2018년 새해맞이 ‘기술유출 자가 보안 진단’, 우리 기업/기관의 점수는?

안녕하세요? 이스트시큐리티입니다.

2018년 새해를 맞이하여 많은 분들이 새해 소원과 더불어 신년 계획을 세우셨을 텐데요. 그 중에서도 지난 한 해 동안 챙기지 못했던 자신의 건강 상태를 관리하기 위해 건강 검진을 받거나 건강 식품을 주문해 보신 분들도 있을 겁니다. 

보안도 건강만큼이나 미리 예방하고 수시로 체크하는 것이 중요합니다. 최근 기업/기관을 타깃으로 계속되는 랜섬웨어 공격이나 취약점을 이용한 스피어피싱 등도 중요 이슈이지만, 여전히 기술 유출로 인한 피해도 상당하며 빈번하게 발생하고 있습니다.

기술유출 피해현황 (기술보호 역량 그래프)

출처 : 중소기업 기술보호 지침 (중소벤처기업부) 

위 그래프에서 알 수 있듯이, 기술보호 역량은 매년 상승하고 있지만 특히, 중소기업의 경우 대기업 대비 71.3% 수준에 불과하여 기술유출에 취약한 실정입니다. 또한 국내 기술유출에 따른 피해도 연평균 50조 원으로 추정된다고 합니다.

2018년 새해를 맞아, 이스트시큐리티는 기술유출 자가 보안 진단 체크리스트를 통해 보안상태를 점검해보고 우리 기업 혹은 기관의 기술보호 수준을 알아보는 시간을 마련했습니다.

[자가 보안 진단 체크리스트]

1. 기술보호 규정을 보유하고 있는가?

① 보유하고 있다. (2점)   ② 보유하고 있지 않다. (0점)

 ※기술보호 규정이란 기업별 특성에 맞는 기술정보 보호 및 운영에 관한 보안규정을 말하며, '보안정책서' 또는 '보안지침서' 등에 표현된 규칙 등을 말함

2. 회사가 보유한 주요 정보 및 자산을 보호하기 위해 투자하는 비용수준은 어떠한가?

① 기술적, 물리적, 관리적 기술보호를 위해 매년 일정비용 이상을 꾸준히 투자하고 있다. (2점)

② 특정 기술보호분야에 대해 필요시 비용투자가 이루어지고 있다. (1점)

③ 기술보호분야에 대한 투자가 이루어지고 있지 않다. (0점)

3. 기술보호업무 추진을 위해 외부 전담기관의 도움을 받고 있는가?

① 도움을 받고 있다. (2점)  

② 도움을 받고 있지 않다. (0점)

4. 특허, 실용신안, 디자인 등 지식재산권과 기술 관련 자료(영업비밀)에 대한 권리는 어떤 형태로 설정되어 있는가?

① 모두 권리 설정이 되어 있다. (2점)  

② 일부만 권리 설정이 되어 있다. (1점)

③ 출력문서로 존재하며 권리 설정이 되어 있지 않다. (0점)

5. 중요 기술상/경영상 영업비밀 관련 정보시스템에 보관된 자료는 어떻게 관리되고 있는가?

① 권한별, 직군별 등으로 접근이 제어되어 있다. (2점)  

② 사내 시스템에 접근 가능하면 자료 대부분을 볼 수 있다. (1점)

③ 모든 자료는 언제든지 접근이 가능하다. (0점)

6. 서버 및 DB 현황에 대한 보안점검을 실시하고 있는가? 

① 6개월에 1회 주기로 보안 상태에 대해 점검하고 있다. (2점)  

② 필요가 있을 때만 실시하고 있다. (1점)

③ 보안점검을 실시하고 있지 않다. (0점)

7. 바이러스 침입, 해킹, 내부로부터의 정보유출을 방지하기 위한 대책을 강구하고 있는가? 

① 각종 보안솔루션을 도입하여 사용하고 있다. (2점)  

② 일부 보안솔루션을 도입하여 사용하고 있다. (1점)

③ 보안솔루션 도입은 아직 이루어지고 있지 않다. (0점)

8. 내부에서 생성된 주요 정보 및 소프트웨어는 백업되어 관리되고 있는가? 

① 3개월 1회 주기로 백업하여 관리하고 있다. (2점)  

② 필요시에만 백업하여 관리하고 있다.  (1점)

③ 백업하여 관리하고 있지 않다. (0점)

9. USB, 플래시카메라 등 정보의 저장이 가능한 매체에 대한 관리절차가 마련되어 있는가?

① 관리절차가 마련되어 있다. (2점)  

② 관리절차가 마련되어 있지 않다. (0점)

10. 이메일의 첨부문서에 대한 통제를 실시하고 있는가?

① 이메일의 첨부문서는 문서 통제규정을 활용하여 발송하도록 하고 있다. (2점)  

② 외부로 발송은 통제하고 있으나 회사 내부로 발송은 전혀 통제하고 있지 않다.  (1점)

③ 전자문서 발송에 대한 통제가 존재하지 않는다. (0점)

참고 : 중소기업 기술보호 지침 (중소벤처기업부)

점수	기술보호 수준
14점 이상	양호 수준
8점 이상 ~ 14점 미만	취약 수준
8점 미만	위험 수준

잘 체크해 보셨나요? 진단에 따른 기술보호 수준이 예상과 일치할 수도 있겠지만, 예상보다 낮게 책정되었다면 기술보호에 대한 결점 및 취약성을 보완하여 기술 유출 예방에 조금 더 신경 써 주시길 바랍니다. 

이에 덧붙여 사례를 통해 기술보호 노력의 중요성을 알아보도록 하겠습니다.

[기술유출 피해 사례]

1. 경쟁사로 이직하면서 기술자료를 무단 유출하여 이용한 사례

히터 제조기술을 보유한 A사에 재직하던 갑과 을이 퇴사 후 경쟁사인 B사로 이직한 후, A사에서 취득한 기술자료를 바탕으로 동일 제품을 제조하고, A사의 고객사에게 접근하여 판매하자, 형사 고소를 제기한 사례

2. 퇴사자가 중국인의 제안으로 설계도면 등을 유출하고 기술지도한 사례

피해회사 A에서 설계팀 과장으로 근무하던 갑이 퇴사 시 설계도면 등 기술자료 일체를 USB에 저장하여 반출한 후, 중국인 을로부터 위 기술 자료를 이용하여 복제품을 제작하여 중국에서 판매해보자는 제안을 받고, 을에게 위 기술자료 일체가 저장된  노트북을 주고, 중국에 가서 기술지도를 하며, 그 대가로 수 천 만원을 지급받았으나, 복제품 개발에 실패하자, 중국인 을이 앙심을 품고 A사에게 범행을 알려준 사례

위 두 사례에서 한 기술유출 피의자는 무죄 선고를 받았습니다. 어느 사례일까요?

바로, 1번 사례입니다. 판결문에 따르면 A사가 기술정보와 경영정보를 비밀로 유지하기 위한 기술보호 노력을 하였다고 보기 어려워, 영업 비밀로 인정받기 어렵다는 것이었습니다. 반면, 2번 사례의 경우 평소 임직원에 대한 보안서약서 징구, 설계도면 등 기술정보의 저장매체를 최소화하는 등 여러가지 실질적 보안조치를 성실히 임하여, 재판에서 영업 비밀로 인정 받을 수 있었습니다. 

즉, 영업 비밀 (기술정보, 경영정보)로 인정받기 위해서는 경제적 가치가 있고 공지되지 않는 정보라는 점만으로는 부족하고, 또 이런 정보를 지키기 위해서는 합리적인 기술보호 노력을 기울여야 인정된다는 점을 명심 또 명심!해주시기를 바라며, 보안진단 내용을 다시 한번 체크해 보시기를 권장드립니다.

감사합니다.