내부자 단속에 필요한 건 보안 기술과 윤리 재정립
[보안뉴스= 안성진 성균관대학교 컴퓨터교육과 교수] 얼마 전 또 기술유출 사고가 발생했다. 국내 자동차 대기업 내에서 영업비밀로 관리하던 중요한 기술이 협력업체를 통해 해외로 유출됐고, 이것이 서울 지방경찰청 국제범죄수사대에 적발되어 검찰로 송치된 사건이다.
이런 굵직한 기술유출 사건을 접하는 것은 이번이 처음이 아니다. 산업기밀보호센터에서 제공한 통계자료만 봐도 여러 해 동안 몇 백건의 기술유출 사고가 발생했고, 예측 피해액은 날이 갈수록 커지고 있다.
그동안 정보보호는 일반적으로 외부로부터의 공격을 방어하는 유입 트래픽 모니터링과 비인가자에 의한 정보접근을 통제하는 기술에 집중해 왔다. 그러나 기술 보호 활동을 하려다 보니 한계점을 많이 느끼게 된다. 실제로 기업에서는 사전 예방을 위해 정보보호와 독립적으로 자체적인 유출 시나리오나 보안 시그니처를 개발하고 부서를 별도로 두고 있는 곳도 있다.
산업보안 사고가 주로 인가자의 정보접근에 의해서 기술유출이 발생하기 때문에 유출 트래픽 모니터링이 중요한 관점이 되고 있다. 물론 유입과 유출 양방향에 대한 보호활동을 해야 하겠지만 상대적으로 외부로 향하는 정보의 흐름에 대한 보호기술은 부족한 것이 사실이다. 다만 최근에는 개인정보 유출 등과 같은 정보유출 사고가 많이 발생해 이에 대한 관심이 높아지고 있다.
산업보안은 산업의 분야별 특성과 인력에 대한 고려가 있어야 한다. 전기전자, 정보통신 외에도 자동차, 철강, 조선, 원자력, 우주, 의료 등 각 산업분야에 특화된 기술유출 방지대책이 필요하다. 기술 개발이나 제품의 개발이 산업별로 다르게 나타나고 있어 각 분야에 적합한 기술유출 대응기술이 요구되기 때문이다.
조선 분야의 경우 도면을 출력하고 이를 토대로 부분별 공정이 이루어지기 때문에 출력된 도면에 대한 관리기술이 필요하다. 자동차 등과 같이 실물이 보호대상이 되는 경우는 시설보안이 중요하게 인식돼 물리적·논리적 접근과 제품 추적기술 등이 융합적으로 적용되는 보안기술이 요구된다.
.jpg)
국내에서는 기술유출이 대부분 내부자에 의해 발생하고 있다. 이같은 현실에서는 인력에 대한 보호활동과 보안윤리 확보가 무엇보다 중요한 요소다. 인사부서나 총무부서와 같이 타 부서에서 제공되는 정보가 결합되는 인력관리 보안기술이 개발돼야 하고, 산업정보 유출을 예측하고 탐지하기 위한 기술 개발도 필요하다.
또한, 기술에 대한 접근성을 갖고 있는 연구개발 실무자나 관리자의 보안윤리 의식을 제고하기 위한 노력도 함께 기울여야 한다. 전문가가 가져야할 직업윤리로서 보안윤리가 접근돼야 하고 직무교육이나 관련 학과의 교육과정으로 자리매김해야 한다.
기술개발은 기업의 경쟁력과 국가 경제 안보의 능동적 수단이다. 하지만 확보된 기술이 유출된다면 투입된 인력과 예산, 시간 등이 모두 의미를 잃게 된다. 효과적인 산업보안을 위해서는 기존의 정보보호 관점에서 벗어나 새로운 시각으로 바라보는 기술개발이 요구되며 이는 결국 보안윤리 정립을 통해 완성돼야 할 것이다.
[글_ 안성진 성균관대학교 컴퓨터교육과 교수]
[보안뉴스= 안성진 성균관대학교 컴퓨터교육과 교수] 얼마 전 또 기술유출 사고가 발생했다. 국내 자동차 대기업 내에서 영업비밀로 관리하던 중요한 기술이 협력업체를 통해 해외로 유출됐고, 이것이 서울 지방경찰청 국제범죄수사대에 적발되어 검찰로 송치된 사건이다.
이런 굵직한 기술유출 사건을 접하는 것은 이번이 처음이 아니다. 산업기밀보호센터에서 제공한 통계자료만 봐도 여러 해 동안 몇 백건의 기술유출 사고가 발생했고, 예측 피해액은 날이 갈수록 커지고 있다.
그동안 정보보호는 일반적으로 외부로부터의 공격을 방어하는 유입 트래픽 모니터링과 비인가자에 의한 정보접근을 통제하는 기술에 집중해 왔다. 그러나 기술 보호 활동을 하려다 보니 한계점을 많이 느끼게 된다. 실제로 기업에서는 사전 예방을 위해 정보보호와 독립적으로 자체적인 유출 시나리오나 보안 시그니처를 개발하고 부서를 별도로 두고 있는 곳도 있다.
산업보안 사고가 주로 인가자의 정보접근에 의해서 기술유출이 발생하기 때문에 유출 트래픽 모니터링이 중요한 관점이 되고 있다. 물론 유입과 유출 양방향에 대한 보호활동을 해야 하겠지만 상대적으로 외부로 향하는 정보의 흐름에 대한 보호기술은 부족한 것이 사실이다. 다만 최근에는 개인정보 유출 등과 같은 정보유출 사고가 많이 발생해 이에 대한 관심이 높아지고 있다.
산업보안은 산업의 분야별 특성과 인력에 대한 고려가 있어야 한다. 전기전자, 정보통신 외에도 자동차, 철강, 조선, 원자력, 우주, 의료 등 각 산업분야에 특화된 기술유출 방지대책이 필요하다. 기술 개발이나 제품의 개발이 산업별로 다르게 나타나고 있어 각 분야에 적합한 기술유출 대응기술이 요구되기 때문이다.
조선 분야의 경우 도면을 출력하고 이를 토대로 부분별 공정이 이루어지기 때문에 출력된 도면에 대한 관리기술이 필요하다. 자동차 등과 같이 실물이 보호대상이 되는 경우는 시설보안이 중요하게 인식돼 물리적·논리적 접근과 제품 추적기술 등이 융합적으로 적용되는 보안기술이 요구된다.
국내에서는 기술유출이 대부분 내부자에 의해 발생하고 있다. 이같은 현실에서는 인력에 대한 보호활동과 보안윤리 확보가 무엇보다 중요한 요소다. 인사부서나 총무부서와 같이 타 부서에서 제공되는 정보가 결합되는 인력관리 보안기술이 개발돼야 하고, 산업정보 유출을 예측하고 탐지하기 위한 기술 개발도 필요하다.
또한, 기술에 대한 접근성을 갖고 있는 연구개발 실무자나 관리자의 보안윤리 의식을 제고하기 위한 노력도 함께 기울여야 한다. 전문가가 가져야할 직업윤리로서 보안윤리가 접근돼야 하고 직무교육이나 관련 학과의 교육과정으로 자리매김해야 한다.
기술개발은 기업의 경쟁력과 국가 경제 안보의 능동적 수단이다. 하지만 확보된 기술이 유출된다면 투입된 인력과 예산, 시간 등이 모두 의미를 잃게 된다. 효과적인 산업보안을 위해서는 기존의 정보보호 관점에서 벗어나 새로운 시각으로 바라보는 기술개발이 요구되며 이는 결국 보안윤리 정립을 통해 완성돼야 할 것이다.
[글_ 안성진 성균관대학교 컴퓨터교육과 교수]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
