Offcanvas

보안 / 비즈니스|경제

강은성의 보안 아키텍트ㅣ소재·부품·장비 기업의 기술보호와 정보보안

2022.08.18 강은성  |  CIO KR
소재·부품·장비(소부장) 기업이 국내에서 주목받기 시작한 것은 일본 정부가 2019년 7월 반도체·디스플레이 핵심 소재인 불화수소, 포토레지스트, 플루오린폴리이미드의 한국 수출을 규제하기 시작한 때부터다. 2018년 10월에 우리나라 대법원이 일제 강점기 강제노역 피해자들의 손해배상 소송에서 일본 기업에 배상 판결을 내렸는데, 엉뚱하게 일본은 우리나라에 대한 무역 보복으로 대응한 것이다.

하지만 일본의 예상과 달리 정부는 해당 소재의 일본 의존도를 줄이는 방향으로 목표와 전략을 수립했고, 소재 기업들의 적극적인 투자와 삼성전자와 SK하이닉스의 소재 기업과의 협업을 통해 오히려 소부장기업이 성장하는 계기가 됐다.

주식시장에서는 반도체 소부장 기업뿐만 아니라 자동차, 2차전지 산업의 소부장 기업도 투자자들의 관심을 받게 됐다. 이와 함께 일본의 수출 규제에 대해 다수 국민들이 일본 제품 불매 운동, 일본 여행 가지 않기 운동으로 온 국민이 하나가 된 것이 이러한 계기를 만든 바탕이 됐다. 벌써 3년 전의 일이다.

중소벤처기업부 산하 ‘대·중소기업·농어업협력재단’(협력재단)에서 운용하는 ‘중소기업 기술보호울타리’ 사업이 있다. 이름에서 알 수 있듯 중소(중견)기업의 핵심 기술을 보호함으로써 중소기업의 지속적 성장을 종합적으로 돕는 것이 그 목적이다. 주로 제조업 중심이지만 점차 다른 업종으로도 확장되는 추세다. 
 
그림1. 기술자료 유출 관계자 ⓒ중소벤처기업부, 대·중소기업·농어업협력재단, 「2018년도 중소기업 기술보호 수준 실태조사 보고서」, 2019.1.

중기부에서 매년 발간하는 ‘중소기업 기술보호 실태조사 보고서’에 따르면 기술 유출은 대부분 퇴사자(퇴사 예정자), 현 직원, 협력업체 직원 등 기업 내부를 잘 아는 사람이 고의로 저지른다. 주로 외부에서의 해킹이나 내부자의 실수로 발생하는 개인정보 유출과는 매우 다른 양상이다. 
 
그림2. 기술자료 유출 수단 ⓒ중소벤처기업부, 대·중소기업·농어업협력재단, 「2018년도 중소기업 기술보호 수준 실태조사 보고서」, 2019.1.

이러한 기술자료 유출은 주로 휴대폰을 포함한 이동식 저장매체, 복사·절취, 이메일 등 기술자료 저장 매체를 유출하는 방식으로 이뤄진다. 핵심 인력 스카우트나 관계자 매수 역시 저장 매체의 유출을 동반한다. 대부분 정보보안에서 대응하는 침해 수단이다.

중기부의 기술보호가 주로 인적 보호 관리(비밀유지서약서 작성 등)와 제도적 보호 관리(기술보호 규정 관리 및 영업비밀의 분류 등), 물적 보호 관리(출입 통제 등)에 초점을 맞추고 있는데, 향후 중소기업의 전반적인 정보보안 수준을 높이기 위한 정책이 필요해 보인다.
 
그림3. 기술 또는 경영상의 정보 침해 피해 인지 시기(국내) ⓒ중소벤처기업부, 대·중소기업·농어업협력재단, 「2022 중소기업 기술보호 수준 실태조사 보고서」, 2022.6.

기업이 피해가 발생한 것을 인지하는 시기가 6개월 이내 42.1%, 1년 이내가 42.1%라는 점 또한 문제다. 늦게 발견할수록 증거 수집, 범인 검거, 형사처벌, 손해배상 청구 소송과 같은 대응 활동이 어려워지기 때문이다. 정보보안이나 물리보안 시스템에서 로그 수집과 그에 대한 주기적인 점검이 필요하다. 정보보안이 중요한 또 다른 이유다.

소부장 기업들 중에는 협력 대기업의 요구로 오래 전부터 ISO27001 같은 보안인증을 취득하여 정보보안 관리 체계와 기술적·관리적 보안대책을 구현한 기업도 있지만, 성장에 집중하다 보니 여전히 보안이 취약한 기업도 많다. 보안 실무자들의 노력으로 기술 대책을 일부 구현했지만, 정보보안 거버넌스가 취약하여 실무자가 고생하는 기업도 적지 않다.

정보보호 최고책임자(CISO) 의무 지정 요건에 해당하는 상장업체로서 직전 사업연도의 매출액이 3000억 원 이상인 기업은 정보보호산업법 제13조(정보보호 공시) 및 시행령 제8조(정보보호 공시), '정보보호 공시에 관한 고시'(과학기술정보통신부 고시)에 따라 ‘정보보호 공시’를 해야 한다. 홈페이지를 운영하는 일정 규모 이상의 소부장 기업이 여기에 해당한다. ‘정보보호산업진흥포털’에 게시된 ‘22년 정보보호 공시 의무대상(안)’에도 소부장 기업의 이름이 여럿 보인다.

정보보호산업법 시행령 제8조 제3항에서는 공시 사항으로 ▲ 정보기술부문 투자 현황 대비 정보보호부문 투자 현황 ▲ 정보기술부문 인력 대비 정보보호부문 전담인력 현황 ▲ 정보보호 관련 인증·평가·점검 등에 관한 사항 ▲ 그 밖에 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황을 적시하였다.

여기에서 주목할 점은 정보보호 공시를 CISO가 주관하도록 되어 있다는 것이다(시행령 제8조 제4항). 재무 정보가 핵심인 기업 공시를 CFO가 주관하는 것과 마찬가지다. CFO가 기업 공시를 작성하면서 기업의 (재무적) 활동을 파악하고 조율하듯, 이 조문을 CISO가 기업의 정보보안 활동 전반을 파악하고 조율할 근거로 삼을 필요가 있다.

같은 업종이나 대표적 기업의 공시를 검토하여 내부 보고에 활용할 수도 있다. 어떤 식이든 공시를 위한 공시 사항을 작성하는 것이 목표가 아니라 평소 보안활동의 결과로 공시 사항이 만들어질 수 있도록 사업계획을 세우는 것이 바람직하다. 정보보안 거버넌스가 취약한 기업에서 특히 그렇다.

2000년대 초반에 벤처기업에서 CTO로 일하면서 기술을 탈취당한 적이 있다. 대기업에서 SW 소스와 개발 인력을 빼간 것이다. 경찰에 신고했지만 사이버수사대가 없던 당시 경찰 수준에서는 이를 제대로 대응하지 못했고, 민사소송에서 승소했지만 결국 회사는 극도로 어려워졌다. 한동안 잊고 살다가 협력재단의 기술보호전문가로 선정돼 중소·중견기업의 기술보호에 관해 자문하다 보니 옛일이 떠올라 남의 일 같지가 않다. 

소부장 기업 중에는 매출이 수천억 원에서 수조 원에 이르는 중견기업이 상당수 있다. 보안 투자 여력이 없지 않다. 기술 유출이 기업의 경쟁력에 미치는 영향이 매우 크므로 정보보안조직의 구성과 외부 보안전문가의 활용을 통해 실질적인 기술보호대책을 수립, 추진하여 구성원들이 함께 만들어낸 성과를 보호하고, 지속적 성장의 토대를 쌓기 바란다. 최고경영진이 보안에 관심을 갖고 적극적으로 투자할 때다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.