산업기술진흥협회 조사에 따르면 전체 기업 중 보안 관리 규정이 있는 곳은 58.8%에 달한다. 여기에 정보보안 시스템을 구축한 곳도 29.4%며, 문서관리시스템을 운용하는 곳도 27.7%다. 또 보안담당부서를 운영하는 곳은 17.9%며 디지털저작권관리를 하는 기업은 6.1%에 머무르고 있다. 하지만 기업들의 보안관리 규정은 대부분 유명무실하며 보안 담당부서 역시 전문성이 낮고 인력난에 허덕이고 있다. 게다가 기업에 설치한 보안 시스템이란 것이 대부분 출입통제시스템이나 방화벽 등 초보적인 단계의 보안 솔루션이다. 기업들은 주요 문서나 도면 등 콘텐츠를 보호하는 DRM이나 도면문서관리시스템(DMS)에 대한 투자가 낮아 내부로부터 정보 유출이 심각한 상황이다.

세계수준의 우리 기술력 산업스파이들의 표적
검찰과 국정원 및 관련 업계에 따르면 반도체와 디스플레이 등 산업기술에 집중됐던 기술 유출이 최근 와이브로 등 첨단 정보통신 기술 분야로 넓어졌으며, 유출 대상 국가도 중국이 아닌 미국과 일본 등 선진국으로 확대되고 있다. 이렇게 내부자에 의한 기업 중요 정보의 유출은 기업은 물론이고 국가 경쟁력에도 심각한 타격을 주고 있어 이에 대한 대책 마련이 시급한 상황이다. 과학기술부의 '통계로 본 과학한국의 오늘'을 보면 지난 10여 년간 우리나라의 연구개발 투자와 성과 창출은 지속적으로 확대되고 있다. 2004년 정부와 공공, 민간부문을 모두 합친 연구개발비는 총 22조1853억원으로 전년대비 16.3% 증가했다. 10년 전인 1995년의 9조4406억원과 비교하면 괄목할 만한 증가다. 과학기술 인력도 증가하고 있으며 2004년 SCI 게재논문 수는 1만9279편으로 세계 14위, 특허협력조약(PCT)에 의한 국제특허출원은 2005년 총 4747건으로 세계 6위를 기록하고 있다. R&D에 대한 꾸준한 투자로 세계 시장에서 경쟁우위를 점하는 기술이 많아지면서, 핵심기술 유출 또한 급속하게 증가하고 있다. 첨단 기술을 둘러싼 총성 없는 전쟁에서 우리나라가 주요 표적이 되고 있다.
국정원 산업기밀보호센터에 따르면 지난 2003년부터 2006년까지 적발된 기술 유출은 총 92건이다. 4년간 예상 피해액으로 따지면 96조원에 달한다. 이에 더해 적발되지 않아 해외로 빠져나간 기술유출 사례까지 합치면 수백조원에 달할 것이라는 것이 산업보안 전문가들의 중론이다. 지난 2003년 6건에 머물렀던 기술 유출 사건은 2004년 26건, 2005년 29건, 2006년 31건 등으로 매년 지속적으로 증가하고 있다. 피해액으로 보면 지난해 내부정보 유출로 인한 피해액 32조9000억 원이다. 최근 한국산업보안연구소 조사 결과에 따르면 2002년 이후 기업의 핵심 기밀 정보유출로 인한 피해 금액이 1980억원에서 2003년 13조9000억, 지난해에는 32조9000억으로 기하급수적으로 증가하고 있으며, 적발되지 않은 사건을 감안하면 이 규모는 훨씬 클 것으로 추정된다. 분야별로는 반도체·휴대폰 등 정보기술 분야가 70% 이상을 차지하고 있으나 최근에는 정밀기계와 생명공학 등 산업 전반으로 확산되는 양상이다.

기업 정보보호를 위해 투자를 아끼지 말아야
기업의 목표는 이윤 창출이다. 따라서 이윤 창출을 위해 기업들 간에 치열한 경쟁이 벌어지는 것은 당연한 현상이다. 그러나 기업들의 경쟁은 윤리적이어야 하며 선의의 경쟁이 되어야 한다. 하지만 기술개발을 위해서 들인 막대한 시간, 노력, 돈을 한 번에 가져가려는 비양심적 정보유출이 최근 심각한 사회적인 문제로 부각되고 있다. 이러한 기업정보유출에는 인력유출과 자료유출이 있다. 오늘날의 디지털화된 기업정보는 네트워크에 연결된 컴퓨터를 통해서 접근이 가능하고 대량 배포가 가능하기 때문에 외부의 침입을 막기 위한 방화벽이나 침입탐지 시스템의 설치, 내부정보에의 접근제어를 이용하여 통제하고 있다. 그러나 이는 외부에서 내부정보로의 접근을 차단하는 방법이며, 전자우편과 같은 시스템을 통해서 내부에서 외부로 전달되는 정보의 유출까지 제어하기에는 많은 어려움이 있다. 개인적인 유대관계, 또는 개인적인 이익을 위해 의도적으로 정보유출을 하거나, 개인적으로 몰래 정보유출을 시도하는 등 많은 동기에 의해 정보유출은 이루어지고 있으며, 그 방법은 위조, 도촬, 도청 등 다양하지고 있고 정보유출의 건수도 점점 더 많아지고 있다. 특히, 내부자에 의한 정보유출이 매우 심각한데, 한 보고서에 따르면 내부자에 의한 정보유출은 해커에 의한 정보유출보다 더욱 심각하다고 한다. 또한 기밀유출 재발을 막기 위한 사후대응도 크게 취약했다. "유출사건 이후 어떤 조치를 취했는지"를 묻는 질문에 피해기업들의 과반 수 이상은 '보안 관리규정 강화'나 '문서·장비 관리시스템 개선'이라고 답해 조치 수준에 머물고 있는 것으로 드러났다. '방화벽 구축 및 개선'이나 '보안부서 신설 또는 증원'과 같은 적극적인 대응책을 마련한 업체는 소수에 불과했으며 피해를 경험하고도 '보안체계를 전혀 개선하지 않았다'는 업체도 있었다. 휴대전화 제조 회사인 E사의 연구원인 A씨는 휴대전화를 개발하면서 각 분야의 담당자들이 성능 개선 점검사항, 설명 등을 정리하여 파일로 만들어 놓은 것을 CD와 디스켓에 담아 집에 보관한 후 E사를 퇴직하였다. A씨는 그 CD를 휴대전화 기술개발 용역회사인 K사에 제공하고 그 대가로 A씨를 K사의 이사로 채용함과 동시에 E사에서보다 더 높은 연봉과 상당 금액의 스카우트 비용, 성과금, 그리고 상당한 수의 K사 주식을 받기로 하였다. PC 보안은 개인의 자료를 보호하기에는 매우 용이하지만 인트라넷을 통해서 KM이나 EDMS와 같이 공유 자료로서 활용을 하기 위해서는 다양한 툴과 서버가 지원이 되어야 하며, 공유 자료에 대한 암,복호화가 사용규칙에 따라서 이루어져야하는 등의 추가적인 기술지원이 필요하다. 최근에는 PC 보안제품을 기업 내의 공유문서 유출방지를 위한 시스템으로 사용하기 위해서 서버에서의 관리 툴을 개발하여 제공하는 경우도 있으며, KM이나 EDMS와의 연동을 지원하는 제품이 발표되고 있다.

선진국들의 기업정보 보호노력
우리나라에서는 지난해 12월 일부 새로이 개정 시행되고 있는 ‘부정경쟁방지 및 영업비밀보호에 관한 법률’과 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’ 등이 있으나 그 실효성이 떨어져 올해 4월부터 ‘산업기술유출방지 및 보호지원에 관한 법률’ 제정이 본격적으로 시행되고 있다. 그러나 일부에서 프라이버시 침해를 이유로 반발하고 있어 상당한 어려움이 따르고 있으며, 같은 이유로 개인정보보호법 역시 아직 제정되지 못하고 난항을 겪고 있다.
가까운 일본의 경우 ‘기업의 돌연사’라는 신조어가 생길 정도로 기업들이 내부정보 유출에 따른 피해를 겪고 있다. 건실하던 기업이 일순간 내부정보 유출로 인해 금전적 피해는 물론, 고객정보 유출로 인한 기업의 이미지에도 큰 타격을 입어 재기 불능의 상태로 도산하는 경우가 적지 않은 것으로 알려지고 있다. 이는 일본 정부가 내부정보를 유출한 당사자뿐 아니라 유출 당한 쪽에도 책임을 물어 처벌하고 있기 때문이다. 현재 일본 기업들은 지난 4월부터 시행된 개인정보보호법에 의한 법 준수를 위해 내부정보유출 방지를 위한 각종 보안 솔루션 도입에 적극적인 모습을 보이고 있다. 이 때문에 기업의 핵심 정보와 고객 정보를 보호하기 위해 상당한 투자를 아끼지 않고 있다. 한편, 미국에서도 신회계감사법(SOX, 사베인즈-옥슬리 법), 의료정보보호법(HIPAA), 자기자본규제법(바젤 Ⅱ), 경제 스파이법 등 개인 보호법과 부정경쟁 및 영업 비밀에 관한 법률 등을 제정해 내부정보 보호를 하고 있다. 이 가운데 사베인즈-옥슬리 법은 2002년 제정돼 전 세계적으로 영향을 미치고 있는 법으로, 이 법의 핵심은 기업들이 내부의 모든 커뮤니케이션을 저장하고 업무, 거래, 기타 모든 종류의 비즈니스 거래 문서를 기록하기 위한 투명한 감시 시스템을 만들도록 했다는 점이다.

우리나라의 기업정보 유출 방지를 위한 노력
국내 관련 내부 정보보안 법률 미흡한 실정이다. 미국과 일본이 개인정보 보호를 위해 다양한 법률을 마련하고 이를 강제 시행해 민간ㆍ공공기관이 개인정보보호를 위해 자발적 대안을 마련하도록 유도하고 있는 반면, 우리나라는 개인정보보호 관련 법률이 공공기관에 국한되고 기업을 규제할 법안이 마련되지 않아 민간 기업들에게 고객정보보호를 위한 노력을 기대하기 사실상 어려운 것이 사실이다. 특히 부정경쟁 및 영업비밀에 관한 법률에 있어서도 미국과 일본이 개인뿐만 아니라 법인 차원의 강력한 제재 장치가 마련돼 있어 기업들이 보안 시스템을 구비하도록 하고 있지만, 국내법은 형벌 규정이 모호하고 개인과 법인을 구별한 처벌 규정이 명확하지 않아 기업의 도덕적 해이와 안전 불감증을 제재하는데 적극적인 역할을 하지 못한다는 비판이 일고 있다. 이에 한국산업보안연구소는 국내의 내부 정보 유출 방지를 위해 제도와 시스템이 종합적으로 운영되고 기업문화로 정착되기 위해서는 내부 규정을 제정하고 조직과 전담자를 두는 등 제도적인 시스템을 만들고, 핵심 정보에 접근을 제한하는 물리적 조치와 감시 소프트웨어시스템 도입이 필요하며, 내부정보 보호에 관한 인식이 강화되어야 한다고 지적하고 있다. 실제 최근 내부 정보 유출 사건이 빈번하게 일어나자 여러 기업들에서 보안 강화를 위해 제도적인 시스템을 강화하고 보안 의식을 고취하기 위한 교육이 늘어나고 있는 실정이다. 고객 정보 보호에 민감한 주요 은행들은 내부 정보 유출로 인한 금융 사고를 막기 위해 신문고를 설치하는 등 새로운 대안들을 선보이며 내부정보 보안에 대한 인식을 높여가고 있으며 일부 대기업의 경우는 동우회를 통한 기술 유출이 적발됨에 따라 연구원들에 대한 보안교육을 강화해 나가고 있다.

중소기업의 정보유출도 심각
그동안 첨단기술 유출 대상은 주로 대기업과 연관된 문제였다. 하지만 중소 벤처기업의 기술력이 높아지면서 이들을 대상으로 첨단기술을 빼가려는 산업스파이 활동이 더욱 극성을 부리고 있다. 중소기업기술정보진흥원 조사에 따르면 17.5%의 기업이 기술 유출을 경험했다. 이 같은 기업의 첨단 기술 유출사고는 피해가 해당기업에 그치지 않고 국가 경제에도 큰 영향을 미치고 있다. 대부분의 기술 개발 참여자가 죄의식 없이 기술을 유출하고 있으며 단발성 범죄로 범죄증거 확보가 힘들어 추적이 곤란한 경우도 많다. 핵심 기술의 유출 경로는 대부분 전·현직 직원이다. 중소기업기술정보진흥원 조사에 따르면 기술 유출 경로는 79.5%가 퇴직 직원에 의해 이뤄졌다. 현직 직원은 11.4%에 달해 90.9%가 전,현직 직원에 의한 유출인 것으로 드러났다. 경쟁 업체나 종사자에 의한 유출은 12.5%, 협력업체 종사자 4.5%, 연구원생·기술고문·고용 외국인 등이 4.5% 순이었다. 해킹에 의한 기술 유출은 4.5%에 머물렀다. 기업 내 허술한 보안 관리로 인해 내부자에 의한 유출 사건이 줄을 잇고 있는 것이다. 기업 규모별로 볼 때 대기업은 중소나 벤처 기업에 비해 기술유출방지에 적극적이나 전체적으로 볼 때 디지털저작권관리(DRM) 등 기밀관리시스템에 대한 투자가 부족하다. 중소·벤처기업에 대한 산업스파이 활동은 최근 전체 첨단기술 유출 사건의 60% 이상에 달한다. 1년 동안 국내 중소 벤처기업을 대상으로 한 산업기술 유출사건과 시도에 그쳤던 사건을 금액으로 환산할 경우 무려 5조5천억 원에 이른다는 분석도 있다.
대한상공회의소 ‘국내 기업 산업기밀 유출 실태’에 따르면 국내 중소 벤처기업 가운데 절반가량(50.9%)은 기밀유출 사실을 파악하고도 아무런 조치 없이 넘어가고 있는 실정이다. 자체 징계를 통해 산업기술 유출을 단속하는 비중도 5.8%에 불과했다. 기밀유출에 따른 가장 큰 피해자는 바로 해당기업으로 중소 벤처기업의 경우 한 번의 유출사건으로 기업 생사가 좌우되는 엄청난 파국을 불러올 수 있다. 하지만 중소 벤처기업 CEO의 70%가 보안체계 구축을 회피하는 것으로 파악됐다. 기술 유출 재발을 방지하려는 노력이 부족한 것은 더 큰 문제라는 지적이다. 피해기업 가운데 절반 이상이 기밀 유출 사건이 발생한 이후 취하는 조치로는 보안관리 규정 강화와 장비 관리시스템 개선 등 초보적인 수준에 그치고 있기 때문이다. 국정원은 중기청 및 중소기업진흥공단과 공동으로 중소기업들을 위한 ‘맞춤형 산업보안 설명회’를 늘리는 동시에 중소 벤처기업을 대상으로 별도의 ‘산업보안협의회’를 구성할 계획이라고 밝혔다.

산업기술보호협회 설립으로 노력이 기울여
돈을 받고 회사의 비밀을 경쟁사에 몰래 팔아넘기는 행위, 이것은 물건을 훔치는 것과 달리 큰 죄의식 없이 이뤄지기 쉽다. 그리고 한 번 해치우고 나서 시치미를 떼고 있으면 증거를 확보하거나 추적하기도 어렵다. 유출 과정도 e메일 등을 통해서 이뤄지기 때문에 사건이 일어나더라도 알기 어렵다. 그래서 산업스파이 사건이 생기고, 또 끊임없이 계속되는 것이다.
국가연구기관에서 중요한 과학기술 정보가 빠져나가도 처벌할 근거가 없었다. 기술 유출을 법적으로 제재할 수 없는 사각지대가 남아 있는 것이었다. 더욱이 산업기밀 유출에 대한 제재 수위도 아주 낮아 기술을 빼내다 적발돼도 1년6개월 이하의 징역이나 집행유예로 끝나는 경우가 많았다. 이에 우리나라에서는 산업기술의 부정한 유출을 방지하고 보호하기 위해 ‘산업기술의 유출방지 및 보호에 관한 법률’을 제정하여 2007년 4월부터 시행하고 있다. 산업 기밀의 중요성이 사회·국가적 차원에서 다뤄진다. 기술 보안을 위한 업계와 국가의 의무를 정하며 기술 유출 사범에 대해 엄격히 처벌한다. 이 법안은 적어도 법률적인 측면에서는 산업보안을 선진국 수준으로 끌어올릴 수 있을 것으로 기대된다. 또 국가 핵심기술을 보유한 기업이 해외로 매각돼 국가 안보에 위협이 된다고 판단될 경우 매각 자체를 금지할 수 있을 정도로 강력한 내용을 담고 있다. 이 법은 국내외 시장에서 차지하는 기술적·경제적 가치가 높은 산업기술을 국가 핵심기술로 분류하고, 이런 기술을 외국에서 사용하거나 사용하게 할 목적으로 유출하는 행위에 대해서는 한층 강력한 제재를 규정하고 있다. 국가 핵심기술은 대부분 특허법상 발명에 해당하므로 특허권으로 보호한다. 또, 영업 비밀에 해당하므로 영업비밀 침해행위에 대해서도 보호받을 수 있다.
국정원 산업기밀보호센터의 한 관계자는 "현재 산업기술보호협회가 설립되어 기술 유출 방지가 보다 체계적으로 이뤄질 수 있을 것으로 기대 한다" 라며, 법·제도는 어느 정도의 예방효과만 가질 뿐이다. 법·제도와 아울러 업계 및 국가에서 보다 철저한 유출 방지 노력이 기울여졌을 때 산업기술은 보호될 수 있을 것이라고 강조 했다.
산업스파이가 가져올 수 있는 국부(國富) 유출 등 부작용이 얼마나 심한지에 대해 모두가 경각심을 가질 수 있도록 다양한 홍보와 함께 첨단정보 유출은 기업의 손실에 국한된 문제가 아니라, 자칫 나라 경제를 흔드는 심각한 상황을 유발시킬 수 있다는 점에서 심각한 범죄행위임을 인식하고 경각심을 높여야 할 것이다.
최근 산업스파이들은 노트북, 메모리스틱, 외장형 하드디스크, 개인간 파일 공유(P2P), DVD 등 다양한 정보매체를 악용한 첨단화되는 수법에 맞춰 기업에서는 내부 정보에 대한 체계적인 접근제어 정책 수립 및 관리가 필요하며, 정보유출 경로 차단을 위한 네트워크 보안이 철저하게 이뤄져야 한다. 또한 각종 저장매체의 반입, 반출, 출입통제 등 물리적 보안도 함께 강화돼야 해야 하며, 가장 중요한 것은 철저한 인력관리다. 기업 내부 임직원에 의한 유출이 85%에 달하는 상황에서 시급한 것은 윤리의식 제고다. 산업기밀 유출은 범죄라는 인식을 확대시키는 동시에 자긍심을 심어주는 것도 필요하다. 연구개발 인력에 대해 적절한 보상을 하지 않는 것도 기술유출의 원인으로 지적되고 있다. 핵심인재에 대한 적절한 보상과 자기 발전의 기회 제공도 하나의 방법이다. 또 기업 정보 유출 시 반드시 대가를 치른다는 의식을 주지시키는 것도 매우 중요하다.
기술유출에 따른 직접 피해자는 해당 기업이다. 단 한 번의 기술유출이 기업흥망과 직결되기 때문이다. 경쟁기업이 기술을 빼내 개발비용을 들이지 않고도 제품을 생산한다면 원천기술을 가진 기업보다 훨씬 더 싼 가격에 시장을 개척할 수 있다. 더 나아가 이에 따른 국가 경제의 손실도 엄청나다. 중소기업들이 경쟁력 있는 기술을 개발하면 할수록 기술유출은 늘어날 것이다. 우리 집에 재산은 많은데 자물쇠가 열려 있다면 도둑들은 참새가 방앗간을 그냥 지나치지 않듯 군침을 삼킬 수밖에 없다. 기술을 개발하는 것도 전쟁이지만 이를 지키는 것 또한 전쟁이다. 기술전쟁은 기업 현장 곳곳에서 벌어지고 있다. ‘소 잃고 외양간 고치기’식은 지양해야 하며 철저한 보안시스템을 구축할 때이다.