. 사내 메일로 문서들이 옮겨져도 경로 파악이 가능하고 모든 문서가 암호화돼 자료 파일이 회사 밖으로 유출될 위험이 없었다. 하지만 출력물은 관리가 쉽지 않아 보완이 필요한 상황이었다. LG전자 관계자는 “제도 도입 후 모든 문서 작업들이 관리되기 때문에 출력을 한 번 하더라도 신중해진다”고 말했다.SK텔레콤은 보안을 총괄하는 최고보안책임자(CSO) 제도를 운영하고 있으며 고객 정보 보호를 위한 책임 임원인 CPO(Chief Privacy Officer:개인정보관리책임자)를 별도로 두고 있다. 또 전사적인 정보 보안 조직을 구성하고 현업부서를 포함해 보안 담당자를 지정해 보안 상태를 점검 및 관리할 수 있는 체계를 운영하고 있다. 자회사와의 보안 협의체를 구성해 정기적으로 보안 이슈에 대해 공유하고 보안 점검 및 대응도 지원하고 있다.기술 측면에서는 보안 시스템 구축 및 인프라 고도화에 대규모 투자가 진행 중이다. 먼저 새로 개정된 정보통신망법에 따라 고객 데이터베이스(DB) 암호화, 아이핀((i-PIN·Internet Personal Identification Number:인터넷 개인 식별번호) 구축 등을 전사적으로 추진하고 있다. 이와 함께 외부 침해, 내부 정보 유출 등에 대한 인프라를 구축하고 있으며 보안관제센터를 통한 실시간 모니터링을 실시하고 있다.삼성전자는 PC 내 문서 암호화 등 PC 보안 활동을 중심으로 기록·저장기기에 대한 반출·입 관리, 임직원 보안 의식 고취를 위한 교육의 강도를 높이고 있다. 삼성전자는 또 전 사원들을 대상으로 연중 온라인 교육을 실시하고 있으며 신입 사원에게도 사내 교육과정을 활용해 강도 높은 보안 교육을 실시하고 있다.포스코는 올해 3월 정보 보안 전담 인력을 30여 명 수준으로 충원했다. 특히 100여 개가 넘는 포스코 사내의 각 부서마다 한 명씩 담당자를 지정해 총 130여 명의 보안 담당자들이 촘촘히 산업 기밀 유출을 막도록 하고 있다. 또 정보 관리 시스템을 도입해 중요 문서의 보안 등급을 지정해 등급에 맞는 직원만 열람이 가능하게 하는 것은 물론 문서 열람이나 유출의 기록이 모두 서버상에 남도록 해 책임 소재를 명확히 하고 있다.특히 최근 큰 문제가 되고 있는 퇴직자들의 정보 유출과 관련해서는 퇴직 시 업무에 사용한 PC나 문서 등 각종 자료를 반납하게 하고 ‘부정경쟁방지및영업비밀보호에관한법률’에 따라 ‘영업 비밀 보호 서약서’ 작성을 의무화하고 있다.이처럼 최근 대기업들은 회사마다 고유한 보안 시스템을 도입하는 것은 물론 정보 보안 국제 인증인 ‘ISO-27001’을 속속 획득하고 있다. ISO-27001 인증은 국제표준화기구(ISO)가 제정하고 영국표준협회(BSI)가 인증하는 정보 보안 관리 체계에 대한 국제 규격으로, 위험 관리와 보안 정책 등 11개 분야 133개 항목에 대한 심사를 실시해 인증을 수여한다. 포스코 관계자는 “현재 국내 대기업의 정보 보안 수준은 시스템적으로는 선진국 수준에 진입했다”며 “문제는 자금력이 달리는 중소기업의 경우 이 같은 시스템을 도입하기 어려워 기술 유출에 무방비 상태라는 점”이라고 지적했다.방송통신위원회와 한국인터넷진흥원(구 정보보호진흥원)이 지난 3월 발표한 2008년 정보 보호 실태 조사에 따르면 기업들이 정보화에 투자하는 비용 대비 정보 보호 투자 비율이 3% 미만인 경우가 82%에 달했으며 44.5%는 정보 보호 지출을 전혀 하고 있지 않은 것으로 나타났다. 또 국가정보원 산업기밀보호센터에 따르면 기술 유출 시도의 60%가 중소기업에서 벌어지지만 중소기업의 78%가 보안 비용으로 매출액의 1%도 쓰지 않고 있다고 한다.즉, 다수의 중소기업들이 핵심 기술을 개발하고 사용하는 데는 많은 노력을 기울이고 있지만 이를 지키는 것에는 소홀한 것이다.하지만 기업의 정보 보안과 관련해 무엇보다 중요한 것은 ‘사람’에 대한 관리라는 분석이다. 실제로 국가정보원이 적발한 166건의 유출 중 전·현직 직원에 의한 것이 138건으로 82.5%를 차지하고 있다. 실제로 지난 5월 벤처기업 J사의 연구소장 강모 씨는 현금 200억 원과 부회장 직책을 약속받고 ‘수소저장 합금 기술’ 도면을 중국 업체에 팔아넘긴 사례가 적발됐다. 이 때문에 독일 회사와 계약이 깨진 J사는 피해액을 10억 유로(1조7554억 원)로 추산했다.한 정보 보안 관련 담당자는 “특히 정보에 대한 접근이 자유로운 임원급 이상 최고경영자 층은 시스템에 의한 관리가 매우 힘들다”며 “국내 기업 문화상 이들의 경우는 아직 개인의 ‘양심’에 기대고 있는 수준”이라고 털어놓았다.이 때문에 전문가들은 ISO-27001 적용과 같은 시스템적인 보안과 함께 핵심 인재에 대한 관리가 철저히 이뤄져야 한다고 지적했다. 박성배 삼성경제연구소 수석연구원은 “적절한 보상과 동기부여를 통해 핵심 인재를 보호하고 유지하는 것이 기술 유출 방지의 첫걸음”이라고 강조했다. 특허 등 지식재산권의 형태로 기술을 보호할 수도 있지만 대부분의 경우 중요한 기술과 노하우는 사람의 머릿속에 들어 있다는 것이다. 그는 “인재의 주요 업적에 대해 공정하고 객관적인 보상을 실시하고 전문가로서 자부심과 명예를 느낄 수 있도록 다양한 동기부여를 해야 한다”고 말했다.아울러 정보 보호 관련법들의 수위를 더 높여야 한다는 지적도 많다. 장영복 포스코정보보호 그룹 팀장은 “국내 개인정보보호법 등은 물론이고 기업의 정보 보안 관련 법들의 처벌 수위는 외국의 사례와 그 중요성에 비해 지나치게 낮은 감이 있다”며 “현재 국회에 계류 중인 관련법들의 개정안이 하루 빨리 통과돼야 한다”고 말했다. 장 팀장은 또 “펩시에 코카콜라의 제조법을 팔려다 펩시 측의 신고로 덜미를 잡힌 사례처럼 국내사 간에서도 올바른 경쟁 문화가 이뤄져야 할 것”이라고 덧붙였다. 이홍표 기자 hawlling@kbizweek.com