인공지능 영상인식 기반의 정보보호 및 보안 솔루션을 제공합니다.
Issue Briefing
‘내부자 소행’ 산업기술 유출 반복…화면 촬영 사각지대 주의
국내 기업의 산업기술 유출 사고가 반복되고 있습니다. 최근 특허청기술디자인특별사법경찰과 대전지검 특허범죄조사부가 국가첨단전략기술이 포함된 이차전지 관련 자료를 허가 없이 반출한 국내 이차전지 대기업 전직 팀장을 ‘국가첨단전략산업 경쟁력 강화 및 보호에 관한 특별조치법’ 위반 등 혐의로 구속기소 했습니다.
해당 팀장은 2023년 10월 에이전트를 통해 해외소재업체 대표를 만나는 등 이직을 고려하던 무렵 팀장에서 면직된 후 퇴사를 결심했으며, 그해 11월부터 지난해 2월 퇴사 시점까지 자택 등에서 업무용 노트북으로 자신이 다니던 기업의 가상 PC에 접속해 촬영하는 방법으로 자료를 무단 반출한 혐의를 받고 있습니다.
빼돌린 자료에는 현재 수조원에서 수십조원의 계약이 진행 중인 계약이 진행 중인 이차전지 주요 품목의 셀 설계 정보, 제품·기술 개발 및 제조·원가 로드맵과 같은 중장기 종합 전략 자료, 음극재 등 핵심 소재 개발 정보가 포함된 것으로 알려졌습니다. 특허청에 따르면, 사진 파일로는 3천여 장에 이르고, 이 가운데 일부는 국가첨단전략기술 및 국가핵심기술에 해당하는 자료로 밝혀졌습니다.
지난 5월에도 서울중앙지검 정보기술범죄수사부가 산업기술 유출방지 및 보호에 관한 법률 위반 등의 혐의로 국내 한 반도체 기업의 전 직원 김모 씨를 구속기소한 바 있습니다.
자사의 첨단 반도체 핵심 기술 자료를 타국에 유출한 혐의입니다. 촬영된 자료는 총 1만여 장에 달했으며, 일부는 보안 문구나 회사 로고를 지워 출처를 은폐한 것으로 조사됐습니다. 내부자 소행이라는 점이 충격을 더했습니다.
사진 촬영을 통해 기술을 유출했다는 것도 주목할 점입니다. 그동안 기업들이 종이 문서나 저장 장치 등을 통한 기술 유출을 차단하는 보안 시스템을 구축하는 데에는 많은 투자와 노력을 기울인 반면, 중요 정보가 실시간으로 노출되고 있는 모니터 화면을 무단으로 촬영해 기술을 유출하는 시도에 대해서는 보안 사각지대로 방치되고 있다는 지적이 나오고 있습니다.
K기술 해외 유출 피해 규모 23조원 육박
국가핵심기술의 해외 유출 사건이 급증하고 있습니다. 대검찰청에 따르면, 최근 6년간 기소된 기술유출 사건은 396건으로 집계됐습니다. 특히 반도체, 2차전지, 디스플레이 등 첨단 기술을 겨냥한 범죄가 이어지면서 2020년부터 작년까지 발생한 피해 규모는 23조원에 이르는 것으로 추산됩니다. 기술 유출 수법도 갈수록 지능화되고 있어 심각성이 더하고 있습니다.
대검은 앞서 2022년 9월 대검 과학수사부 산하에 기술유출범죄 수사지원센터를 설치했습니다. 수사 결과 2년 8개월간 기술 유출 사범 226명을 입건하고 73명을 구속기소했으며, 약 1238억원의 범죄수익을 환수했습니다. 또한 검찰의 구속·구형에 관한 사건처리 기준을 강화하고 대법원 양형 기준 상향을 추진했습니다. 대법원 양형위원회는 지난해 3월 검찰과 특허청 등 유관기관의 의견을 수렴해 선고 형량 기준을 높였습니다.
경찰청은 지난해 해외 기술 유출 검거 사건 27건 중 20건(74%)이 중국과 연관돼 있다고 밝혔습니다. 핵심 기술이 주로 중국으로 유출되면서 한국 산업의 기술력과 경쟁력이 중국에 추격당하거나 역전되고 있습니다. 국가핵심기술이 해외로 유출되면 나라의 경제와 안보를 위협할 수 있으므로, 기업 및 기관의 보안 강화에 대한 중요성이 더욱 강조되고 있습니다.
개인정보보호위원회, 정보보호 투자 의무화 추진…이상행위 탐지 시스템 구축 등
개인정보보호위원회가 전 산업군 조직에 적용할 종합적인 안전관리 대책 수립을 검토 중입니다. 개인정보위는 기업 및 기관의 정보보호 투자 비중을 전체 정보기술(IT) 예산의 15%까지 확대하도록 유도하는 등 구체적인 과제를 마련해 중점 추진할 방침입니다.
과제에 제시된 인력 기준(가안)에 따르면, 기업·기관 등의 조직은 최소 1명 이상의 전담 직원(CPO, 개인정보보호책임자)을 개인정보 보호 업무에 배치해야 합니다. 또한 전체 IT 인력의 최소 10%는 개인정보 보호 업무를 병행 또는 전담하도록 권고하고 있습니다.
아울러 오는 2027년까지 전체 IT 예산의 최소 10%, 2030년까지 15%를 정보보호 관련 예산으로 확보하도록 의무화할 계획입니다. 이 예산에는 ▲이상행위 탐지 시스템 구축 ▲취약점 점검 ▲모의해킹 등 정보보호를 위한 핵심 보안 활동에 필요한 투자 항목이 포함됩니다.
보안 연구기관 IANS리서치·아티코는 2023년 보고서를 통해 미국 기업의 정보보호 투자 비중은 IT 예산 대비 평균 10.5%를 기록했다고 발표했습니다. 반면 우리나라의 경우 2021~2023년 기준 6.1%에 그치고 있어 개선이 필요하다는 지적입니다.
조직 내 CPO의 역할도 강화될 전망입니다. 개인정보위는 CPO에 예산 편성, 이사회 보고, 전사 부서 협업 등의 권한을 부여함으로써, CPO가 단순히 법적 책임자가 아닌 조직 전략 차원의 보안 리더로 기능할 수 있도록 제도 기반을 정비할 예정입니다.
제로트러스트 2.0 기반 무자각 지속인증 보안 시스템 중요성 대두
최근에 일어난 일련의 사건으로 기존의 단일 인증 방식의 한계가 드러나면서, 최초 검증 이후에도 지속적인 검증과 감시가 필요하다는 보안 전문가들의 주장이 설득력을 얻고 있습니다. 최초 인증 이후 시스템 접근 또는 정보 유출 행위가 무방비로 방치된다면 보안에 허점이 생길 수밖에 없다는 지적입니다. 이는 ‘모든 접근을 신뢰하지 않고, 지속적으로 검증한다’는 정부의 ‘제로트러스트’ 정책과도 닿아 있습니다.
오늘날의 기술적 진보는 ‘무자각 지속인증’이라는 개념을 현실화했습니다. 무자각 지속인증 기술은 사용자가 별도의 인증 행위를 의식하거나 반복하지 않아도 인증 시스템이 사용자의 얼굴과 행동을 지속적으로 모니터링해 실시간으로 사용자의 신원을 확인하고 이상 행위를 탐지하는 기술로, 기존의 단일 인증 시스템의 한계를 극복했습니다.
보안 사고가 이미 터진 뒤에 대책을 마련하고 관련자를 처벌하는 것은 사후약방문에 지나지 않는다는 목소리가 높아지고 있습니다. 이에 따라 사고를 사전에 예방하는 것은 물론, 사고가 발생하더라도 즉각적으로 인지하고 대응할 수 있는 시스템에 대한 필요성이 부각되고 있습니다.
[전문 목차(링크)]