중소기업기술지킴센터 보안관제팀 관계자들이 365일 24시간 체제로 근무하면서 회원사 내부정보유출방지와 악성코드탐지 등을 실시간으로 모니터링하고 있다. /사진제공=중소기업기술지킴센터지난 2월 중소기업기술지킴센터 보안관제팀은 식품업체 A사의 전산시스템에서 평소와 달리 많은 양의 데이터가 e메일로 전송되는 순간을 포착했다. 파일명에서 주요 자료임을 직감한 팀 관계자는 곧장 A사 보안담당자에게 알렸다. A사는 자체 조사에서 연구개발팀 직원이 제품의 성분 배합비율이 담긴 파일 30여개를 메일과 USB로 빼낸 사실을 확인했다. A사는 센터의 내부정보유출방지서비스 덕에 핵심기술 외부유출을 막을 수 있었다.
국가핵심기술을 보유한 중소기업 B사에 해커가 방문했다. 해커는 순식간에 전산시스템 방화벽을 뚫고 각종 내부 정보를 빼냈다. B사 관계자들이 자사 서버와 네트워크 장비, 웹페이지 등에서 찾을 수 없었던 보안 허점을 직접 확인하는 순간이었다. 지난 2016년 국가정보원과 한국산업기술보호협회의 ‘보안 원터치 지원사업’으로 진행된 모의해킹을 통해 B사는 보안 취약점을 파악하는 동시에 보안에 대한 인식을 강화하는 계기를 갖게 됐다.
“기술보호는 인식의 문제가 아니라 생존의 문제입니다. 중소기업은 핵심기술 하나만 빠져나가도 (회사가) 무너집니다.” 한 강소기업 보안 담당자는 2010년 내부 직원의 기술유출로 곤욕을 치렀던 경험을 바탕으로 “기술유출은 (기업에) 치명적이라 예방만이 살 길”이라고 강조했다.
중소기업이 기술유출을 막기 위해서는 선제적이면서 입체적인 전략이 필요하다. 단편적인 보안교육만으로는 범죄의 진화속도를 따라잡을 수 없다는 게 전문가들의 견해다.
중소벤처기업부가 제시한 ‘기술보호 10대 수칙’을 보면 보안의 첫걸음은 내부 관리규정을 마련해 시행하는 것이다. 규정에는 핵심기술이나 영업비밀에 대한 분류와 취급·보관·파기 방법, 직원 의무, 출입자 통제 등을 종합적으로 담아야 한다. 또 보안관리 전담인력을 지정하고 핵심기술 리스트를 작성해 선별적으로 관리하는 노력은 기본이다. 기술유출 가담자 대부분이 내부직원이라는 점을 고려해 보안교육은 물론 비밀유지서약서와 전직금지서약서 작성, 퇴직자 사후관리 등의 조치도 취해야 한다. 직원이라도 쉽사리 핵심기술과 주요 설비에 접근할 수 없도록 하는 내부통제도 필요하다.
하지만 인력과 자금 사정이 열악한 중소기업 입장에서는 기본적인 조치조차 취하기 어려운 게 현실이다. 이러한 기업들은 정부의 각종 지원사업을 통해 기술보호 전략을 짜고 시스템을 갖출 수 있다. 관련 부처와 기관은 대부분 기술보호를 위한 상담과 컨설팅을 각각 지원한다. 전문가들이 직접 보안시스템을 진단하거나 시스템 구축에 도움을 준다.
대표적인 사업은 중기부의 ‘기술지킴서비스’. 24시간 보안관제, 내부정보유출방지, 악성코드탐지 등을 지원한다. 올해 회원사 수가 6,500개사를 넘어설 정도로 관심을 끌고 있다. 기술유출방지시스템을 구축하려는 중소기업은 총 사업비의 50%, 최대 4,000만원까지 비용 지원도 받을 수 있다. 핵심기술을 안전하게 보관하고 소송이나 분쟁에 대비해 기술개발 사실을 입증할 수 있도록 한 ‘기술자료임치제’도 주요 지원사업이다.
산업통상자원부는 산업기술보호협회를 통해 보안인프라 진단 등 각종 컨설팅을 상시 진행한다. 국정원은 국가핵심기술을 보유한 중소·중견 기업을 대상으로 종합 보안컨설팅인 ‘보안 원터치 지원사업’을 해마다 실시하고 있다. 특허청은 영업비밀보호에 초점을 맞춰 자료관리 시스템을 운영한다.
정부의 이러한 각종 지원에도 한계는 있다. 각 기관별로 역할이 다르다 보니 지원 대상이나 내용이 다르거나 겹쳐 사각지대가 생긴다. 중소기업기술정보진흥원의 한 관계자는 “정부 사업은 다양하지만 기업 입장에서 자사에 적합한 지원을 받기가 쉽지는 않다”며 “입체적인 보안 전략을 짜기 위해서는 여러 기관을 찾아다녀야 하는 어려움이 있다”고 전했다. 한 곳에서 원스톱으로 지원받을 수 있는 지원 체계를 갖춰야 한다는 지적이 제기된다.
기업이 예기치 못한 기술유출 사고를 당했을 때도 정부의 도움을 받을 수 있다. 콜센터와 전문가들이 해당 기업에 대처 방법을 안내해준다. 해외 기술유출이 의심될 때는 국정원(대표전화 111)과 경찰(182)이 직접 나서기도 한다.
정보당국 관계자는 “일단 기술정보가 외부로 유출되면 되돌리기가 사실상 어렵다”면서 “기술유출 징후가 발견되면 곧바로 정보·수사 기관에 알려 조기에 대응해야 추가 피해를 막을 수 있다”고 조언했다.
실제로 6월 디스플레이 소재 개발업체 C사는 발 빠른 대응으로 추가 피해를 막을 수 있었다. C사는 핵심기술의 중국 유출 정황을 감지하자마자 국정원에 도움을 청했다. 첨단 장비와 기법을 활용한 국정원 전문가들은 단기간에 기술자료 유출 경로와 종류 등 증거를 확보해 C사 전 직원의 범행을 밝혀냈다.
하지만 정부 지원이 아직도 상담이나 컨설팅 위주라 기술유출에 대한 초동 대응은 미흡하다는 지적이 나온다. 보안업계의 한 관계자는 “기술유출을 빨리, 정확하게 알릴 수 있는 방안이 마련돼야 한다”면서 “기존 상담센터에 신고처리기능을 더하고 인터넷과 모바일을 통한 신고도 활성화할 필요가 있다”고 말했다.
김선영 중소기업기술지킴센터장은 “산업단지나 공업단지처럼 중소기업이 많이 몰려 있는 지역에 보안 전문가를 의무적으로 배치하면 기업에 맞춤형 지원서비스를 제공하고 기술유출에도 신속하게 대응할 수 있다”고 강조했다. /대전=김성수 선임기자 sskim@sedaily.com
