한 대기업의 해외 지사가 랜섬웨어에 감염돼 금전 요구를 받게 된 사건이 있었다. 그런데 금액이 대기업에 요구한 몸값치고는 너무 작았다. 이를 이상히 여긴 보안책임자가 며칟날에 걸쳐 CCTV와 근무일지 등을 샅샅이 뒤져 내부자 소행임을 밝혀냈다. 보안책임자는 자신의 성과를 본사에 보고했고 은근히 포상을 기대했다.

그러나 돌아온 것은 보안을 소홀히 해서 내부망이 뚫렸다고 오히려 감사와 징계처분을 받게 됐다. 이후 보안책임자는 이상징후가 있어도 더는 본사에 보고하지 않았다. 보안은 아무리 철저히 해도 공격을 100% 막을 수는 없다. 이 때문에 기업은 핵심자산 유출을 최소화하는 데 역점을 둬야 하고, 여러 요소 중에서 무엇보다 기업 대표의 인식이 중요하다.

옛말에 ‘개미구멍이 큰 둑을 무너뜨린다’는 말이 있다. 여기 또 다른 사례가 있다. 경쟁사로 이직하려는 기술인력의 핵심기술 유출 정황을 포착한 보안담당자가 그 사실을 경영진에게 보고했으나 역시 감사와 함께 경고를 받았다고 한다. 이후 이 기업의 기술인력들이 줄줄이 경쟁사로 이직했고 그 과정에서 많은 기술자료가 유출됐다.

경제규모 10위에 있는 한국 기업들은 이제 지킬 것이 많은 기업이 되었다. 그러나 보안의 중요성에 대한 인식은 여전히 개발도상국 수준에 머물고 있다. 국가핵심기술을 보유한 143개 회사 중 94%가 보안전담조직이 없고, 86%는 보안전담임원이 없다. 글로벌을 주도하는 대기업조차도 인사·법무·보안·연구개발(R&D)이 상호 연계성 없이 운영되면서 보안의 허점을 드러내고 있다.

대기업과 비교해 기술보호 역량이 약 70%에 불과한 중소기업의 상황은 더욱 좋지 않다. 그간 정부의 지속적인 노력으로 기술보호 수준이 개선되고 있으나 여전히 기술유출은 줄어들지 않고 있다.

최근 국방과학연구소(ADD)의 대규모 기술자료 유출 사건과 중국의 해외 인재 유치 계획인 ‘천인계획’에 참여해 자율주행차 관련 국가핵심기술을 중국에 넘겨 구속된 카이스트 교수 사건에서 보듯이 공공연구소와 대학의 경우는 연구성과 유출이 매우 우려되는 상황이다. 대학과 공공연구소의 연구자들은 보안을 연구의 장애물로 취급하다 보니 실제 보안체계나 전담인력이 없는 경우가 대부분이다. 기술보호의 사각지대라고 할 수 있다.

최근 미국정부는 중국인 유학생 중 일부가 첨단기술을 탈취하고 있어 이를 규제하는 조치를 내놓았다. 우리나라에서도 최근 유사한 일들이 일어나고 있으나 별다른 방안을 내놓지 못하고 있다. 정부의 기술보호 정책은 주로 기업을 중심으로 이뤄지고 있는 반면 연구와 대학교육은 과학기술정보통신부와 교육부가 각각 맡고 있어서 제대로 된 기술보안 정책이 마련되지 못하고 있는 실정이다.

이제 한국도 소위 ‘연구보안’의 체계를 강화할 시점이 되었다. 여러 가지 방안 중 우선으로 대학과 공공연에 연구보안 체계를 정비하고 보안역량을 배양할 전문가를 파견하는 일이다. 과거 특허청은 대학에 ‘특허관리전문가 파견사업’을 통해 대학의 연구성과를 지식재산으로 보호·관리할 수 있었고, 나아가 기술이전과 창업 등 사업화를 통해 수익을 창출할 수 있었다. 이처럼 대학·공공연에도 ‘보안전문가 파견’ 지원을 통해 우수한 연구성과를 잘 지키고 이를 통해 국가의 기술경쟁력을 제고해야 할 것이다.

출처 : 손승우 중앙대 산업보안학과 교수, [뉴웨이브]기술유출의 사각지대, 대학과 공공연, 아시아경제, 2021.03.30 ([뉴웨이브]기술유출의 사각지대, 대학과 공공연 - 아시아경제 (asiae.co.kr))