안성진 성균관대학교 컴퓨터교육과 교수
국가의 경쟁력은 기업의 경쟁력과 직결되어 있고, 기업의 가치는 어떤 기술을 확보하고 있는가에 달려 있게 된다. 따라서 정부나 기업이나 할 거 없이 연구개발에 집중하게 되고, 그 결과물인 산업기술 확보에 사활을 걸고 있다. 여러 해 동안 노력해서 확보한 산업기술은 기업의 미래뿐만 아니라 국가의 미래와 연결되어 있다고 할 수 있다. 이렇게 중요한 가치를 지니는 기술이 유출되는 것을 방지하기 위해 제정된 산업기술보호법은 산업기술을 명시적으로 구분하고, 특히 국가핵심기술에 대한 보호를 위한 노력을 담고 있다. 기술을 확보하기 위한 과정인 연구개발의 생명주기 전체를 보호하기 위한 국가연구개발혁신법이 작년부터 시행되고 있는데, 이는 국가연구개발사업의 과정과 그 성과물을 보호하기 위한 법이다. 연구개발의 결과는 산업기술로 연결되기 때문에 이 두 개의 법은 과정과 결과의 보호라는 측면을 갖고 있다. 이제는 산업기술의 확보 과정부터 선제적으로 보호 활동이 필요한 시점이 되었다고 할 수 있다.
최근의 기술 유출 사건들을 보면 사이버 보안에서의 해킹 기술과 기술 유출 기법 등이 융합되고 있다는 것을 알 수 있다. 연구개발 정보든 산업기술 정보든 모두 디지털 형태로 저장되고 특정 시설에 보관된다. 이들에 대한 부정한 획득 시도는 내부든 외부든 가리지 않고 나타나고 있다. 산업기술 보호의 관점이 이제는 아웃바운드 즉, 내부정보의 유출에서 외부의 공격을 막아야 하는 인바운드까지 모두를 고려해야 하는 상황에 이르렀다. 그뿐만 아니라 물리적 보안과 사이버 보안의 융합보안기술과 기술 유출 증거를 남기지 않으려는 시도를 막기 위한 디지털 포렌식 기술들도 함께 고려해야 할 상황이다. 산업기술의 유출을 방지하기 위해서는 기존의 기술 유출 방지의 관점에서 벗어나 내외부의 공격 흐름을 감지하고 능동적으로 대처하기 위한 산업보안 플랫폼으로의 진화가 필요하다.
산업보안 플랫폼은 산업기술 생명주기와 관련된 자산을 보호하기 위한 보안설비로서 물리적 자원뿐 아니라 인적자원과 시스템 자원을 모두 포함한다. 특히 인적자원에 대한 보안 활동을 중요하게 생각하는데, 이는 PCS(People Centric Security)와 같은 요소를 포함하여 인적 취약점 분석과 대응을 포함하고 있기 때문이다. 보안에 대한 예산과 인력이 오랜 시간 동안 지속적으로 증가했음에도 불구하고 보안사고가 계속 발생하는 이유는 인적 취약점에 대한 고려가 부족했기 때문이다. 개발자, 사용자, 관리자 등 산업기술 이해당사자들에 대한 취약점 분석 및 평가를 순환적으로 개선할 수 있는 플랫폼의 구조로 패러다임을 전환해야 산업기술 보호의 성숙도를 높이고 지속 가능한 기술 보호가 가능하다. 아울러 산업기술 확보를 위한 기획, 개발, 성과물 등 전체자산에 대한 관리 활동이 보호되며 유출 방지 기술들이 융합된 플랫폼의 형태가 필요하다.
여러 해 동안 기술개발에 투자된 인력과 예산의 결실이 산업기술의 형태로 남게 된다. 기술 보호는 건강 관리와 비슷해서 평소에 관리하지 않으면 조금씩 잃다가 경계를 넘어서게 되면 돌이킬 수 없게 된다. 기술 탈취를 방지하기 위해 이제는 산업기술의 생명주기와 연계된 사람의 관점에서 취약점을 보완하고 관련 보호 기술들을 통합하는 산업보안 플랫폼으로 진화해야 할 시기가 된 것 같다.
※ 이 글은 국가정보원 산업기밀보호센터 및 (사)한국산업보안연구학회 공동기획 기고문입니다.