산업기밀 유출을 시도하는 사람들의 행동 패턴 - 「이코노미스트」 2006년 12월호 참조
1) 본인 업무와 관련 없는 다른 직원들의 업무에 대해 수시로 질문하는 사람
2) 디지털카메라 등 업무와 관련 없는 영상장비를 사무실에 반입하는 사람
3) 본인의 업무와 관련 없는 다른 부서 사무실을 빈번히 출입하는 사람
4) 연구실, 실험실 등 회사 기말이 보관되어 있는 장소에 임무와 상관없이 접근하는 사람
5) 평상시와 다르게 동료와 접촉을 회피하는 등 정서변화가 심한 사람
6) 주요 부서에서 근무하다가 갑자기 사직을 원하는 사람
7) 업무를 빙자해 주요 기밀자료를 복사, 개인적으로 보관하는 사람
8) 주어진 임무와 관련 없는 DB에 자주 접근하는 사람
9) 특별한 이유 없이 일과 후나 공휴일에 빈 사무실에 혼자 남아 있는 사람
10) 기술 습득보다 고위 관리자나 핵심 기술자 등과의 친교에 관심이 높은 연수생
11) 연구 활동보다 연구 성과물 확보에 지나치게 집착하는 연구원
12) 견학을 하면서 지정된 방문 코스 외 다른 시설에 관심을 갖고 있는 방문객
일반적인 회사에서 바로 적용할 수 있는 것들은 3, 7, 8, 9 등이 아닐까 한다.
이전의 직장 경험으로 본다면 IT 부서는 기본이고 금융상품 개발관련 현업부서, 인사부서, 각종 계약을 총괄하는 총무 부서 등을 위주로
3) RF 카드/지문인식 카드로 출입통제되는 곳의 출입 이력의 분석
7) 전산절차, 업무시스템에서 엑셀 자료 요청이나 다운로드시 이력 통제 절차를 구현해서 분석
8) DB 조회 로그 이력의 분석으로 select 문에 과도한 개인정보 컬럼, * 로 전체 조회 그리고 일상 작업이라
할 수 없는 많은 조회량 등 분석
9) 야근일 경우 특정 시간 이후로 전체 소등을 하고 팀장의 승인이 포함된 야근 신청일 경우 소등 해제,
휴일 근무일 경우 휴일의 출입 기록 분석
등은 현실적으로 가능한 조치라 볼 수 있다.
이런 것들이 현실적으로 불편함을 줄 수 있지만 사람은 불편 체감의 법칙이 있다. 더욱 중요한 것은 이런 통제가 예방통제, 저지와 직원들의 보안 인식 전환의 효과를 목적으로 한다면 나름의 목적을 달성할 수 있다.
산업기밀 유출의 원인
구조조정 또는 긴축재정 때 R&D 분야 인력을 우선 감축하고, 연구개발 성과에 대한 보상이 미흡한 현실도 산업기밀의 누설을 막지 못하는 원인이다.
유출 동기로는 금전적 유혹이나 개인 영리가 전체의 70%를 차지하며, 그 외 사내에서 처우나 인사에 따른 불만에 의한 유출도 상당수 있다.
기업에서는 직원들에 대해 직업윤리를 강조하기 이전에 연구원의 실적에 대한 확실한 보상을 해서 이들의 이탈과 배신을 근본적으로 막아야 한다.
회사의 영업, 존페 기반 기술과 관계된 부서에 일하는 사람들에 대해서는 자존감을 살려줄 필요가 있다. 정기적/비정기적으로 직원들이 경제적 위기에 처하지 않는지 지켜볼 필요가 있다.
회사를 위해 생각한 것이 다른 부서나 팀에서 인정은 커녕 화살이 날라오는 상황이 된다거나 퇴사하고자할 때 고의로 방해하거나 압박을 주는 상황이 생긴다면 곱게 나갈 사람도 악의적으로 변할 우려가 있다.
실패를 한 연구든 개선이든 악의적으로 한 것이 아니라면 패널티 보다는 긍정적인 피드백으로 보상을 해주는 환경이 필요하다.
해고제도
미국의 경우 정보보안에 대한 관리를 우리나라와는 비교가 안 될 정도로 철저히 하고 있다고 알려져 있다.
미국의 해고제도에서는 한국과는 달리 해당 직원에게 사전 해고 통지를 거의 하지 않는 것으로 알려져 있다. 극단적인 경우에는 해고 통보를 출근하는 당일에 받기도 한다고 한다. 이러한 제도는 정보보안의 관점에서는 회사의 비밀이나 직무상 기밀 사항들의 유출을 최소화시킬 수 있는 방법 중의 하나가 될 수 있다.
해고제도는 미국의 것을 따라가야 한다.
또한, 자발적인 퇴사제도에서도 우리나라는 인수인계라는 이유로 보통 2주 ~ 1달의 공백을 주는 경우가 많다. 공백 기간은 좋지만 그 사이 인력 충원이 아니된 점, 현실적으로 밀려드는 업무처리 등으로 퇴사 예정자가 이전과 같이 나가는 날까지 여러 업무시스템에 접속해서 업무를 처리하는 경우가 많다.
인수인계를 위해서 업무시스템, 전산시스템에 접속해야 할 수 있지만 그런 것들은 평상 시 자기 업무에 대한 메뉴얼 작성을 통해서도 가능한 것이다.
설령 만들지 않더라도 기본적인 제한 통제를 두지 않는 것이라면 전산소스, 계약서, 회사만의 노하우 등의 유출 위험이 존재한다.
당하는 사람이야 기분이 나쁠 수 있겠지만 일반적으로 적용되는 절차이고 최근의 유출 사례를 든다면 수긍못할 제도는 아니다.
'My Review > 책' 카테고리의 다른 글
| 빌딩부자들 (0) | 2015.11.29 |
|---|---|
| 마키아벨리 (0) | 2015.01.01 |
| 공부논쟁 (0) | 2014.10.19 |
| 삼성의 임원은 어떻게 일하는가 (0) | 2014.02.23 |
| 말콤 글래드웰 - 다윗과 골리앗 (0) | 2014.01.27 |
| 해커의 언어, 치명적 파이썬 (0) | 2014.01.12 |
| 보안경제학 2장 - 사이버 세계에서의 위협들 (0) | 2012.08.17 |
| The Third Screen (0) | 2012.01.29 |
| 3000달러 예상되는 국제 금값 (3) | 2011.07.26 |
| 내 인생을 바꾼 아버지의 다섯 가지 가르침 (0) | 2011.05.18 |
