본 연구는 산업기술 보호를 위한 관리적 발전방안을 마련하기 위하여 공공기관, 대기업, 중소기업 등을 대상으로 관리적 보안실태에 대해 조사 분석을 실시하였으며, 그 결과는 다음과 같다. 첫째, 보안정책을 효과적으로 실행할 수 있는 기반 구축이 필요하다. 조사대상 대부분이 보안규정을 잘 관리하고 있으나 보안규정을 지키거나 지속적으로 개선하려는 노력이 부족한 것으로 나타났다. 이를 개선하기 위하여 보안전담조직과 보안담당자 운영방법을 개선할 필요가 있으며, 보안규정을 모든 구성원에게 알리고 보안업무 수행을 위한 팀 간 업무 공조체계를 이룰 수 있는 조직문화를 활성화 할 필요가 있다. 이와 함께 지속적인 보안점검과 보안감사를 통해 보안의식을 향상시키고, 보안규정 준수 여부를 직원업무평가에 반영함으로써 보안정책을 가시화 할 필요가 있다. 둘째, 보안활성화를 위한 보안투자가 필요하다. 기술 유출경로와 수단이 다양화 첨단화 되어가고 있을 뿐 아니라 복잡하고 빠른 속도로 변화하기 때문에 관련 전문기관인 국가정보원, 한국인터넷진흥원, 정보보호 컨설팅 전문기업, 관련 대학 및 연구소 등과의 협조채널 유지하고, 필요에 따라서는 보안 전문기관으로부터 outsourcing 도입을 검토할 필요가 있다. 특히 공공기관이나 대기업에 비해 보안정책 운영실태가 미흡한 중소기업은 조직 규모나 재정적 여건을 감안하여 보안관리 능력을 보강할 수 있도록 국가적인 차원의 지원시스템을 증가할 필요가 있다. 셋째, 산업기술 유출의 주체는 사람으로 인력관리가 중요하다. 신규 입사자와 임직원을 대상으로 하는 정기적인 교육률은 높은 것으로 평가되나 핵심기술에 접근하는 임직원과 제3자로부터의 보안서약서 작성과 중요자산에 대한 접근권한이 변경될 때 접근권한 변경 적용과 같은 업무의 활성화가 필요하다. 중요기술을 다루는 사람에 한하여 신원조사를 실시할 수 있는 여건조성이 필요하며, 퇴사자에 대한 보안서약서 징구와 정보시스템에 대한 접근권한 제거, 계정삭제와 같은 퇴직자 관리를 강화할 수 있어야 한다. 넷째, 중요한 자산에 대한 관리와 통제를 강화해야 한다. 자산에 대한 목록과 관리기준은 비교적 잘 정리되어 있으나 자산의 중요성에 따른 등급화작업의 활성화와 자산의 유출 및 손상의 경우를 대비한 영향 정도를 평가할 수 있는 작업이 필요하다. 자산에 대한 중요도는 시간흐름 및 업무특성에 따라 변화되기 때문에 주기적인 자산평가 작업과 분류작업을 통해 사용자별로 권한을 설정할 수 있어야 한다.
본 연구는 산업기술 보호를 위한 관리적 발전방안을 마련하기 위하여 공공기관, 대기업, 중소기업 등을 대상으로 관리적 보안실태에 대해 조사 분석을 실시하였으며, 그 결과는 다음과 같다. 첫째, 보안정책을 효과적으로 실행할 수 있는 기반 구축이 필요하다. 조사대상 대부분이 보안규정을 잘 관리하고 있으나 보안규정을 지키거나 지속적으로 개선하려는 노력이 부족한 것으로 나타났다. 이를 개선하기 위하여 보안전담조직과 보안담당자 운영방법을 개선할 필요가 있으며, 보안규정을 모든 구성원에게 알리고 보안업무 수행을 위한 팀 간 업무 공조체계를 이룰 수 있는 조직문화를 활성화 할 필요가 있다. 이와 함께 지속적인 보안점검과 보안감사를 통해 보안의식을 향상시키고, 보안규정 준수 여부를 직원업무평가에 반영함으로써 보안정책을 가시화 할 필요가 있다. 둘째, 보안활성화를 위한 보안투자가 필요하다. 기술 유출경로와 수단이 다양화 첨단화 되어가고 있을 뿐 아니라 복잡하고 빠른 속도로 변화하기 때문에 관련 전문기관인 국가정보원, 한국인터넷진흥원, 정보보호 컨설팅 전문기업, 관련 대학 및 연구소 등과의 협조채널 유지하고, 필요에 따라서는 보안 전문기관으로부터 outsourcing 도입을 검토할 필요가 있다. 특히 공공기관이나 대기업에 비해 보안정책 운영실태가 미흡한 중소기업은 조직 규모나 재정적 여건을 감안하여 보안관리 능력을 보강할 수 있도록 국가적인 차원의 지원시스템을 증가할 필요가 있다. 셋째, 산업기술 유출의 주체는 사람으로 인력관리가 중요하다. 신규 입사자와 임직원을 대상으로 하는 정기적인 교육률은 높은 것으로 평가되나 핵심기술에 접근하는 임직원과 제3자로부터의 보안서약서 작성과 중요자산에 대한 접근권한이 변경될 때 접근권한 변경 적용과 같은 업무의 활성화가 필요하다. 중요기술을 다루는 사람에 한하여 신원조사를 실시할 수 있는 여건조성이 필요하며, 퇴사자에 대한 보안서약서 징구와 정보시스템에 대한 접근권한 제거, 계정삭제와 같은 퇴직자 관리를 강화할 수 있어야 한다. 넷째, 중요한 자산에 대한 관리와 통제를 강화해야 한다. 자산에 대한 목록과 관리기준은 비교적 잘 정리되어 있으나 자산의 중요성에 따른 등급화작업의 활성화와 자산의 유출 및 손상의 경우를 대비한 영향 정도를 평가할 수 있는 작업이 필요하다. 자산에 대한 중요도는 시간흐름 및 업무특성에 따라 변화되기 때문에 주기적인 자산평가 작업과 분류작업을 통해 사용자별로 권한을 설정할 수 있어야 한다.
This study is to present a improvement directions for the protection of industrial key technology. For the purpose of the study, the survey was carried out on the administrative security activity of 68 enterprises including Large companies, small-midium companies and public corporations. survey resu...
This study is to present a improvement directions for the protection of industrial key technology. For the purpose of the study, the survey was carried out on the administrative security activity of 68 enterprises including Large companies, small-midium companies and public corporations. survey result on the 10 items of security policy, 10 items of personal management and 7 items of the assets management are as follows; First, stable foundation for the efficient implement of security policy is needed. Carrying a security policy into practice and continuous upgrade should be fulfilled with drawing-up of the policy. Also for the vitalization of security activity, arrangement of security organization and security manager are needed with mutual assistance in the company. Periodic security inspection should be practiced for the improvement of security level and security understanding. Second, the increase of investment for security job is needed for security invigoration. Securing cooperation channel with professional security facility such as National Intelligence Service, Korea internet & security agency, Information security consulting company, security research institute is needed, also security outsourcing could be considered as the method of above investment. Especially small-midium company is very vulnerable compared with Large company and public corporation in security management, so increase of government's budget for security support system is necessary. Third, human resource management is important, because the main cause of leak of confidential information is person. Regular education rate for new employee and staff members is relatively high, but the vitalization of security oath for staff members and the third party who access to key technology is necessary. Also access right to key information should be changed whenever access right changes. Reinforcement of management of resigned person such as security oath, the elimination of access right to key information and the deletion of account. is needed. Forth, the control and management of important asset including patent and design should be tightened. Classification of importance of asset and periodic inspection are necessary with the effects evaluation of leak of asset.
This study is to present a improvement directions for the protection of industrial key technology. For the purpose of the study, the survey was carried out on the administrative security activity of 68 enterprises including Large companies, small-midium companies and public corporations. survey result on the 10 items of security policy, 10 items of personal management and 7 items of the assets management are as follows; First, stable foundation for the efficient implement of security policy is needed. Carrying a security policy into practice and continuous upgrade should be fulfilled with drawing-up of the policy. Also for the vitalization of security activity, arrangement of security organization and security manager are needed with mutual assistance in the company. Periodic security inspection should be practiced for the improvement of security level and security understanding. Second, the increase of investment for security job is needed for security invigoration. Securing cooperation channel with professional security facility such as National Intelligence Service, Korea internet & security agency, Information security consulting company, security research institute is needed, also security outsourcing could be considered as the method of above investment. Especially small-midium company is very vulnerable compared with Large company and public corporation in security management, so increase of government's budget for security support system is necessary. Third, human resource management is important, because the main cause of leak of confidential information is person. Regular education rate for new employee and staff members is relatively high, but the vitalization of security oath for staff members and the third party who access to key technology is necessary. Also access right to key information should be changed whenever access right changes. Reinforcement of management of resigned person such as security oath, the elimination of access right to key information and the deletion of account. is needed. Forth, the control and management of important asset including patent and design should be tightened. Classification of importance of asset and periodic inspection are necessary with the effects evaluation of leak of asset.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 공공기관, 대기업, 중소기업을 대상으로 현재의 관리적 보안 실태를 조사․분석 하여 산업기술을 보호하기 위한 관리적 발전방안을 제시하는 것을 목적으로 하며, 설문지 작성과 조사대상기관 선정과정에서 보안관련 협회, 보안관련 학과 교수, 보안관련 업계의 엔지니어 등으로부터 자문을 받았다. 선정된 조사대상 기관은 보호할 산업기술을 보유하고 있는 기관 68개로 많은 기관의 관리적 보안실태를 나타내는데 한계가 있을 것으로 생각한다.
산업기술보호를 활성화하기 위하여 물리적인 보안시스템과 기술적인 보안시스템 구축과 함께 관리적 보안업무를 강화할 필요가 있는데, 본 연구에서는 국가핵심기술을 보유하고 있는 기관을 대상으로 관리적 보안업무 실태를 조사․분석하여 다음과 같은 대응방안을 제시할 수 있다.
제안 방법
설문지 문항은 보안 정책, 인적 자원 관리, 자산 관리 3개 부분으로 구성하였는데, 보안정책 부분은 10개 항으로, 보안규정 보유현황, 보안정책 및 지침절차 등의 내용에 대한 임직원 공지현황, 보안전담조직 현황, 조직의 주요정보 공유방법, 임직원 업무에 보안관련 내용 포함현황, 조직 내 보안업무 수행을 위한 팀 간 업무 공조체계 구성현황, 보안감사 실시현황, 정보 및 자산보호를 위한 비용투자 현황, 조직 내 보안업무 추진을 위한 전문기관 도움현황, 산업기술보안 컨설팅 경험에 관한 것이다.
연구에서 사용한 설문지는 연구목적에 맞게 작성하여 보안관련 학과 교수 및 보안관련 산업에 종사하는 엔지니어 등에게 사전 배포하고, 전문가 회의에서 토의를 거쳐 일부 수정 후 사용하였다.
조사는 2009년 4월 20일부터 8월 10일 까지 실행되었으며, 설문지를 본 연구의 목적에 맞게 우편, 팩스, 이 메일로 보내고 응답하여 기재하는 방식을 선택하였다. 응답한 조사대상 기관은 68개이며, 응답받은 설문지는 응답오류 및 무응답 등에 관한 검토과정을 거친 후, 통계 프로그램인 SPSS ver.
대상 데이터
조사대상은 우리나라 전국에 있는 공공기관, 대기업, 중소기업을 대상으로 하였으며, 조사대상을 선정하는 과정에서 관련협회와 보안관련 학과 교수, 보안관련 기업의 엔지니어들과의 토의과정을 거쳤으며, 산업적으로 보호가치가 있는 중요한 기술 및 정보 등을 보유하고 있는 기관으로 선정하였다.
데이터처리
조사는 2009년 4월 20일부터 8월 10일 까지 실행되었으며, 설문지를 본 연구의 목적에 맞게 우편, 팩스, 이 메일로 보내고 응답하여 기재하는 방식을 선택하였다. 응답한 조사대상 기관은 68개이며, 응답받은 설문지는 응답오류 및 무응답 등에 관한 검토과정을 거친 후, 통계 프로그램인 SPSS ver.10.0을 이용하여 연구목적에 맞게 처리하였다.
성능/효과
과 에서 보안규정을 보유하지 않은 기관은 6개 기관 8.8%로 비교적 낮게 나타났지만 중소기업이 공공기관이나 대기업에 비해 보안규정을 보유하지 않은 비율과 보안규정을 잘 지키지 않는 비율이 각각 19.2%와 47.6%로 전체 평균비율 보다 훨씬 높다는 것을 보여준다.
그리고 보안관리 규정을 보유하고 있는 조사대상 기관의 67.7%가 실제로 규정을 시행하여 지속적으로 개선하고 있으며, 14.5%는 보안규정을 시행하고만 있는 것으로 나타나 보안 규정의 이용도가 다소 미흡한 것으로 분석된다.
넷째, 중요한 자산에 대한 통제와 관리를 강화해야 한다. 자산에 대한 목록과 관리기준은 비교적 잘 정리되어 있으나 자산의 중요성에 따른 등급화(극비, 대외비, 일반 등)와 관리규정의 보완 작업이 필요할 뿐 아니라 중요한 자산이 유출되거나 손상되는 경우에 대비한 영향 정도를 평가를 실시와 함께 자산에 대한 주기적인 점검을 활성화 할 수 있어야 한다.
6%로 나타나 다른 보안수준 항목에 비하여 상대적으로 낮은 상태임을 보여준다. 무응답을 제외한 조사대상 기관 43개의 매출금액 대비 평균적으로 차지하는 보안투자금액 비율은 약 0.34%로 집계되었다. 정보 및 자산보호를 위한 비용은 보안시스템 도입과 이에 대한 유지보수 및 컨설팅 등에 소요되는 예산을 의미하는데, <표 13>에서 보여주는 것처럼 낮은 보안투자율은 보안수준을 보여주는 것으로 보안투자를 위한 인식전환이 필요하다.
셋째, 산업기밀 유출의 주체는 사람이므로 인력관리가 중요하다. 신규 입사자와 임직원을 대상으로 하는 정기적인 보안교육률은 높은 것으로 평가되나, 보다 효과적인 교육을 위하여 콘텐츠 활용도와 전문가에 의한 체계적인 보안교육 기회를 증가시킬 필요가 있다.
<표 22>에 의하면 모든 퇴사자의 동향을 파악하는 조사대상 기관은 10.3%, 주요 임직원에 한하여 동향을 파악하고 있는 기관은 72.1%로 조사되었다. 산업기술 유출사고의 대부분이 전(현)직 임직원에 의하여 발생하였기(81%) 때문에 퇴사자에 대한 철저한 관리가 필요 하다.
<표 16>에 의하면 임직원의 보안의식을 재공하기 위한 활동으로서, 퇴근 또는 자리를 이탈할 경우 PC 전원 Off 확인 82.4%, 화면보호기 설정확인 85.3%, 노트북 방치 여부 확인 70.6%, 출입문, 개인서랍 잠금 여부 확인 80.9%, 문서 및 도면 방치여부 확인 83.8%, USB, 노트북, 문서 등 무단 방출여부 확인 72.1% 등이 수행되고 있는 것으로 나타났다. 보안의식을 재고하기 위하여, 보안관리 규정에 따른 생활수칙 준수여부를 지속적으로 점검할 수 있어야 한다.
<표 23>에 의하면 정보자산 사용자에 대한 접근권한은 변경이 생길 때마다 즉시 조정하는 조사대상 기관은 69.1%이며, 변경사유 발생 후 1주일 이내로 조정하는 기관은 16.2%조사되었다.
7%로 조사되었다. <표 12>에서 산업기술보호문제를 진단하고 대책방안을 마련하기 위하여 전문기업체나 기관에서 보안컨설팅을 받은 경험이 있는 조사 대상 기관은 62.9%이며, 보안 컨설팅 분야로는 정보보호 관리체계 구축에 집중되어 있는 것으로 나타났다.
조사대상 기관의 54.4%가 정기적인 보안감사를 실시하고 있으며, 29.4%가 필요할 때마다 수시로 보안감사를 실시하고 있는 것을 나타났다. 공공기관의 경우 관련지침에 따라 매년 1회 이상 자체적인 보안감사를 실시하고 있으며, 지속적인 감사활동을 통해 순차적으로 보안 수준 개선을 위한 노력이 필요하다.
후속연구
본 연구는 공공기관, 대기업, 중소기업을 대상으로 현재의 관리적 보안 실태를 조사․분석 하여 산업기술을 보호하기 위한 관리적 발전방안을 제시하는 것을 목적으로 하며, 설문지 작성과 조사대상기관 선정과정에서 보안관련 협회, 보안관련 학과 교수, 보안관련 업계의 엔지니어 등으로부터 자문을 받았다. 선정된 조사대상 기관은 보호할 산업기술을 보유하고 있는 기관 68개로 많은 기관의 관리적 보안실태를 나타내는데 한계가 있을 것으로 생각한다.
보안규정은 적절한 절차와 방법으로 모든 구성원에게 알릴 수 있고, 조직내 보안업무 수행을 위한 팀 간 업무 공조체계를 이룰 수 있는 조직문화가 필요하다. 이와 함께 지속적이고 현실적인 보안감사를 통해 순차적으로 보안수준을 개선하고 보안정책을 보다 효과적으로 실행할 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
산업기술 보호를 위한 국가 차원의 노력에는 무엇이 있는가?
산업기술을 보호하기 위하여 ‘부정경쟁방지 및 영업비밀보호에 관한 법률’ 도입과 ‘산업기술의 유출방지 및 보호에 관한 법률’ 제정, 보안의식교육, 국가핵심기술보유기업 보안설비구축 지원사업 등 국가적 차원의 다양한 노력이 진행되고 있지만 산업기술유출 건수와 피해규모는 증가하고 있으며, 국내 핵심기술의 해외유출 또는 유출시도가 증가하고 있다.
산업기밀 유출을 방지하기 위한 방안 중 인력관리 방법은 무엇인가?
셋째, 산업기밀 유출의 주체는 사람이므로 인력관리가 중요하다. 신규 입사자와 임직원을 대상으로 하는 정기적인 보안교육률은 높은 것으로 평가되나, 보다 효과적인 교육을 위하여 콘텐츠 활용도와 전문가에 의한 체계적인 보안교육 기회를 증가시킬 필요가 있다. 임직원뿐 아니라 핵심기술에 접근하는 제3자로부터도 보안서약서 징구받고, 핵심기술을 다루는 사람에 한하여 신원조사를 실시할 수 있는 여건 조성이 필요하다. 그리고 정보자산에 대한 접근권한이 변경될 때 접근권한 변경 설정도 같이 이루어 질 수 있어야 하며, 퇴사자에 대한 보안서약서 징구를 비롯하여 주요 정보시스템에 대한 접근권한 제거와 계정을 삭제하는 적극적인 보안활동이 요구된다. 그리고 평상시 컴퓨터 관리와 출입문, 문서관리, 개인서랍 관리 등을 지속적으로 점검하여 보안의식을 향상시킬 필요가 있으며, 보안정책이나 절차를 위반한 직원에 대하여 공식적인 징계 절차가 있어야 하고, 규정준수 여부를 직원업무평가에 포함하고 이를 실행할 수 있는 인식이 필요하다.
산업기술의 유출 특징은 무엇인가?
산업기술의 유출은 일회의 유출로 그 피해가 지속적이면서도 방대하게 발생한다는 특징이 있으며, 유출을 시도하는 자는 주로 기술보유회사에 근무하는 자로서 지금까지 범죄경험이 전무한 경우가 대부분이다. 이러한 특징으로 인해 산업기밀 유출을 방지하기 위한 방법은그 실효성을 거두기가 어려울 것으로 예측되고 있다(정진근, 2010).
※ AI-Helper는 부적절한 답변을 할 수 있습니다.