2020.11.17

강은성의 보안 아키텍트ㅣ산업기술보호법에도 최고보안책임자?

강은성 | CIO KR
지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.
 
ⓒGetty Images

이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설). 

‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다. 

인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51개사(35.6%)에 불과하다는 조사 결과를 인용하면서 애플, IBM 등 글로벌 대기업이 보안 전담 부사장을 두고 있는 것과 비교한다.

그러나 개정안의 ‘제안 이유’와는 달리 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”는 내용은 없다. 우선 애플, IBM과 비교 대상이 될 만한 국내 글로벌 대기업인 삼성전자, LG전자, SK하이닉스, 현대자동차에서 “(국가)핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”거나 애플, IBM보다 기술 보호 수준이 떨어진다는 주장은 ‘한림원’이나 개정안 제안 측조차 펴지 못할 것 같다. 

그러한 대기업에서는 기술이 곧 기업 경쟁력이고, 투자 여력도 있어서 핵심기술을 보호하기 위해 투자를 많이 한다. 임원급 CSO 지정 여부가 핵심이 아니다. 오히려 해외 주요국 중 (국가핵심기술을 보호하기 위해) 법률로 민간기업에 임원 CSO를 의무화한 나라가 있는지 조사해 보면 CSO 의무 지정 규제가 이례적임이 드러날 것으로 생각된다.

산업기술보호법의 보호 대상인 국가핵심기술은 “기술적·경제적 가치가 높아, 해외 유출 시 국가안보 및 국민경제 발전에 중대한 악영향을 줄 우려가 있는 산업기술”로서 산업통상자원부 장관이 지정하는 기술(법 제9조)이다. 

국가핵심기술은 산업기술로서 기업의 자산이면서 동시에 국가의 안전보장과 공공복리에 영향을 미칠 수 있음으로 규제는 할 수 있지만, 그에 따른 법익과 민간기업의 의무(손실)가 비례의 원칙에 맞는 한도 내에서 최소한으로 되어야 한다(정민경 책임, “국가핵심기술의 법적 보호와 주요 쟁점”, 제4차 산업혁명과 소프트파워 이슈리포트 2018-제7호(2018)).

국가핵심기술 유출은 기업의 이익을 위해 기술 판매 또는 기업의 인수합병으로 일어날 수 있다. 따라서 기업은 보유 기술이 국가핵심기술로 지정되는 것을 반대하기도 한다(“산업부, 국가핵심기술 7개 신규 지정”, 산업부 보도참고자료 2019.06.20.) 기술 판매나 기업의 인수합병에 정부의 승인을 받아야 하는 등 제약이 따르기 때문이다.

기업의 이익에 반하여 기업 내·외부자에 의해 기술이 유출될 수도 있다. 이에 대해서 지난해 8월, 산업기술보호법이 개정되어 3년 이상 유기징역 및 15억 원 이하 벌금 병과, 15년 이하의 징역 또는 15억 원 이하의 벌금, 10년 이하의 징역 또는 10억 원 이하의 벌금 등 처벌이 크게 강화되었다. 

그래도 부족하다고 여겼는지, 이번 개정안에서 CSO, 담당 인원, 담당 조직 등을 의무화한 것이다(정보통신망법의 CISO 의무 지정과 겸직금지 규제에 영향을 받은 거라면 과도한 규제 강화의 악순환이 되는 게 아닐까 우려된다).

개정안 ‘개정 이유’에 대한 검토, 국가핵심기술의 의미와 보호 현황을 살펴볼 때, 신설 조항(제10조의2)의 재검토가 필요하리라 생각된다.

첫째, 기업의 핵심기술을 보호하기 위해 법률로 민간기업의 임원 직책을 규율하는 것이 타당한지 의문이다. 앞서 설명한 대로 국가핵심기술은 ‘국가’ 차원의 일이기에 앞서 기업의 경쟁력과 생존이 걸린 문제다. 기업이 CSO 지정과 관계없이 핵심기술을 보호하기 위해 최선을 다할 동기가 충분하다. 대기업이라면 더욱 그렇다. 개인정보 보호나 IT 인프라의 보호를 목적으로 한 정보통신망법의 CISO 지정과는 결이 많이 다르다. 

둘째, 정보통신망법이나 전자금융거래법의 CISO 의무 지정을 넘어서서 전담 조직(대기업) 또는 담당 인원 지정(중견기업), 담당 조직 설치(중견·중소기업)를 의무화하는 것은 과도한 규제로 보인다. 

개정안은 민간기업 그것도 중견기업이나 중소기업에까지 조직 설치 의무를 부여한다. 기업이 기술 보호의 동기는 충분하나 방법을 모르거나 투자 여력이 없어서 못 한다면 적극적으로 지원해 줄 일이다.

사업을 하다 보면 기업이 망할 수 있는 수십 가지 이유가 있는데, 국가핵심기술로 지정하여 기업의 권리도 제한하면서 중견·중소기업에까지 상설 조직을 꾸려야 하는 법적 의무를 부과하는 것은 과도해 보인다. 이 또한 주요국의 사례가 있는지 궁금하다.

셋째, CSO 및 보안조직 관련 사항을 산업부 장관과 정보수사기관 장에게 신고하도록 한 것 역시 과도하다. 정보보호나 개인정보보호 관련 법률에서 신고 의무를 둔 조문이 여럿 있으나 동일한 내용을 두 기관에 신고하는 의무가 있지는 않다. 필요하다면 정부 내에서 공유하면 될 일이다.

넷째, 연구기관의 의무 규정을 중소기업 수준에 맞춘 것은 보완이 필요해 보인다. 최근 국방의 핵심 국책연구소에서 USB 등으로 수십만 건의 기술이 유출된 사실이 밝혀져 사회적 문제가 되었다. 보안이 웬만큼 갖춰진 국내 대기업에서라면 벌어지기 어려운 일이다. 

하지만 개정안은 연구기관에 CSO 지정 없이 담당 조직을 설치하는 중소기업에 해당하는 의무 규정만 부과한다. 국책연구소가 보유한 국가핵심기술의 보유 규모나 수준, 예산이 중소기업 수준이라고 본 것인지 모르겠다. 도리어 연구기관의 국가핵심기술 보호 수준을 평가하고 필요하면 CSO 지정 등 이를 강화하기 위한 방안을 법제화하는 것이 먼저 할 일이 아닐까 싶다.

개인정보보호법, 정보통신망법, 전자금융거래법, 정보통신기반보호법에 더하여 산업기술보호법까지 민간에 보안 관련 (임원급) 직책을 의무화한 법령이 계속 늘어난다. 의무화해야 할 타당한 이유가 있다면 최소한 더 많은 중요 정보(개인정보, 국가핵심기술, 국가기밀)를 보유한 정부·공공부터 적용해 보고 그 결과를 검토해 민간에 적용하는 것이 합리적일 것이다. 법 제·개정 주체의 깊은 검토와 합리적인 판단을 기대해 본다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 
 



2020.11.17

강은성의 보안 아키텍트ㅣ산업기술보호법에도 최고보안책임자?

강은성 | CIO KR
지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.
 
ⓒGetty Images

이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설). 

‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다. 

인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51개사(35.6%)에 불과하다는 조사 결과를 인용하면서 애플, IBM 등 글로벌 대기업이 보안 전담 부사장을 두고 있는 것과 비교한다.

그러나 개정안의 ‘제안 이유’와는 달리 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”는 내용은 없다. 우선 애플, IBM과 비교 대상이 될 만한 국내 글로벌 대기업인 삼성전자, LG전자, SK하이닉스, 현대자동차에서 “(국가)핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”거나 애플, IBM보다 기술 보호 수준이 떨어진다는 주장은 ‘한림원’이나 개정안 제안 측조차 펴지 못할 것 같다. 

그러한 대기업에서는 기술이 곧 기업 경쟁력이고, 투자 여력도 있어서 핵심기술을 보호하기 위해 투자를 많이 한다. 임원급 CSO 지정 여부가 핵심이 아니다. 오히려 해외 주요국 중 (국가핵심기술을 보호하기 위해) 법률로 민간기업에 임원 CSO를 의무화한 나라가 있는지 조사해 보면 CSO 의무 지정 규제가 이례적임이 드러날 것으로 생각된다.

산업기술보호법의 보호 대상인 국가핵심기술은 “기술적·경제적 가치가 높아, 해외 유출 시 국가안보 및 국민경제 발전에 중대한 악영향을 줄 우려가 있는 산업기술”로서 산업통상자원부 장관이 지정하는 기술(법 제9조)이다. 

국가핵심기술은 산업기술로서 기업의 자산이면서 동시에 국가의 안전보장과 공공복리에 영향을 미칠 수 있음으로 규제는 할 수 있지만, 그에 따른 법익과 민간기업의 의무(손실)가 비례의 원칙에 맞는 한도 내에서 최소한으로 되어야 한다(정민경 책임, “국가핵심기술의 법적 보호와 주요 쟁점”, 제4차 산업혁명과 소프트파워 이슈리포트 2018-제7호(2018)).

국가핵심기술 유출은 기업의 이익을 위해 기술 판매 또는 기업의 인수합병으로 일어날 수 있다. 따라서 기업은 보유 기술이 국가핵심기술로 지정되는 것을 반대하기도 한다(“산업부, 국가핵심기술 7개 신규 지정”, 산업부 보도참고자료 2019.06.20.) 기술 판매나 기업의 인수합병에 정부의 승인을 받아야 하는 등 제약이 따르기 때문이다.

기업의 이익에 반하여 기업 내·외부자에 의해 기술이 유출될 수도 있다. 이에 대해서 지난해 8월, 산업기술보호법이 개정되어 3년 이상 유기징역 및 15억 원 이하 벌금 병과, 15년 이하의 징역 또는 15억 원 이하의 벌금, 10년 이하의 징역 또는 10억 원 이하의 벌금 등 처벌이 크게 강화되었다. 

그래도 부족하다고 여겼는지, 이번 개정안에서 CSO, 담당 인원, 담당 조직 등을 의무화한 것이다(정보통신망법의 CISO 의무 지정과 겸직금지 규제에 영향을 받은 거라면 과도한 규제 강화의 악순환이 되는 게 아닐까 우려된다).

개정안 ‘개정 이유’에 대한 검토, 국가핵심기술의 의미와 보호 현황을 살펴볼 때, 신설 조항(제10조의2)의 재검토가 필요하리라 생각된다.

첫째, 기업의 핵심기술을 보호하기 위해 법률로 민간기업의 임원 직책을 규율하는 것이 타당한지 의문이다. 앞서 설명한 대로 국가핵심기술은 ‘국가’ 차원의 일이기에 앞서 기업의 경쟁력과 생존이 걸린 문제다. 기업이 CSO 지정과 관계없이 핵심기술을 보호하기 위해 최선을 다할 동기가 충분하다. 대기업이라면 더욱 그렇다. 개인정보 보호나 IT 인프라의 보호를 목적으로 한 정보통신망법의 CISO 지정과는 결이 많이 다르다. 

둘째, 정보통신망법이나 전자금융거래법의 CISO 의무 지정을 넘어서서 전담 조직(대기업) 또는 담당 인원 지정(중견기업), 담당 조직 설치(중견·중소기업)를 의무화하는 것은 과도한 규제로 보인다. 

개정안은 민간기업 그것도 중견기업이나 중소기업에까지 조직 설치 의무를 부여한다. 기업이 기술 보호의 동기는 충분하나 방법을 모르거나 투자 여력이 없어서 못 한다면 적극적으로 지원해 줄 일이다.

사업을 하다 보면 기업이 망할 수 있는 수십 가지 이유가 있는데, 국가핵심기술로 지정하여 기업의 권리도 제한하면서 중견·중소기업에까지 상설 조직을 꾸려야 하는 법적 의무를 부과하는 것은 과도해 보인다. 이 또한 주요국의 사례가 있는지 궁금하다.

셋째, CSO 및 보안조직 관련 사항을 산업부 장관과 정보수사기관 장에게 신고하도록 한 것 역시 과도하다. 정보보호나 개인정보보호 관련 법률에서 신고 의무를 둔 조문이 여럿 있으나 동일한 내용을 두 기관에 신고하는 의무가 있지는 않다. 필요하다면 정부 내에서 공유하면 될 일이다.

넷째, 연구기관의 의무 규정을 중소기업 수준에 맞춘 것은 보완이 필요해 보인다. 최근 국방의 핵심 국책연구소에서 USB 등으로 수십만 건의 기술이 유출된 사실이 밝혀져 사회적 문제가 되었다. 보안이 웬만큼 갖춰진 국내 대기업에서라면 벌어지기 어려운 일이다. 

하지만 개정안은 연구기관에 CSO 지정 없이 담당 조직을 설치하는 중소기업에 해당하는 의무 규정만 부과한다. 국책연구소가 보유한 국가핵심기술의 보유 규모나 수준, 예산이 중소기업 수준이라고 본 것인지 모르겠다. 도리어 연구기관의 국가핵심기술 보호 수준을 평가하고 필요하면 CSO 지정 등 이를 강화하기 위한 방안을 법제화하는 것이 먼저 할 일이 아닐까 싶다.

개인정보보호법, 정보통신망법, 전자금융거래법, 정보통신기반보호법에 더하여 산업기술보호법까지 민간에 보안 관련 (임원급) 직책을 의무화한 법령이 계속 늘어난다. 의무화해야 할 타당한 이유가 있다면 최소한 더 많은 중요 정보(개인정보, 국가핵심기술, 국가기밀)를 보유한 정부·공공부터 적용해 보고 그 결과를 검토해 민간에 적용하는 것이 합리적일 것이다. 법 제·개정 주체의 깊은 검토와 합리적인 판단을 기대해 본다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 
 

X