누출금지정보

누출금지정보는 정보 시스템의 구축 및 유지 관리 계약의 이행 과정에서 누출될 경우 국가에 피해가 발생할 것으로 판단되는 정보를 지정하여 명시하는 정보이다. 제안사가 제안서 작성 및 입찰 시, 열람 혹은 알게 될 기관 정보 중 사업 수행 중 누출될 경우 국가에 피해가 발생할 가능성이 있는 정보를 명시한다. 또한 누출금지정보로 명시한 정보에 대하여 제안사 및 사업자가 누출할 경우 부정당업자로 제재됨을 기술한다.^[1]

누출금지 대상 정보

• 기관 소유 정보시스템의 내ㆍ외부 아이피 주소 현황
• 세부 정보 시스템 구성 현황 및 정보통신망구성도
• 사용자 계정 및 패스워드 등 정보 시스템 접근권한 정보
• 정보통신망 취약점 분석·평가 결과물
• 용역사업 결과물 및 프로그램 소스코드
• 국가용 보안시스템 및 정보보호시스템 도입 현황
• 침입차단시스템ㆍ방지시스템(IPS) 등 정보보호제품 및 라우터ㆍ스위치 등 네트워크 장비 설정 정보
• 공공기관의 정보공개에 관한 법률 제9조1항에 따라 비공개 대상 정보로 분류된 기관의 내부 문서
• 개인정보보호법 제2조1호의 개인정보
• 사업 수행 중 습득ㆍ인지한 보안정보
• 그 밖의 발주자가 공개가 불가하다고 판단한 자료^[1]

사건

누출금지정보에 관한 사건은 지금도 나고 있는 일이다. 다음은 누출사건에 대한 기사이다.

• 대규모 고객 개인정보 유출 사태를 일으킨 카드사들에 대한 벌금형이 대법원에서 확정되었으며, 대법원 2부(주심 박상옥 대법관)는 개인정보 보호법 위반 등 혐의로 재판에 넘겨진 농협카드와 국민카드에 각각 벌금 1,500만 원을, 롯데카드에 벌금 1천만 원을 선고한 원심을 확정했다고 14일 밝혀졌다. 이들 카드 3사는 신용카드 부정 사용 방지 시스템(FDS) 개발을 위해 용역계약을 맺은 코리아 크레디트 뷰로(KCB) 직원 박 아무개 씨가 보안 프로그램이 설치되지 않은 피시(PC)에서 무단으로 고객 개인정보를 유출하도록 방치한 혐의를 받았으며 당시 박 씨가 이들 카드 3사로부터 6차례에 걸쳐 빼돌린 고객정보는 총 1억 건이 넘었다. 박 씨는 고객 이름과 주민등록번호, 신용카드 번호, 휴대전화 번호 등을 대량 유출했으며 1심은 카드사들이 개인정보의 안정성 확보에 필요한 조처를 하지 않았다며 6건 중 5건의 개인정보 보호법 위반 혐의를 유죄로 판단했다. 1심 재판부는 대한민국 경제활동인구 대다수가 피해자라고 해도 과언이 아니고, 금융 시스템 안전에 대한 사회적 신뢰가 현저히 훼손됐다고 지적한 내용이며 2심도 카드사들의 이동식 저장매체(USB) 반·출입 통제 및 보안 프로그램 관련 관리·감독, 안전성 확보 조처 의무 등을 다하지 않았다며 1심 판결이 정당하다고 판단했고 대법원도 원심을 확정했다고 나온 기사는 누군가의 소홀함 때문에

소비자와 기업 전체의 피해를 줄 수 있다는 기사이다.^[2]

• 다음은 군사기밀 유출에 관한 기사이다. 군에서 지난 3년 동안 군사기밀 유출을 포함한 보안 위반 사례의 적발 건수가 꾸준히 증가한 것으로 드러난 것이며 자료에 따르면 육·해·공군의 '비밀 엄수 위반' 사례 적발 건수는 2012년에는 2천470건이었으나 2013년 2천520건, 2014년 3천90건으로 계속 늘었던 자료로 (2015년) 상반기에는 2천189건의 비밀 엄수 위반 사례가 적발되었으며 작년 전체 적발 건수의 절반을 넘은 것으로, 증가세를 유지한 내용으로 '군사비밀 누설' 적발 사례도 2012년 17건, 2013년 18건, 2014년 25건, 올해 상반기 8건으로, 대체로 증가세를 보인 경향이 많았다. 보안 위반을 저지른 사람은 대부분 병사였지만 장교가 보안을 위반한 사례도 적지 않은 것으로 드러났으며 작년의 경우 전체 보안 위반 적발 사례 3천90건 가운데 병사의 보안 위반은 2천702건, 영관·위관급 장교의 보안 위반은 259건 장성급 장교의 보안 위반 적발 사례는 3년간 한 건도 없었던 내용이고 보안 위반 사례가 꾸준히 늘어나는 것은 사회관계망 서비스(SNS) 활용이 일반화된 것과도 무관하지 않다는 분석이 나오고 있으며 2015년 8월 말 북한군의 지뢰·포격 도발로 남북 간 군사적 긴장이 최고조에 달했을 때 발생한 군의 전술체계망(ATCIS) 화면 사진 유출 사건이 대표 사건으로 이 사건을 일으킨 해병대 소속 A 중위는 자신의 휴대전화로 촬영한 ATCIS 화면 사진 파일을 SNS로 유출한 것으로 조사되었다. 이 사진에는 북한군 저속기로 추정되는 비행체가 남측 상공에 출현해 군이 대공 경계태세인 '고슴도치'를 발령했다는 내용이 포함된 것으로 드러났으며 병사들이 부대에서 SNS를 하며 부지 중에 훈련과 관련한 정보 등을 외부로 유출하는 경우도 종종 있는 것으로 알려 자면서 윤후덕 의원 : SNS를 통한 군사정보 유출과 같은 군내 보안 위반 행위는 철저히 색출하고 차단해야 한다고 주장한 내용과 더불어 사이버 보안 강화는 병사들의 소통을 확대하고 인권을 침해하지 않는 범위 내에서 이뤄져야 한다고 나온 주장도 보면 누출금지정보(군사기밀과 같은 중요한 정보)를 누출하지 않으면서 올바르게 사용을 하는 방법이 필요하다는 기사 내용이다.^[3]

대책

이렇게 정보가 누출되면 당연히 대책도 세워야 하는 거다. 다음은 그 대책에 대한 기사이다.

• 인공지능(AI)이나 자율주행 기술을 보유한 회사들의 가치가 엄청나게 높아지고 있는 요즘 같은 시대에 기술은 사실 회사의 가장 큰 자산이나 마찬가지 때문에 기술탈취 사건이 자주 발생한다. 이러한 기술탈취는 내부자에 의해서 일어나기도 하고 외부와 협력 과정에서 유출되기도 하므로 이러한 기술 탈취는 어떻게 막을 방법은 대표적으로 3가지가 있다.

1. 만일 납품 과정에서 기술자료의 탈취 시 : A사가 B사에 제품을 납품할 경우 B사는 도면과 기계 사양 등 기술 자료를 요청한다. A사는 어떻게 기술 자료 유출을 막을 방법은 거래 전 비밀유지협약없이 기술이 유출되면 마치 A 기업이 자신의 기술을 자발적으로 제공한 것처럼 해석될 수 있어서 따라서 영업비밀로 인정받을 수 있도록 비밀유지 서약서를 작성해야 한다. A사는 이때 B사와 비밀 유지서약을 할 뿐만 아니라 내부적으로 보안지침을 수립해야 하며 현직 사원이나 퇴직사원에도 보안 서약서를 징구해야 한다. 특히 법원에서 판례상 영업비밀로 인정받기 위해서는 어떤 기술에 대해서 영업비밀로 표시하고 별도로 관리해야 하는 것이다.
2. 공동 기술개발 과정에선 기술 탈취나 아이디어 도용을 방지책 : 공동으로 기술을 개발할 경우는 함께한다는 인식 때문에 기술 보호 필요성을 간과하는 경우가 많은데 하지만 공동 기술개발이나 조인트벤처 설립을 하면서 그 과정 중에 기술이 자연스럽게 공유되면서 유출 가능성도 커지기 때문에 따라서 공동 기술개발 약정 또는 조인트벤처 설립 약정 내용 안에 비밀유지 협약을 포함하는 것이 좋으며 또 공동 기술개발 약정의 경우는 개발된 결과물의 소유권이나 사용권에 대한 분쟁도 많이 발생하기 때문에 반드시 공동 기술개발을 할 경우 이에 대한 권리관계를 명확히 해야 하며 공동 기술개발 이전 계약서에 반드시 포함되어야 하는 내용은 다음과 같은 거다.

• 공동 연구를 위해서 제공한 자사의 특허나 노하우의 처리 방법
• 정보 등 제공과 비밀유지 의무
• 연구의 역할분담, 비용분담, 증자의 경우 처리방안
• 연구개발 기간 설정
• 기술개발 성과물의 귀속 및 후속 개발 성과물의 처리 등
• 샘플 제공 : 기술 설명회 후에 샘플 제공을 요청받고 이에 대해서 제공하는 경우일 때에도 대책 마련이 필요한 것이다. 일반적으로는 사전에 샘플을 제공하며 기술 보호를 위한 절차를 밟지 않는 경우가 많은데 이를 막기 위해선 샘플을 제공하기 전 특허를 출원하면 된고 만일 기술을 요청하거나 샘플을 요청한 회사가 대기업이고 그 상대방이 중소기업이라면 기술임치제도를 이용하는 것도 방법이다. 기술자료 임치제도는 기업의 기술 자료를 신뢰성 높은 전문기관에 보관하는 제도이며 중소기업은 기술 유출 위험을 줄일 수 있고 대기업은 해당 중소기업의 파산·폐업 시 해당 임치물을 이용해 관련 기술을 안전하게 활용할 수 있다. 법적 근거는 "대·중소기업 상생협력 촉진에 관한 법률 제24조의 2(기술자료 임치제도)"다.
• 수탁·위탁기업[수탁·위탁기업 외에 단독 또는 공동으로 기술자료를 임치하고자 하는 기업을 포함한다]은 전문인력과 설비 등을 갖춘 기관으로써 대통령령으로 정하는 기관[이하＂ 수치인"이라고 한다] 와 서로 합의하여 기술자료를 임치하고자 하는 기업(이하 "임치 기업" 이라 한다)의 기술자료를 임치 할 수 있다.
• 위탁기업은 다음 각호의 어느 하나에 해당하는 경우에는 수치인에게 수탁기업이 임치한 기술자료를 내 달라고 요청할 수 있다.
• 수탁기업이 동의한 경우
• 수탁기업이 파산선고 또는 해산 결의로 그 권리가 소멸하거나 사업장을 폐쇄하여 사업을 할 수 없는 경우 등 위탁기업과 수탁기업이 협의하여 정한 기술자료 교부조건에 부합하는 경우
• 수치인은 중소벤처기업부 장관이 정하는 기술자료 교부조건에 부합하는 경우에 임치 기업의 기술자료를 요청한 자에게 이를 교부한다.
• 정부는 수치인에게 예산의 범위에서 필요한 지원을 할 수 있다.
• 그밖에 기술자료의 임치 등에 필요한 사항은 대통령령으로 정한다.

이때 특허권과 기술임치제도를 비교해보면, 특허권은 일정 기간 특정 기술에 대해 청구범위만 독점 배타적인 권한을 부여받는다. 다만 기술이 외부로 공개되기 때문에 대체 기술이 쉽게 등장하고 경쟁이 매우 치열해진다는 단점이다. 기술자료 임치제도는 임치한 기술정보에 대해 당사자를 제외하고 그 누구도 열람할 수 없어서 때문에 영구적 기술 보호가 가능하다. ·임치 기술이 외부로 유출되더라도 임치 사실을 증명하는 등록증은 법적 추정력이 부여돼 소송에서 유리한 증거자료로 활용이 가능하다.

• 퇴직자나 현직 임직원의 기술 유출행위 : 요즘에는 내부자 이직이나 퇴직자 기술 유출도 많은 문제가 되는데 현직에 있는 사람이 기술 침해를 하지 못하도록 막기 위해서는 사전에 경업금지 약정을 체결해야 하며 근로자가 경쟁업체에 취업하거나 스스로 경쟁업체를 설립·운영하는 등의 행위를 하지 않을 것을 약속하고 이를 위반하면 손해배상 청구, 위약금 반환 청구 등의 조치가 가능하도록 계약을 사전에 체결해두는 것이다. 만일 회사가 근로자와 ‘경업금지 약정’을 체결했다면 근로자의 경쟁업체 이직에 대해 전직 금지 가처분 수단을 활용할 수 있다. 판례에 따르면 약정 내용에 따라 퇴사 후 1년에서 2년 정도 경업금지 의무가 인정된다. 다만 경업금지 의무가 헌법 제15조가 보장하는 개인의 직업선택의 자유를 지나치게 침해하는 경우에는 그 약정의 전체 또는 일부가 무효가 되거나 문제 되는 내용을 제한적으로 해석할 수 있다는 점에 유의해야 하고 이 경우 경업금지 대가로 일시금을 지급하기로 하는 약정을 체결하기도 하고 그 기간도 점점 짧아지고는 있음에 유의해야 한다. 퇴직자가 기술을 유출하는 경우는 우선 업무 인수인계를 잘하는 것이 중요하다. 퇴직자가 재직 시 사용한 컴퓨터나 자료, usb 등 각종 저장장치를 반출할 수 없도록 해야 하고 이때 업무 인수인계 리스트를 작성하고 이와 함께 경업금지 약정서, 비밀유지 약정서를 함께 작성하여 사직서와 함께 청구해야 한다. 또한, 핵심 인력의 이직 시에는 영업비밀 유출 시 관련 법률에 따라(부정경쟁 방지법 등) 처벌될 수 있다는 점도 고지할 필요가 있다. 혁신적인 기술이 기업생태계의 판도를 가르는 요즘 같은 시기에 회사는 더욱 기술 관리 및 영업비밀 보호에 더욱 신경을 써야 한다고 나온 것처럼 우리가 정보가 누출되지 않도록 법은 물론이고 교육도 중요하다는 내용이다.^[4]

각주

참고자료

• 〈정보보호시스템 구축을 위한 실무가이드〉, 《한국인터넷진흥원》, 2018-06
• 〈정보보안규정〉, 《네이버 지식백과》
• 〈군사기밀 보호법〉, 《국가법령정보센터》
• 장예지 기자, 〈법원, 8년만에…대법, ‘개인정보 유출’ 농협·국민·롯데카드 유죄 확정〉, 《한겨레》, 2020-09-14
• 이영재 기자, 〈"SNS로 군사기밀 샌다"…軍 보안위반 사례 증가〉, 《한겨레》, 2015-09-07
• 한서희 변호사, 〈(한서희 변호사의 테크로우) 기업 기밀 정보유출, 어떻게 대처하나〉, 《법률신문》, 2021-03-26

같이 보기

• 누출
• 정보
• 감청
• 보안업무규정

이 누출금지정보 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.