이윤을 추구하는 기업에 있어서 그 기업만이 가지는 정보는 이윤과 직접적으로 연결되는 가장 가치 있는 것이라고 할 수 있다.
하지만, 오늘날 컴퓨팅 환경이 날로 발전하고 있고 모든 정보가 인터넷(Internet) 또는 인트라넷(Intranet)에서 공유되고 있는 현시점에
이를 노리고 해당 정보를 유출하려는 조직(원)은 어디에나 존재하기 마련이다. 이들이 사용하는 기업 정보 유출 유형과 사례를
살펴봄으로써 같은 유형으로 유출되는 기업 정보를 최대한 막을 수 있는 방법을 제시하였다.


Keywords: enterprise information, security, hacking, virus, vulnerability



Ⅰ. 서론

기업이 많은 연구개발비를 투자해 획득한 기술 관련 정보, 생산에서 판매까지 전략등 각종 기업 정보를 제3자가
부정한 방법으로 얻는 경우, 정당한 방법으로 이를 획득했다 해도 자신의 이익을 위해 유용하는 경우, 혹은 남에게
피해를 주기 위해 부정하게 유출시키는 경우에는 문제가 된다. 물론 이 정보(비밀)는 '공공에 알려져 있지 않고 독립된
경제적 가치를 가지는 것으로 상당한 노력에 의해 비밀로 유지된 생산방법, 판매방법, 기타 영업활동에 유용한 기술상
또는 경영상 정보'를 의미한다.[1]


컴퓨팅 환경이 발달하기 전에는 기업의 모든 정보는 튼튼한 금고 속에 깔금하게 철이 된 문서로 고이고이 모셔져 있었다.
하지만, 지금과 같이 컴퓨팅 환경이 발달하면서 점점 그러한 문서들은 중앙 서버에 모여지게 되었고 이들 정보를 접근하기
위해서는 몇몇 보안 단계를 거쳐서 특정인들만이 정보를 열람하고 나오는 방식으로 바뀌어지게 되었다. 더군다나 예전에는
경제적 가치로 인정받지 못했던 기업의 정보가 산업 발달로 그 중요성이 대두되자 이를 지키고자 하는 자와 빼내고자 하는
자 사이의 치열한 공방이 벌어지게 되었다. 결국 기업의 정보를 노리는 산업스파이들은 이런 정보를 빼내기 위해 해킹을
시도하기도 하고 그 조직에 잠입을 시도하여 그 정보에 근접하려고 노력을 하게 되었다. 결국 이런 이유로 기업은 보안관리자를
두고 각 그룹에 각 정보의 접근 권한을 둠으로써 기본적으로 기업 정보의 유출을 해결하고 있다.



Ⅱ. 기업 정보 유출

오늘날 기업 정보 유출의 주체자를 외부자(해커)보다는 내부자로 보는 경우가 많아지고 있는데 이는 인터넷 시대에 이르러
더 심각한 수준에 이르렀다. 이것은 인터넷이 가지고 있는 즉각성과 개방성에 기인한다. 이메일과 메신저로 정보를 내보내는 것은
외부에서 들어와서 정보를 가지고 가는 것보다 몇 배는 쉽기 때문이다. 따라서 국내 보안산업의 패러다임이 내부자에 의한
정보유출을 막는 방향으로 확대되고 있다. 이는 갈수록 내부자에 의한 정보 유출의 피해가 늘어남에 따라 보다 적극적인 보안 수단의
필요성이 대두됐기 때문으로 분석되며 국내 보안업체들은 분야별로 이와 관련한 제품 개발 및 출시를 주력하고 있다.

실제로 FBI가 2001년에 실시한 '기업의 기밀정보 유출실태조사'에 따르면 기업정보 유출이 외부해커에 의해서라기보다는 내부직원에
의해 일어나고 있다.[2]

또한 국내 정보통신부 산하 한국정보통신수출진흥센터(ICA)가 2004년 6월 1일부터 7월 20일까지 771개 기업을 대상으로 조사한
IT기술 해외유출 방지 실태조사 보고서에 따르면, 유출을 시도하는 사람은 [표1]과 같이 나타나 기업체의 인사관리의 중요성이
드러나기도 했다.[3]



[표 1. 내부자 자료유출 비율]


대한상공회의소가 2003년 국내 243개사를 대상으로 국내기업의 정보보안 위기관리에 대한 실태조사에 따르면 과거에 경험했던
정보보안 위기의 유형에 대해서는 41.4%가 바이러스에 의한 사내전산망 감염을 꼽았으며, 다음으로 △해커의 공격에 의한 사내 서버침투(17.8%)
△고객정보 데이터베이스 손실(11.8%) △사내 중요문서 외부유출(9.1%) △퇴직자에 의한 기업비밀 유출(7.8%) 순으로 나타났다. 이같은 결과는
기업들 사이에서 인터넷 사용이 보편화되면서 온라인상의 정보보안 피해가 오프라인 보다 더욱 심각해지는 양상을 보이고 있는 것으로
풀이된다.[4]




[표 2. 과거 정보보안의 위기 유형]


표1은 2004년을 기준으로 하였고 표2는 2003년을 기준으로 하였다. 즉, 과거에는 현직사원의 정보보호 유출이 퇴직사원의 정보보호 유출보다 더
심각했으나, 이제는 퇴직사원이 퇴사와 동시에 기업 정보를 유출하는 경우가 많아졌다는 것을 의미한다.



Ⅲ. 기업 정보 유출 피해 유형

1. 법적 책임

대개의 경우 고용주는 회사의 시스템을 통해 전달된 모든 정보에 대해 책임을 져야 한다. 결과적으로 엄청난 액수의 벌금을 내거나
심할 경우 실형을 살 수 있다. 한 예로 영국의 A 기업 직원이 동료에게 경쟁사인 W사가 재정적 위험에 처해 있다는 내용의 이메일을
무심코 보낸 일이 있었는데 법원에서는 46만 파운드를 지급하라는 판결을 내렸다. 이와 비슷한 사례는 최근 수 년간 여러 건이 보고
되고 있다. 미국의 셰브론사는 최근 여직원 네 명에게 220만 달러를 지급하라는 판결을 받았는데, 셰브론사의 죄명은 '작업환경을
해치는 성희롱 이메일이 회사 이메일 시스템을 통해서 보내졌다'는 것이었다. 회사의 한 직원이 '맥주가 여자보다 나은 25가지 이유'라는
제목의 유머를 사내에 퍼뜨린 것이다. 만약 회사의 시스템을 통해 바이러스를 포함하는 이메일이 보내져도 고용주는 역시 책임을 져야 한다는
것이 최근 외국 판례 중에 많이 있다. 이메일은 출처가 명확하게 표시되어 법적 책임을 피할 수는 없는 것이 현실이다.


2. 기밀 누설

대부분의 기밀은 내부 직원에 의해 새어 나간다. 이와 같은 '기밀누설'은 우연히 메일을 보내려는 상대를 잘못 선택해서 이뤄지기도 하지만
Borland International사가 겪은 의도적인 경우도 있다. Borland의 한 직원은 회사의 시스템을 이용해 그가 옮기기로 한 경쟁사인 Symantec에
제품 디자인 설계서, 판매 자료, 두 회사 사이에 이루어질 거래 관련 정보를 포함한 거래 비밀 등을 전송했다. 그 직원과 자료를 건네 받은 사람은

거래 비밀 절도죄로 체포됐다. 고의이건 실수이건 간에 기밀 유출에 의한 손실은 그 결과가 똑같이 치명적이기 때문에 기업들로서는 신경을 안 쓸 수가
없게 되었다.


3. 명예 훼손 및 기업 신뢰도 하락

잘못 쓰여진 이메일이나 비전문적인 의견을 포함하는 이메일 또는 바이러스/웜등에 의해 유출된 정보들은 이메일 수신자 혹은 바이러스/웜등의
피해자가 발신자 및 공격자의 회사에 대해 나쁜 인상을 갖게 할 위험이 있다. 영국의 법률법인 노턴 로즈사는 직원이 보낸 성적으로 노골적인
내용을 담은 이메일이 돌고 돌아 세계 1000만명 이상이 읽게 된 사건 때문에 곤란을 겪었다. 조사 결과 이 이메일을 보낸 사람은 변호사로 밝혀져
더욱 큰 충격을 줬었다.