[국가 기밀이 샌다] (5) 보안 마인드를 바꿔라...예비군 중대장이 보안 담당자?


2005년 내부자에 의해 기술 유출 사고를 당할 뻔한 대기업 계열 A사.당시 한 직원이 경쟁사로 이직하면서 400억원이 투입된 기술의 핵심자료를 개인 이메일로 몰래 빼돌린 사실이 적발됐다.

다행히 회사 측의 발빠른 대응으로 기술 유출은 막았다.하지만 이 회사는 여전히 후유증에 시달리고 있다.

사건 직후 거래업체에서 "당신네 회사의 보안 수준을 믿을 수 없다"며 일방적으로 거래를 끊어버린 것.A사는 부랴부랴 보안 전담팀을 신설하고 연구자료를 개인 이메일이나 이동식 저장장치(USB)에 보관하는 것을 금지하는 등 재발 방지에 나섰지만 이미 '소 잃고 외양간 고치기'였다.

A사가 연구자료를 무단으로 복사하거나 변조하는 것을 막는 프로그램(DRM:디지털 콘텐츠 무단 복제·변조 방지 프로그램)을 설치하는데 쓴 돈은 1억원 정도.이 돈을 아끼느라 400억원의 기술 개발비가 날아갈 처지가 된 셈이다.
A사 관계자는 "좀 더 일찍부터 보안에 신경썼다면 이런 일은 없었을 텐데…"라고 후회했다.

1960년대 이후 급속한 경제 성장을 거치면서 국내 기업들은 물건을 만들어 팔기에 바빴다.

'확보된 기술을 어떻게 지킬까'는 뒷전이었다.기술 수준이 낮을 때는 그래도 별 탈이 없었다.

하지만 기술 수준이 높아진 지금까지도 기업들의 생각은 크게 바뀌지 않았다.

한국산업기술진흥협회가 지난해 부설연구소를 보유한 459개사를 대상으로 설문조사를 실시해봤다.결과는 '수준 이하'였다.

내부자를 통한 기밀 유출을 막는 기본 프로그램이라고 할 수 있는 DRM을 설치한 기업은 전체의 6.1%에 불과했다.

그나마 대기업(21.3%)은 좀 낫지만 중소기업(2.1%)이나 벤처기업(2.3%)은 '엉망'이었다.

사내에 보안전담 부서를 둔 기업과 보안 등급에 따라 문서유통 범위를 제한하는 문서관리시스템(DMS)을 도입한 곳도 각각 17.9%와 27.7%에 그쳤다.

기밀 유출 사고가 발생했을 때 대응 조치가 부실한 곳도 한둘이 아니었다.

형사고발,수사기관 통보,보안 시스템 강화 등 특별 조치를 취하지 않는 회사가 27.1%나 됐다.

보안 전문 인력과 예산이 부족하다 보니 그냥 '쉬쉬'하고 넘어가는 곳이 많다는 것이다.

보안의식 부족은 중소·벤처기업으로 갈수록 훨씬 심각하다.

"당장 먹고 살기도 바쁜데 언제 보안에 신경쓰겠느냐"(모 중소기업 관계자)는 의식이 팽배하기 때문이다.

김종길 한국산업보안연구소 소장은 "중소기업에 가보면 예비군 중대장이 보안담당자로 돼 있는 곳도 있을 정도"라고 말했다.

중소기업의 보안 의식 부족은 단지 중소기업만의 피해로 끝나지 않는다.

대기업과 중소기업이 협력 관계로 묶여있는 경우가 많은 만큼 대기업 기술이 중소 협력업체를 통해 유출될 가능성이 있다는 점에서다.

대기업에 제품을 납품하는 모 중소기업 대표는 "대기업에서 하청업체 사장단을 대상으로 보안교육을 실시하지만 교육 내용이 막연하고 교육횟수도 1년에 한 번 정도여서 제대로 된 보안교육이라고 볼 수는 없다"고 털어놨다.

노민선 한국산업기술진흥협회 전임연구원은 "보안에 투자하면 '쓸데 없는데 돈 쓴다'는 사고부터 바꿔야 한다"며 "보안은 선택이 아니라 필수"라고 강조했다.

이제 국내 기업들도 보안을 단순한 '기술'이 아니라 '경영' 차원으로 격상시킬 필요가 있다는 지적도 나온다.

미국의 마이크로소프트(MS)나 제너럴모터스(GM)가 사내에 최고보안책임자(CSO:Chief Security Officer)를 두고 있는 게 좋은 예다.

삼성그룹 관계자는 "CSO는 최고경영자(CEO) 경호부터 시설 안전관리,법률 문제 대응,기술 유출 대응 등 사내 보안 관련 전반을 관장한다"며 "CSO를 둔다는 것은 최고 경영 단계에서부터 직접 보안에 신경쓰게 되는 만큼 한층 수준높은 보안이 가능하다"고 말했다.

현재 국내 기업들은 삼성전자를 포함해 CSO를 두는 곳이 거의 없다.

각 분야별로 따로따로 담당자가 있을 뿐이다.김종길 소장도 "대기업의 경우 출입통제라든가 문서보안 같은 물리적 보안은 일정 수준 이상으로 올라섰다"며 "문제는 보안 관련 사안을 종합적이고 통합적인 수준으로 컨트롤하는 인력이 없다는 점"이라고 지적했다.

기획취재부=김수언/주용석/류시훈 기자 indepth@hankyung.com