제로트러스트-기술 패권주의 속에서 첨단 핵심기술 유출 차단의 키

첨단핵심기술 유출 방지 - 제로 트러스트

폐허의 나라에서 기적의 나라로


1. 기적의 나라 대한민국

6.25 직후 맥아더 장군은 폐허가 된 한국을 보며 “기적이 일어나지 않는 한 이 나라가 일어서기까지 앞으로 100년은 걸릴 것이다” 라고 했을 정도로 우리나라의 실상은 참혹한 상태였다.기술개발은 둘째치고 삶을 존속할 기반조차 빈약한 원조 대상 최빈국이었다.

6.25-한국에-대한-맥아더장군의-의견을-말하는-사진

그러나 이런 예상을 뒤엎고 한국은 놀라운 속도로 성장했고, 이제는 원조를 받는 국가(수여국)에서 원조를 하는 국가(공여국)의 지위에 올라서게 된 것이다.
물론 이 과정에서 한국 또한 수많은 시행착오를 겪으며 선진국의 제도, 문화, 기술 등을 받아들여 모방과 발전을 통해 선진국으로서의 경제적, 기술적 자립 기반을 만들어 갔다. 그 결과 반도체, 조선, 디스플레이, 스마트폰, 전기차, 배터리, 백색가전 등 세계 1위 수출 품목이 77개난 되는 세계 10위의 기술경제 선진국 반열에 올라서게 되었다.(한국무역협회, 2020)

2. 핵심 기술 패권의 Key : IP(지식재산권) 유출 방지 및 보호

1위는 달성보다 수성이 어렵듯이 국가간 기술 패권주의가 심화되는 현재의 시류 속에서는 더 많은 노력과 대비가 필요하게 된다. 여전히 발전이 필요하여 얻어야 될 부분이 존재하지만 가지고 있는 것 만큼은 잃지 않는, 지키는 경제기술 안보전략이 더더욱 필요한 시점이 되었다. 경제기술 안보전략에서 가장 핵심적으로 손꼽는 것이 바로 첨단기술 보호이다.

전경련컨퍼런스에-참석한-경제안보-관계자-사진

최근 전경련 컨퍼런스에서 특허청장은 "참단기술 보호는 기업이 사활을 넘어 국가의 명운이 걸린 중요한 가치"라고 첨단기술 가치의 중요성을 강조하며 첨단기술의 핵심이라 할 수 있는 지식재산권(IP)의 기술정보 유출 방지 및 보호 정책 마련의 의지를 밝힌 바 있다.

3. 지식재산권에 대한정보보호의 첨병 한국특허정보원

대부분의 첨단 기술은 소유 기업 또는 연구소 등에서 보유하며 관리하고 있으며, 권리 확보 및 보호를 위해 특허와 같은 지식재산권으로도 보호 관리되어지고 있다. 물론 특허청은 지식재산권을 관리 감독하는 정부기관으로서 정교한 보호정책과 지원책을 마련하고 있다. 이와 함께 특허청 정보화 전문기관인 한국특허정보원은 지재권 정보를 ICT 기반 하에 보다 안전하게 보호 활용할 수 있는 정보보호정책을 적극 지원하고 있다.

4. 첨단 기술 유출 사례 : 핵심인재 빼가기

고도의 정보호호시스템 도입과 그에 대한 관리체계를 잘 구축하여 철저한 보안방어체계를 갖춘다고 하더라도 세상에 완벽한 방어는 없기에 그 속에도 허점이 발생할 수 있다. 그 것 중에 하나가 바로 사람이다.
'열 길 물속은 알아도 한 길 사람 속은 모른다'는 속담처럼 사람은 감성, 욕망, 이해관계 등의 잠재적 불안 요소를 가지고 있기에 보안 측면에서 보면 중요하게 관리되어져야 할 약점 중의 하나로 간주하고 있다.
그 대표적인 예로 볼 수 있는 것이 바로 인력 빼가기식의 기술 유출 사고이다. 국정원 산하 기밀보호센터에 따르면 2018년부터 2022년 7월까지 산업기술 유출 시도가 83건 있었다고 한다.

첨단기술-해외-유출-실태를-보여주는-표

그 탈취 수법을 보면 '핵심인재 매수', 인수합병 활용', '공동연구 가장' 등이 주로 사용되었다고 국가정보원 산업기밀보호센터에서 분석했다. 이 방법들을 자세히 보면 그 공통점이 바로 사람이 관여된 것이다. 특히 인재 채용 또는 매수 등의 방법으로 기술만 빼어내고 해당 기술자는 퇴출시켜버리는 '토사구팽' 방식이 많이 사용되었다고 한다. 그러나 현재는 법적 제재도 약하고, 양심과 교육에만 의존할 수 있는 것도 아니므로 이러한 약점을 극복할 수 있는 근본적인 방법을 만들 필요성이 대두되고 있다.

5. 핵심 기술 유출 방어 : 온라인 방어의 핵심 제로 트러스트

현대는 그물망처럼 복잡하게 얽혀있는 네트워크 구조 사회이다. 그렇기에 과거처럼 중요 정보가 담겨있는 서류를 금고에 보관하는 것이 아니라 전자정보 형태로 보관 활용되고 있는 시대이다.
현 시대는 모든 정보는 네트워크의 흐름을 타고 움직인다. 그렇기에 네트워크상에서의 보안이 중요한 화두로 여겨지고 있다. 그래서 차단하고 단속하기 위해 여러 가지 접근관리 정책과 정보보호 장비를 도입하고 심지어 외부와의 차단을 위한 망분리 체계도 구축하게 되었다. 그러나 이런 망분리 체계가 도입되어도 여전히 정보유출 사고는 발생하고 있다.

차단만이 능사는 아닌 것이다. 오히려 이와 같은 차단 정책이 정보의 흐름을 방해하는  걸림돌이 되고 있는 것이 현실이다. 최근 들어 그 한계 극복을 위해 회자되고 있는 것이 바로 제로 트러스트(Zero Trust)이다. 이는 아무것도 신뢰하지 않는다는 전제로 내부 또는 외부 모든 사용자에 대한 검증과 권한 확인을 통해 접근범위를 최소화하는 방식이다. 이 방식의 핵심은 차단이 아니라 연결을 전제로 접근관리와 모니터링을 하는 것이다.
정보의 확산과 활용이 중요시되고 있는 지금에 와서 폐쇄 또는 차단식 정책은 무의미해 진다. 개방은 하되 관리범위 안에서 어떤 것이 들어오고 나가는지, 어디서 어디로 정보가 흘러가는지에 대한 책임과 권한, 그리고 추적관리를 하는 것이 더 효율적인 것이다. 이런 측면에서 많은 전문가들이 강조하는 부분이 몇 가지 있다.

6. 제로 트러스트 : 정보 가치 구분

우선 정보 가치에 대한 구분이다. 조직 내부에서 보유 정보의 중요도를 구별하고 그에 맞은 등급을 정확하게 구분함으로써 접근관리의 기준을 부여할 수 있게 한다. 이와 함께 구분된 정보들의 위치도 명확하게 파악하고 정의되어야 한다. 예를 들어, 핵심기술과 같은 정보는 접근이 어렵고 암호화된 DB에, 개방이 필요하거나 활용이  높은 정보는 권한이 낮은 일반 DB 또는 디스크에 두는 방식으로 위치 자체도 구분을 짓는 것이 좋을 수 있다고 한다.

7. 제로 트러스트 : 접근 권한 및 자격 증명

다음으로 사용자에 대한 엄격한 접근 권한 부여와 자격 증명이다. 정보에도 등급을 부여하듯이 사용자에게도 등급과 권한을 구별하여 이상 접근을 제한하고 접근 가능 등급이라도 명확한 자격 증명을 통해 확인은 물론 정보의 흐름까지 모니터링 할 수 있는 체계를 적용하게 하는 것이다. 실제로 이런 체계는 많은 조직에서 이미 도입하여 운용하고 있기도 하다. 그러나 운용 과정에서 관례, 불편함 등의 이유로 기본이 무시되거나 예외를 남발하게 됨으로써 문제가 다시 발생하게 되는 것이다. 결국 시스템이나 제도도 중요하지만 구성원들의 준수 의지와 인식의 문제로 귀결된다.

8. 제로 트러스트 : 꾸준한 교육

이와 같은 약점을 보완해 줄 수 있는 것은 꾸준한 교육이라고 한다. 정보보호 교육은 어렵고 따분하다는 인식으로 이벤트성 또는 형식적 교육으로 시행되곤 한다. 이런 단점을 보완하기 위해서는 영화, 유튜브 등을 시청각 자료로 활용하고 사회적 이슈를 연계시킨 내용으로 피교육자들의 눈높이에 맞게 접근한다면 주목성을 높일 수 있을 것이다. 추가적으로 교육은 꾸준함이 필요하다. ‘귀에 못이 박히도록’이란 말이 있듯이 동일한 교육이라도 지속적으로 실시하여 습관화 될 수 있도록 하는 것이 중요하다.

9. 제로 트러스트 : 모니터링

마지막으로 모니터링이다. 이는 사용자들이 감시라는 왜곡된 시각으로 오해할 수 있다. 그러나 그 모니터링의 대상이 사람이 아니라 정보의 흐름이라는 것을 명확하게 인지 시킨다면 사용자들은 정보처리와 접근에 있어 각별한 주의를 기울이게 될 것이다. 또한 보다 정교한 솔루션과 장비를 이용하여 해킹공격이나 악성코드 유입의 사전 차단과 같이 정보이동의 이상징후에 대해 보다 신속하게 대응조치를 할 수 있을 것이다. 최근에는 많은 솔루션 기업들이 인공지능(AI)을 이용한 데이터 흐름, 접근로그 패턴 등의 분석으로 이상 징후를 찾을 수 있는 제품을 개발하여 출시하고 있다.

10. 결론

최근 각종 SNS나 유튜브 등에 한국의 치안이 탁월하다는 애국심 유발 동영상들이 많이 나오곤 한다. 일부는 사실이기도 하다. 한국의 치안이 좋은 것은 맞다.

세계-치안-수준을-보여주는-표

그 이유에 대해 일부는 CCTV가 많아서라고 한다. 물론 추적과 증적 확보, 안전 등의 목적으로 많은 수의 CCTV가 설치되어 있다. 그렇기에 CCTV를 인식하여 행동하는 것도 부인할 수는 없을 것이다. 그러나 본질적인 것은 남의 것을 탐하지 않는 높은 시민의식에 있다. 남의 것을 가져가지 않고, 주운 것은 돌려주고 하는 행동들은 기본적으로 어릴 적부터 받아온 꾸준한 교육으로 인해 자의식 내면에 깊이 내재되어 있기 때문일 것이다.

첨단기술, 핵심정보 등에 대한 보호 역시 명확한 꼬리표를 붙여 관리하고 이에 대한 활용, 보호, 관리의 주체가 우리여야 한다는 교육을 지속적으로 이행한다면 우리가 헌신적으로 쌓아 올린 첨단 핵심 기술의 금자탑을 더 잘 지킬 수 있는 시대가 될 수 있을 거라 생각된다.이와 같은 노력이 우리 기술 보호에 많은 도움이 될 수 있기를 희망해 본다.