2025.08.01 (금)

  • 흐림동두천 29.3℃
  • 흐림강릉 30.6℃
  • 흐림서울 32.3℃
  • 구름많음대전 30.7℃
  • 구름조금대구 32.7℃
  • 구름많음울산 30.7℃
  • 구름조금광주 31.8℃
  • 맑음부산 32.0℃
  • 구름조금고창 32.7℃
  • 구름조금제주 31.6℃
  • 흐림강화 30.0℃
  • 흐림보은 29.2℃
  • 구름많음금산 31.4℃
  • 구름조금강진군 31.5℃
  • 맑음경주시 32.0℃
  • 맑음거제 31.0℃
기상청 제공
기사검색 검색창 열기
닫기

[인터뷰] “최소한의 보안솔루션은 운영해야...국내 제약바이오업계, 기술·비밀 보안 수준 ‘낙제점’

정보유출 사고 90%는 ‘사람’ 의해 발생…“내부자 위협에 대한 관심 필요”
비밀관리성, 기술·비밀 유출시 ‘법적 보호’ 판단 요소…“정보보안팀 긴요”
한경운 대표 “중견·중소 제약바이오 기업, 정보보안 더 투자·노력해야”

 

【 청년일보 】 해외로 핵심 기술 및 영업 비밀을 유출하는 시도가 늘어나고, 국내 기업들 사이에서도 핵심 기술 및 영업 비밀 반출 시도가 빈번하게 발생하면서 정보보안의 중요성이 커지고 있다.

 

이는 제약바이오업계도 별반 다르지 않아 중견·중소 기업들을 중심으로 정보보안 수준이 매우 낮거나 없는 수준이라는 지적이 지속 제기되고 있다.

 

청년일보는 HUMINT를 전문으로 했던 전직 정보기관 출신들로 이루어진 정보보안위협평가 전문법인 위즈노트에이아이의 한경운 대표로부터 우리나라 제약바이오업계의 정보보안 수준 및 현실과 정보보안 강화를 위해 필요한 조치 등 대해 들어봤다.

 

◆ "내부자 위협에 대한 관심 필요"...중견·중소 제약바이오 기업 정보보안 ‘빨간불’

 

한경운 대표는 우리나라 제약바이오업계의 정보 보안 수준은 매우 위험한 상태라고 진단했다. 일례로 대형사가 중견·중소 업체간 정보보안 수준의 격차가 심각하다는 점을 들었다.

 

대형 제약바이오 업체들의 경우 대부분 자체 정보보안팀을 구성해 운영 중으로, 정보보안을 구성하는 ▲관리적 보안 ▲물리적 보안 ▲기술적 보안 관련 기본적인 역량을 갖추고 있다.

 

반면 신기술 개발에 매달리는 중견·중소 제약바이오업체들의 경우 별도 정보보안팀을 구성해 운영하는 곳은 거의 전무한 실정인 것으로 알려졌다. 대체로 전산담당자 1~2명이 보안업무까지 담당하는 경우가 많아 정보보안에 무방비한 상태에 놓여 있다고 설명한다.

 

해킹이나 랜섬웨어 등을 대응하기 위한 기본적인 네트워크 보안이 이루어지지 않는 경우도 대부분이며, 이직자에 의한 기술 유출은 대응은커녕 인지조차도 못하는 것이 현실이다.

 

특히 한 대표는 정보유출 사고의 10%만 해킹 등 네트워크 침해사고이며, 90%는 사람에 의해 발생하고 있고, 사람에 의해 이뤄지는 정보유출 사고 중 전·혁직 직원이 80%를 차지하고 있음을 강조했다.

 

이를 개선하기 위해서는 물리적 보안(출입통제, CCTV 등)이나 네트워크 보안에만 보안 역량 강화를 투자할 것이 아니라 이제라도 사람에 의해 기술·정보가 유출되는 ‘내부자 위협’에 대해 신경쓰는 것이 필요하다고 조언했다.

 

한경운 대표는 “대부분의 중견·중소 제약바이오 회사의 경우 이직자들에 의해 정보가 유출되고 있다고 봐도 무방하며, 기술유출 시도 또는 의도하지 않았지만 주요정보가 유출되는 부분이 많다”고 지적했다.

 

이어 “내부자 위협의 문제는 어떤 정보가 중요한 것인지 알고 있고, 정당한 접근권한을 가진 내부자에 의해 이뤄진다는 부분에서 더 치명적”이라며, “사람의 행위를 분석·평가하는 방법을 통해 내부자 위협으로부터 회사의 기술과 자산 등을 보호하는 것이 필요하다”고 말했다.

 

◆ 기술·영업 비밀 유출 시 쟁점은 ‘비밀관리성’…“미충족시 ‘법적 보호’ 못 받을수도”

 

한경운 대표는 기술 유출과 같은 문제 발생 시 법의 보호를 받기 위해서라도 제약바이오 기업들이 정보보안에 대해 투자하고 노력해야 한다고 조언했다.

 

국가핵심기술 등을 다루는 ‘산업기술보호법’과 기업의 기술 및 영업비밀 등을 다루는 ‘부정경쟁방지 및 영엉비밀보호에 관한 법률’에서 ‘비밀관리성’ 충족 여부를 중요하게 다루고 있어 기업이 정보보안을 위해 일정 수준 이상으로 노력하지 않았을 경우 법적 보호를 받을 수 없기 때문이다.

 

직원 수가 20명만 넘어도 비밀관리성을 충족하기가 상당히 까다로운데, ▲규정 및 지침 보유 여부 ▲서약서 ▲정기적인 교육과 보안감사 ▲퇴직자에 대한 보안조치 ▲로그 모니터링 및 분석 등을 모두 충족시켜야 하는 경우도 많다.

 

문제는 비밀관리성 충족을 위해 요구되는 사항들을 소화하려면 ‘정보보안팀’이 필요한데, 중소·중견 기업의 경우 인건비와 전문성 문제 등으로 사실상 정보보안팀을 운영하기가 어려운 상황이다.

 

따라서 한 대표는 이러한 중견·중소 제약바이오 기업들의 상황 등을 고려해 외부 전문가들에게 정보보안에 대한 외주를 주는 것이 합리적이며, 최소한의 보안솔루션은 도입하는 것이 필요하다고 제언했다.

 

보안솔루션과 관련해서는 한국산업기술보호협회 등에서는 보안솔루션을 무상으로 제공하는 서비스도 있으니 보안솔루션을 도입해 운영하는 것은 어렵지 않을 것으로 보인다고 안내했다.

 

또 최소한 퇴직자에 대한 조치는 이루어져야 한다고 당부했다. 퇴직자의 보안로그를 분석해서 어떤 데이터를 가지고 갔는지 확인해야만 관련 사안에 대해 대응할 수 있고, 외부로의 정보 유출 경로도 통제가 가능해지기 때문이다.

 

한경운 대표는 “많은 기업들이 ‘비밀관리성’을 간과하고 있는데, 비밀관리성이 충족되지 않으면 법으로 보호받기도 어려워진다”며, “비밀관리성에 대한 보완이 필요하다”고 지적했다.

 

이어 “퇴직자에 대한 조치는 퇴직자를 보호하는 일이자 남은 직원들의 일상을 보호하는 일”이라면서 정보보안에 대한 중요성을 재차 강조하는 한편, “제약바이오 뿐만 아니라 차세대 먹거리 산업 보호를 위해 정부가 조금 더 적극적으로 지원하는 것이 필요하다”고 덧붙였다.

 


【 청년일보=김민준 기자 】

김민준 기자 의 전체기사 보기

저작권자 © 청년일보 무단전재 및 재배포 금지

최신 기사

청년발언대

더보기

기자수첩

더보기
배너
배너
배너
배너
배너

추천 기사