한수원 문건 유출로 본 보안 실태
삼성전자 특수용지 반출 땐 경고음
LG전자 사내서 폰카 정지 시스템
한국수력원자력(한수원)에서 발전 계통도가 포함된 기밀 문건이 유출된 지 일주일이 지났다. 한수원은 국내 전력의 30%를 공급하고 있다. 국가 전력안보 체계가 위협당하는 충격적인 사건이 벌어졌지만 한수원과 전력 당국, 수사기관은 22일 현재 실마리조차 잡지 못하고 있다. 산업보안 컨설팅업체인 센티넬코리아 정태진 대표(법학 박사)는 “국가 안보가 무방비로 노출된 사례”라며 “당장 해외 원전 수주에도 악영향을 줄 수 있다”고 우려했다.
올 초 KB국민·농협·롯데카드 등에서 고객 정보 1억여 건이 새나간 사고는 후폭풍이 거셌다. 해당 카드사 최고경영자(CEO)가 줄줄이 사표를 썼고, 고객들이 카드를 대량 해지하는 ‘카드런 사태’를 빚었다. 여기에다 정부가 ‘개인정보 보호 정상화 대책’을 내놓으면서 피해액의 3배까지 배상금을 물리는 규정이 생겼다.
치명적인 보안 사고가 잇달아 터지고 처벌까지 강화되면서 기업들이 ‘자물쇠 채우기’에 나섰다. 정보 자산을 보호하는데 팔을 걷어붙이고 있는 것이다. 중앙대 산업보안연구센터 박세현 소장은 "2010년대 이후 사업보안은 ‘기술 유출 방지’라는 소극적인 의미에서 ‘정보 자산을 유지·보호하면서 보존기간을 연장하는 활동’라는 개념으로 진화하고 있다”며 “이에 따라 기업 투자가 확대되고 있다”고 진단했다.
국내 대기업들이 보안 전담조직을 만든 것은 대략 10여 년 전이다. LG전자(2002년)나 대한항공(2002년), SK하이닉스(2004년), 현대중공업(2004년) 등이 ‘정보보안팀’‘보안관리실’ 같은 이름으로 조직을 신설했다. 최근 2~3년 새 인력과 예산을 크게 늘리고 있다. LG전자는 2010년 말 구본준 대표이사 부회장이 취임하면서 한해 120억~130억원을 보안 분야에 투입하고 있다. 조만간 세계 정보기술(IT) 업계 최초로 유럽의 개인정보 관리 체계인 BS10012 인증을 받는다. 이 회사 김재수 정보보안팀장은 “전사적인 차원에서 개인정보 보호 활동이 체계적이고 지속적으로 이뤄지고 있다는 사실을 공인 받은 것”이라고 설명했다. 삼성전자는 정보보호센터에만 200명 이상의 인력을 배치한 것으로 알려져 있다. 현대·기아차는 보안팀에서 기술 유출에 대응하고 있다.
이들 기업의 공통점은 사소해 보이는 업무까지 보안 규정이 까다롭다는 점이다. LG전자에 다니는 3만7000여 명의 임직원은 회사에 출근해 사원증을 출입구에 대는 순간 스마트폰 카메라가 자동으로 정지한다. 서울 여의도 본사 사옥이든, 지방 공장이든 어느 사업장이나 똑같이 적용된다. 2012년부터 ‘모바일 온’프로그램을 시행하면서 내부 보안 시스템을 한층 강화한 것이다. 항공기 제조업체인 한국항공우주산업에서는 외부로 나가는 모든 업무용 파일을 암호로 관리한다. 이 회사 강영중 보안팀장은 “해킹을 당해 문서가 유출돼도 외부에서는 열어볼 수 없도록 조치한 것”이라고 말했다.
기업에서만 사용하는 ‘특수 종이’를 도입한 회사도 있다. 특수물질을 입힌 A4 용지를 사용해 외부로 반출되면 검색대에서 경고음이 울리도록 만든 것이다. 삼성전자가 2010년부터 시행해 지금은 주요 협력업체와 해외 사업장으로 확대했다. SK하이닉스 역시 2011년부터 적용하고 있다. 하이닉스 관계자는 “햇빛에 비치면 (용지에) 굵게 철심이 나타난다”며 “일반 인쇄용지보다 5배가량 비싸지만 보안 유지에 효과적”이라고 말했다. 이 용지를 제조하는 코레이트 관계자는 “현재 국방부를 포함해 국내 4~5곳에 특수 용지를 공급 중”이라며 “일부 기업에서 일부러 찾아오기도 한다”고 말했다.
주목할 사실은 ‘보안 경영’이 기업문화로 정착되고 있다는 점이다. 내부 제재가 갈수록 엄격해지고 있고, 이를 자연스럽게 받아들이는 분위기다.
A카드사는 얼마 전 잘나가던 임원을 느닷없이 해고했다. 개인 e메일을 통해 외부로 회사 자료를 발송한 게 적발됐기 때문이다. 회사 관계자는 “아무리 사소한 내용이라고 해도 회사에서는 반드시 회사 계정을 사용해야 한다. 그렇지 않으면 ‘원 스트라이크 아웃(즉시 해임)’”이라고 잘라 말했다. 최근 B자동차 계열사 연구개발팀에선 집단으로 경위서를 작성하는 일이 벌어졌다. 노트북 사양을 팀 내부에서 자체적으로 업그레이드했다가 사내 감사에서 적발된 것. 이 회사에선 개인용 노트북에 파일을 보관하는 것도 허락되지 않는다.
인력 채용 때도 보안부서가 개입하고 있다. 얼마 전 외국계 IT 업체인 C사에서 미국 하버드대 출신의 유능한 엔지니어를 스카우트하려다 갑자기 포기한 적이 있다. 전 직장에서 1년7개월 만에 그만둬 의문을 가졌는데, 더 조사해보니 해당 기업에서 기술을 빼돌려 현행범으로 체포된 전력이 있었던 것. 업계 관계자는 “기술 유출 중 80% 이상은 내부자의 소행이다. 인사 검증이 그만큼 중요하다는 의미”라고 말했다.
지난해 D사의 바닷물을 담수 처리하는 기술이 유출되면서 수조원의 피해를 봤다. E사 역시 독자 개발한 자동차 배기가스 저감장치(EGR)의 핵심 도면이 새나가면서 타격을 입었다. 이 회사는 개발에만 7년, 누적 매출 2133억원을 올린 기술이 하루아침에 물거품이 될 상황에 놓였다.
미국 국제부정조사자협회(ACFE)는 산업보안의 취약성으로 미국에서만 지난해 8362억~1조3379억 달러(약 850조원~1400조원)의 순손실이 발생한 것으로 분석했다. 이는 미국 국내총생산(GDP) 16조7242억 달러의 5~8%에 해당한다. 중앙대 이창무(산업보안학) 교수는 “이를 국내에 적용하면 산업보안 손실액이 한해 66조~105조원이 되는 셈”이라고 추정했다. 실제로 해외로 빠져나가는 핵심 기술은 꾸준히 늘어나고 있다. 국가정보원에 따르면 해외로 기술을 빼돌리려다 적발된 사례는 2009년 이후 매년 40여 건에 이른다. 대한상공회의소가 국내 400개 기업 대상으로 산업기밀 유출 실태를 조사한 결과 5곳 중 한 곳(20.5%)이 유출 피해 경험이 있었다.
그래서 “아직도 부족하다”는 현장의 목소리가 더 호소력 있게 들린다. 정태진 대표는 “글로벌 기업은 매출의 0.5% 이상을 산업보안 비용으로 지출하고 있다”며 “하지만 우리는 아직도 소 잃고 외양간 고치는 소리가 요란하다. 언제든 ‘한수원 사태’가 반복될 수 있다는 경고음”이라고 강조했다.
이상재·이현택 기자
|
