나경아빠의 스케치북 - 고통은 희망의 씨앗이다

1. 부정경쟁방지 및 영업비밀보호에 관한 법률

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 

3. "영업비밀 침해행위"란 다음 각 목의 어느 하나에 해당하는 행위를 말한다.    

가. 절취(竊取), 기망(欺罔), 협박, 그 밖의 부정한 수단으로 영업비밀을 취득하는 행위(이하 "부정취득행위"라 한다) 또는 그 취득한 영업비밀을 사용하거나 공개(비밀을 유지하면서 특정인에게 알리는 것을 포함한다. 이하 같다)하는 행위    

나. 영업비밀에 대하여 부정취득행위가 개입된 사실을 알거나 중대한 과실로 알지 못하고 그 영업비밀을 취득하는 행위 또는 그 취득한 영업비밀을 사용하거나 공개하는 행위    

다. 영업비밀을 취득한 후에 그 영업비밀에 대하여 부정취득행위가 개입된 사실을 알거나 중대한 과실로 알지 못하고 그 영업비밀을 사용하거나 공개하는 행위    

라. 계약관계 등에 따라 영업비밀을 비밀로서 유지하여야 할 의무가 있는 자가 부정한 이익을 얻거나 그 영업비밀의 보유자에게 손해를 입힐 목적으로 그 영업비밀을 사용하거나 공개하는 행위    

마. 영업비밀이 라목에 따라 공개된 사실 또는 그러한 공개행위가 개입된 사실을 알거나 중대한 과실로 알지 못하고 그 영업비밀을 취득하는 행위 또는 그 취득한 영업비밀을 사용하거나 공개하는 행위    

바. 영업비밀을 취득한 후에 그 영업비밀이 라목에 따라 공개된 사실 또는 그러한 공개행위가 개입된 사실을 알거나 중대한 과실로 알지 못하고 그 영업비밀을 사용하거나 공개하는 행위  

2. 침해행위 유형

1) 영업 비밀을 직접 부정취득 또는 공개/사용하는 행위(2조 3호 가목)

- 절취, 기망(남을 속이는 행위), 협박 등의 부정한 수단으로 영업 비밀을 취득

- 영업비밀 보유자의 허락 없이 복사, 촬영, 녹음, 녹화, 도청 등의 방법으로 영업비밀 취득하는 행위

- 사회통념상 인정되지 않는 부정한 수단으로 취득한 영업 비밀을 공개하거나 사용하는 행위

2) 부정취득한 영업비밀을 제3자가 취득 또는 사용, 공개하는 행위(2조 3호 나목)

가. 영업 비밀에 대하여 부정 취득 행위가 개입되었을 것

- 부정취득자로부터 직접 취득

- 중간에 제3자가 개입되어 간접적으로 취득

- 취득 시에 악의, 중과실이 있으면 그 취득행위는 물론 취득 후의 사용, 공개하는 행위도 침해행위

중과실

조금만 주의하면 결과의 발생을 피할 수 있는데도 이를 게을리한 일, 형의 가중 사유가 된다.

즉, 전문가 또는 일반인보다 높은 업무적, 기술적 지식을 갖고 있는 사람이 충분히 예측할 수 있는 일에 대해 주의를 하지 않아 발생하면 "중과실" 이 된다

나. 부정취득행위의 개입사실을 알거나 중대한 과실로 알지 못하였을 것

- 중과실이 있는 경우에도 거래에 있어서 주의의무를 현저히 나태하게 하여 악의와 동일시할 정도

   로 악성이 강하다고 인정

- "경과실"에 의한 취득, 사용, 공개행위까지 침해행위로 본다면 공지성이 없는 영업비밀에 대하여

   거래의 안전을 현저히 저해할 우려가 있기 때문에 경과실은 침해 행위에서 제외

3) 선의취득 후 "악의적" 사용 또는 공개(2조 3호 다목)

- 영업 비밀을 취득할 당시에는 선의로 취득

- 그 후에 영업 비밀을 부정하게 취득한 행위가 개입된 사실을 알거나

- 중대한 과실로 부정하게 취득한 행위를 알지 못하였을 것

- 선의취득 후에 부정한 취득, 사용, 공개된 사실을 알면서 또는 중대한 과실로 알지 못하고 이를 사용

   하거나 공개하는 행위

4) 계약 등에 의한 "영업비밀 유지의무" 위반행위(2조 3호 라목)

- 계약관계 등에 의하여 영업 비밀을 유지할 의무가 있을 것

- 계약은 영업 비밀과 관계된 각종 계약임

- 계약은 문서뿐만 아니라 구두계약도 입회자가 있고 객관적으로 인정할 수 있으면 된다.

- 부정한 이익을 얻거나 영업 비밀의 보유자에게 손해를 가할 목적이 있을 것

- 부정한 이익은 자기 자신의 이익에 국한하지 않고 타인의 이익도 포함

- 실제로 손해가 발생하여야 할 필요는 없고 손해를 가할 목적의식만 가지고 있었으면 된다.

- 영업 비밀을 취득목적에 맞지 않게 부정하게 사용하거나 공개하는 것

5) 비밀유지의무 위반으로 공개된 영업 비밀을 사용하거나 공개하는 행위(2조 3호 마목)

- 스카우트를 당한 자가 영업 비밀을 부당하게 보유하고 재취업 기업에 알리지 않았다면 그 자체만으로

   채용한 기업에서는 부정취득행위는 아님

- 스카우트 당한 자가 영업 비밀을 채취업한 기업에 알렸다면 채용회사는 부정취득행위가 됨

- 스카우트한 기업이 그 영업 비밀을 사용하거나 공개하였다면 영업 비밀의 침해행위가 됨

6) 선의취득 후 비밀유지의무 위반침해와 관련된 영업 비밀을 알고 사용, 공개한 행위(2조 3호 바목)

- 사후에 부정 취득함을 알 수 있는 방법

. 영업 비밀 보유자의 경고, 통보

. 소송사건의 계류, 신문, 방송 등에 의하여 알게 되었거나

. 업종의 지식수준 또는 주의 의무 등으로 보아 알 수 있었음에도 알지 못한 경우가 해당

1. 영업비밀의 정의

- 기업이나 개인사업자가 보유하고 있는 기술상, 경영상 또는 사업운영상의 유형, 무형의 정보나 지식을 

   모두 포함하는 개념

2. 영업비밀의 내용

1) 기술상의 정보

2) 경영상의 정보

3. 영업비밀의 요건

1) 비공지성(non-public knowledge)

- 학술지나 언론에 이미 공개하였거나 업계에 일반적으로 알려진 정보는 영업비밀이 될 수 없다.

- "공연히 알려져 있지 아니하다" 라는 것은 불특정 다수인이 알 수 있는 상태로 놓여 있지 않아 일반적

   으로 그 정보를 취득할 수 없는 상태로 관리되고 있는 것

2) 비밀유지노력(관리성)(efforts to preserve for secrecy)

- 보유자가 스스로 비밀로 유지하고 있어 비공지성이 인정될 때 그 상태를 인정하는 것

- 비밀로 유지하려는 노력을 하여야 함

- 노력은 객관적으로 인정할 수 있어야 함

- 객관적으로 증명할 수 있는 예

가. 문서화된 영업비밀에 비밀표시를 하거나 경고문 게재

나. 견고한 용기에 별도 보관

다. 영업비밀 관리사규 제정

3) 경제적 유용성(usefulness)

- 영업활동에 유용

- 반사회적이거나 공서 양속에 반하는 정보는 영업비밀로 인정하지 않는다.

- 영업비밀은 그것이 독립되고, 독점적이며 경제적으로 유용한 가치를 갖고 있어야 함

4. 판례상 인정된 영업비밀의 주요 내용

1) 연구개발과 관련된 정보

- 공개하지 않은 연구개발 전략이나 방법

- 연구 개발계획 또는 보고서

- 경제적 가치가 있는 실험결과

- 성공이나 실패한 실험 데이터 또는 분석자료 등

2) 기술상 정보

- 제품의 생산기술

- 성분원료의 배합비율이나 제조 공정

- 설계방법

- 설계도면 등

3) 상업상의 정보

- 통신판매회사나 병원의 고객명부

- 가격산정자료

- 특유한 판매방법이나 판매망

- 고객의 관리방법

4) 경영상의 정보

- 비공개 사업계획

- 특수한 선전이나 광고

- 경영관리기법

- 기초조사자료

1. 기업내 "산업정보" 보호방법 선택 시 고려할 점

1) 보호 가능한 수단을 검토

- 산업정보를 기업의 비밀로 보호하는 외에 공개하여 권리화한다면 어떠한 방법으로 권리화할 수 있느

   냐를 검토해야.

2) 복제공법(Reverse Engineering) 에 의한 기술파악 가능여부 검토

- 복제공법 : 제품을 해석, 평가함으로써 그 구조, 재질, 성분, 제조법 등 그 제품에 내재되어 있는 정보

                 를 추출하거나 추출한 정보를 사용하는 행위

자동차. 핸드폰을 구매해서 다 분해해서 분석하는 것을 말한다.

- 공개시장에서 정당하게 구입한 제품을 복제공법에 의하여 정보를 취득하는 것은 부당한 정보의

   침해로는 볼 수 없다.

- 복제공법에 의하여 추출이 가능한 기술이라면 비밀로 보호할 수도 없기 때문에 빨리 공개하여 권리화

   하여야.

3) 기술의 기술개발경쟁 속도 고려

- 공산품의 제품의 라이프 사이클은 몇 개월.

- 개인용 컴퓨터의 경우는 제품 생명주기가 6~7개월.

- 화장품류의 생명주기는 3~4개월에 불과.

- 기술개발의 경쟁이 치열한 기술은 우리나라와 같이 특허심사 처리기간이 평균 20여개 월이나 걸리는

   국가에서는 특허출원이 큰 의미가 없다.

- 동일한 기술을 먼저 개발하고 경쟁업체나 다른 연구소에서도 곧 개발단계에 있다면 하루빨리 특허

   출원으로 권리를 확보하여야.

기술을 특허화하지 않고 영업비밀로 할 때의 이점은 100년 이상 권리를 가질 수 있다. 특허는 15년 정도 기간 지나면 공개되어 권리가 없어진다(코카콜라 제조 비법은 영업비밀로 갖고 있고 전세계에서 3명만 알고 있다)

4) 관리, 보호의 소요되는 경비와 보안관리 여건 검토

- 국제특허(PCT 출원)의 경우는 중요한 20여 개국만 출원하여도 그 비용이 적지 않은 금액 소요

- 비밀로 보호하는데 있어서도 외국의 선진기업에서는 많은 투자를 하고 있다.

- IBM 에서는 임직원이 퇴직할 때에는 지득한 영업 비밀을 지켜주는 경업금지 의무를 부담하는 조건

   으로 3~4년분의 본봉을 지급하고 민사상의 계약을 체결

- 코카콜라사에서도 퇴직자에 의한 비밀누설을 방지하기 위하여 지득하고 있는 비밀내용에 따라 

   3~5년분의 본봉을 지급하고 계약을 체결

- 기업의 비밀보상을 민사적으로 또 장기적으로 철저하게 보호하기 위하여 외국과 같이 상당한 보상을

   하여야.

2. 지적재산권 제도에 의한 권리화 방법

- 특허 : 발명을 장려하기 위하여 발명한 내용을 공개하여 산업의 발전에 이바지한 자에 대하여 일정기간

            독점, 배타적인 권리를 인정함으로써 경제적으로 보상하는 제도

- 특허나 실용신안으 발명의 내용을 의무적으로 공개하는 대신에 일정 기간 독점적으로 배타적인 권리를

   행사(특허는 출원일로부터 20년, 실용신안은 15년)

- 특허요건(신규성, 진보성, 산업성 등)이 부족한 노하우나 기업의 상업상 또는 경영상의 정보는 특허 또는

   실용신안으로 권리화가 불가능

- 권리화가 불가능한 특허 신청으로 기술을 공개만 하고 심사과정에서 특허권은 취득하지 못할 위험성도

   감안

- 영업비밀의 경우는 그 인정받을 수 있는 범위가 특허나 실용신안권보다 대단히 넓음. 나중에 침해 받았을

   때 재판에 의하여 영업비밀로 인정을 하느냐 않느냐가 가려지게 되는 것.

코카콜라는 100년이 넘은 회사지만 보안 사고가 한번도 일어나지 않았다고 한다.

1996년 애틀란타 올림픽 때 코카콜라는 회사의 보안 안전을 위해 올림픽 기간동안 애틀란타 지역 공장을 휴업했을 정도로 보안에 철저

3. 저작권 제도에 의한 권리화 방법

- 저작권 제도 : 독창적인 아이디어 자체를 보호하는 것이 아니라, 아이디어가 저작물에 표현된 상태를 보호

                    하는 제도

- 저작권 제도는 저작자의 아이디어는 활용할 수 있되, 저작자의 사상이 표현되어 있는 저작물 자체를 복제

  하여 활용할 수 없는 제도

홍길동이란 아이디어를 가지고 여러 작가가 다양한 시각으로 글을 쓸 때는 저작권 위반이 아니다

4. 新지식재산권 제도에 의한 권리화 방법

1) 산업재산권 : 컴퓨터 프로그램 및 소프트웨어 소스

2) 첨단산업재산권 : 반도체칩회로 설계권, 생명공학기술 등

3) 정보재산권 : 데이터베이스(DB), 뉴미디어 등

5. 비공개하는 전략 - 영업비밀 보호제도

1) 영업비밀 보호 제도 법제화 경위

- 기술선진국을 중심으로 완벽한 지적재산권 제도 확립을 위한 국제적인 협상이 진행됨에 따라

   국제무역질서에 동참하기 위하여 영업비밀의 보호를 요구하는 외부적인 요구

- 생산기술에 관한 영업 비밀을 보호하는 것은 연구 개발을 촉진시켜 경쟁력을 높이는 효과

- 건전한 거래질서의 확립이나 사회정의에도 부합

- 기술수준의 발달로 영업비밀이 급증

- 영업비밀을 침해하는 사건이 증가

- 완벽한 지적재산권 보호제도가 확립되지 않고는 외국의 선진기술을 도입할 수 없다

- 대외 통상마찰 등 국제간 분쟁의 요인 

후진국일수록 영업비밀 보호제도가 없다. 보호할 기술이 없으므로. 선진국은 영업비밀 보호를 강요하고 그에 따라 후진국은 기술 발전은 더디다.

4) 기업보안과 산업보안의 대상

- 기업보안의 대상 : 기업의 존립이나 명예, 영리와 관련이 있는 것은 모두 기업보안의 대상

- 산업보안의 대상 : 기업뿐만 아니라 국가의 산업계 취약점이나 산업계의 발전 전략까지도 보안 관리

                            의 가치가 있다면 산업보안의 대상

2. 산업보안의 주체

- 산업보안은 산업계의 보안이기 때문에 그 주체도 기업에 국한하지 않고 극히 제한적이지만 국가도 산업

   보안의 주체가 될 수 있다.

- 산업보안이라고 할 때는 그 주체가 기업에 국한되지 않고, 고문변호사 등과 기업이나 협력업체의 임직원

   등도 될 것이다.

3. 산업보안의 객체

1) 보안의 객체

- 보호함으로써 기업에 이익이 되는 것은 모두 보안의 대상이 된다.

- 기업에 이익에 도움이 된다면 그 형태가 비밀이나 사람, 시설, 장비, 통신 등을 가리지 않는다.

- "비밀" 은 영업 비밀에 국한하는 것도 아니고, 영업비밀로서 인정받지 못하는 일반 기업비밀은 

   물론이고 심지어는 기업의 취약점이 되는 사실까지도 대상 -> 비밀 또는 기업의 약점이 누설됨

   으로써 기업에 불이익이 되어 경쟁력 약화시키므로

- 기업에 이익이 되는 모든 비밀, 인원, 시설, 통신, 장비라고 하여 보안상 가치까지도 같다는 것은 아니다

2) 일반적으로 보호할 가치가 있는 대상

가. 조직관리 분야

- 새로운 기술의 연구개발 조직

- 장래의 기업조직 개편계획

- 타 기업과의 합병계획 등

나. 재무관리 분야

- 기업의 중점투자분야 또는 신규자금 조달계획

- 신규설비 투자계획

- 예산의 배분실태 등

다. 인사관리 분야

- 중요기술, 정보 보안인원 현황자료

- 중요인원의 개인별 취약점(경쟁기업에 악용 당할 수 있는 취약점)

- 인사이동, 인력배분계획 등

라. 생산관리 분야

- 제품의 설계방법, 설계도, 공정과정 등 산업기술에 관한 자료

- 연구보고서, 실험자료, 신이론, 신기술 등 연구관련 자료

- 생산원가, 원료의 종류와 구입처, 구입가격

- 사용하고 있는 기계설비의 취급방법, 제품모형

- 신제품판매 발표 시까지 제품의 모형, 모델 등

마. 판매관리 분야

- 제품 또는 기술의 판매계획

- 고객명부, 거래선 명부 등 제품판매 관련자료

- 고객, 거래선 등 신용조사에 관한 자료 등

바. 기타 기획관리 분야

- 기업경영정책의 결정 및 변경사항

- 기업의 중장기 경영계획 등 성장 발전사항

4. 산업보안 본질적인 중요성

- 산업보안의 주된 대상이 되는 기술의 중요성이 최근에 더욱 강조되기 때문에 산업보안업무 자체를 중요

   시하게 되었다

1) 기술이 관리와 보호가 중요한 이유

가. 현대국가에서 기술이란 국가발전의 한 요소가 된다.

- 냉전이 종식되면서 세계 각국은 경제의 발전을 국가의 지상목표로 하고 있는데 경제의 발전에

   기술이 확보는 제일의 필수요건이기 때문에.

- 기술이 없으면 선직국이 될 수 없는 것.

나. 기술은 국가보호를 위하여도 꼭 필요한 요소

- 현대戰은 걸프전에서 보았듯이 기술전

- 기술이 없이는 국가안보도 지킬 수 없는 것

- 전자나 통신 분야에서는 일반산업기술이 방산 분야에도 그대로 적용되고 있어 국가안보를

  위하여도 기술은 꼭 필요

5. 산업 환경적인 중요성 - 국제적 환경의 변화

1) 첨단기술이나 전문적인 지식 또는 정보는 산업경쟁력의 원천

- 과거 농경사회에서는 농사를 지을 토지나 노동력이 제일 중요(노예, 하인)

- 산업사회에서는 산업을 운영할 자본이나 원자재와 기초적인 기술

- 정보사회에서는 첨단기술이나 전문적인 지식이 산업경쟁력을 좌우

2) 정보의 침해와 유출이 시대변화의 주요한 현상

- 정보가 중요한 정보화 사회에서는 정보를 훔치는 병리현상은 당연한 현상으로 자리 잡아가고 있다

- 무형의 정보는 고용이 불안하고 보호해야 할 임직원 및 퇴직자가 인간의 본능적인 욕구충족의 수단

   으로 일확천금을 노리는 재물욕과 명예를 얻는 수단으로 비밀정보를 유출하는데 그 문제의 심각성

- 개발한 기술이나 지식을 관리하고 보호하는 것이 대단히 중요한 국가적인 과제로 부상

3) 산업정보활동 기술이 대단히 교묘하게 발달

- 기술의 자체개발, 합법적인 도입 외에도 여러 형태의 산업정보활동을 통하여 이를 확보하려는 노력을

   기울이게 되었다.

- 최근에는 첨단 과학장비를 동원한 산업정보활동이 매우 성행

- 항공기나 인공위성 사진을 촬영, 분석하여 산업비밀이나 영업 비밀을 파악. 심지어는 도청, 녹음도.

- 경쟁기업에 자사의 직원을 위장 침투시키는 등 산업정보활동에 첨단과학 장비가 동원되고, 과확화

   되면서 매우 지능화

- 과거와 같은 피상적인 통제만으로는 보안 관리의 효과를 기대하기 어렵게 되었고 전문적인 지식을

   가지고 조직적으로 관리하지 않고서는 안 되게 된것.

4) 각국의 정보기관이 자국의 기업을 위한 산업정보활동 지원

- 자국 기업을 위하여 개개의 기업이 필요로 하는 정보를 직접 수집

- 최근에는 자국의 기업을 위하여 정보기관은 물로이고 모든 국가기관 요원과 국가의 원수가 외교적인

   모든 능력을 동원하여 총체적으로 지원

고산 연구원이 러시아 로케트 기술관련 교재와 노트를 출국시 가져오다가 걸린것도 이러한 것임

5) 새로운 국제무역 질서의 확립

- 오늘날 중요한 기업자산의 하나인 지적재산의 역할과 가치가 증대. 이에 대한 위협 역시 급격히 증가

- 지적재산권의 강력한 보호 내용을 반영(영업비밀보호조항이 UR협정문에 명문화됨)하여 선진국의

   로얄티 수입을 극대화 하는 전략이 시대의 새로운 흐름

- 선진국은 기술 등 지적재산권의 거래(로얄티 수입 등)에 더 유리한 위치를 점하게 되었다

6. 산업 환경적인 중요성 - 국내적 환경의 변화

1) 외국노동자들이 국내 산업정보에 접근하기가 용이

- 외국의 산업인력이 유입

- 외국 산업인력은 우리나라보다 기술수준이 한 단계 후진국들로서 우리나라를 대상으로 산업정보활동

   을 치열하게 하여 우리나라를 앞서려고 하는 경쟁 대상국들

- 기술이 외국으로 불법 유출된다는 것은 국내 다른 기업에 유출되는 것과는 다르게 자기 기업뿐만 

   아니라 동일업종의 국내 전 기업에까지 영향을 미치는 중요한 문제

2) 외국에서 우리나라에 대한 산업정보활동을 강화

- 기술이란 격차가 너무 커도 활용가치가 떨어지기 때문에 중국이나 인도네시아, 필리핀의 경우는 우리

   나라의 기술이 활용하기 제일 적당한 수준의 기술인 것

- 한국을 대상으로 한 산업정보 수집활동을 크게 강화하고 있는 것

3) 외자유치 또는 기업의 해외매각과정에서 중요한 기업비밀이 유출

- 외자가 필요하다보니 외국기업으로부터 자금을 유치하기 위하여 각 종 설명회나 실사과정에서 또는

   외국기업이 요구하는 기술사양서 등 각종 제출서류를 통하여 기업의 중요한 기미란 유출되고 외자도

   유치하지 못하거나 매각도 성사되지 못하는 경우가 많아졌다

쌍용차의 해외 매각 관련으로 기술 유출

4) 국내기업인의 보안의식이 크게 부족

- 보안 관리를 할 만한 가치가 있는 첨단기술 등의 산업정보가 없다고 보는 것

- 지금까지도 별일 없이 지내왔는데 생산적이지도 못한 새로운 일을 만들어서 할 필요가 없다는 것

인용 및 출처 : 산업보안 관리실무(정진홍 교수)

                    산업보안학(한국산업보안연구학회)

1. 보안(Security)의 개념

- 기업보안 : 인적자원, 정보 및 물리적 자산을 보호하고 회사의 유형/무형 자산을 보호하며, 위험을 

                 감소시키는 활동

- 국가보안 : 국가안전에 관려되는 문서, 자재, 시설, 인원 및 정보통신 등을 상대방으로부터 보호하기

                 위하여 취해지는 일체의 수단과 방법

2. 보안의 대상과 분류

- 일반보안 : 정적 보호가 요구되는 사물 즉, 인원, 문서, 자재, 지역, 시설, 장비, 통신 등

- 특별보안 : 동적 보호가 요구되는 사물 즉, 간행물, 우편물, 공연물, 출/입국자 등

1) 보안의 주체별 분류

가. 국가보안 : 그 내용이 누설될 경우 국가 안전보장에 유해로운 결과를 초래할 우려가 있는 국가

                    기밀로서 대통령령에 의하여 비밀로 분류

나. 기업보안 : 기업경영에 있어서 유형 및 무형의 자산을 온전히 보호하기 위한 활동

다. 개인보안 : 생존하는 개인에 대한 정보로서 성명, 주민등록번호 등에 의하여 당해 개인을 알아

                    볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보로서 개인정보를 보호하는 것

3. 보안업무 관련 법규

1) 형법상 규정

- 공무상 비밀누설죄(형법 제127조)

- 외교상 기밀누설죄(형법 제113조)

2) 공무원법상 규정

- 지방공무원의 비밀업수 의무(지방공무원법 제52조_

3) 특별법상 규정

- 원자력 종사자 비밀누설 금지(원자력법 제107조)

- 징계관련 비밀사항 누설금지(공무원징계령 제21조)

4) 영업비밀보호법상 규정

- 영업비밀의 침해행위 금지(부정경쟁방지 및 영업비밀보호법 제2조)

4. 일반보안체계

1) 보안 CEO(CISO - Chief Intelligence Security Officer)

- 임원이 맡아야 한다.

- Information 아니고 Intelligence 이다. information 은 단순 정보이지만 intelligence 는 정보 외에 

  분석/가공의 의미가 포함

2) 보안담당관

- 부장급으로 하는 경우가 많다.

가. 보안담당관의 임무

- 분야별 본사 및 현업 보안 담당관과 분임 보안담당관의 지도 감독 및 통제

- 보안업무 기본계획의 수립 및 시행에 관한 사항

- 직원에 대한 보안교육 사항

- 비밀취급 인가에 관한 사항

- 일일보안 점검 및 월 보안진단에 관한 사항

- 통신 전산정보 보안업무

- 보안관계규정 검토 및 내용보완

- 위원회 운영(보안심의위원회 등)

- 전시 비밀관리에 관한 사항

- 비밀문서 안전지출 및 파기 계획의 수립/이행

3) 분임 보안담당관의 임무

- 비밀보관 책임자의 지도 감독 및 통제

- 보안업무 계획의 수립 및 시행에 관한 사항

- 소속 직원에 대한 보안교육 사항

- 비밀취급 인가에 관한 사항

- 비밀문서의 생산통제 및 수발에 관한 사항

- 일일 보안점검 및 월 보안진단에 관한 사항

- 정문 및 주요 시설 출입통제와 시설보안에 관한 사항

- 전시 비밀문서 관리와 안전지출 및 파기 계획의 수립과 시행

- 통신 및 전산정보 보안업무

- 기타 보안담당관의 지시 및 이행 사항

5. 산업보안의 개념

1) 산업보안 : 첨단기술 뿐만 아니라 산업 활동에 유용한 기술상, 경영상의 정보를 산업스파이 등 제반 위해

                  요소로부터 누설 또는 침해당하지 않도록 보호/관리하기 위한 대책이나 활동

2) 기업보안과 산업보안의 차이

- 기업보안은 보안관리의 "주체"를 기준으로 하여 기업이 주체가 될 때를 말함

- 산업보안은 "업무" 분야를 기준으로 한 것으로 산업활동을 전제로 산업분야에서 관리하여야 할 보안

   문제를 말함

   즉, 주체가 누구이든 간에 관계없이 업무 영역별로 구분하는 개념

예) 군사보안, 공작보안, 활동보안 등

3) 정보보안

- 관찰이나 측정을 통해 수집된 자료를 실제 문제에 도움이 될 수 있도록 분석하여 정리된 지식을 안전

   하게 지키는 활동

- 정보시스템 자원의 무결성, 기밀성 및 가용성을 유지하기 위하여 정보시스템에 취해진 보호조치

- (우리나라) 정보통신 수단으로 수집, 가공, 저장, 검색, 송수신 되는 정보의 유출, 위/변조, 훼손 등을

   방지하거나 정보통신망을 보호하기 위하여 관리적, 물리적, 기술적 수단을 강구하는 일체의 행위

- (미국) 정보의 무결성, 기밀성 및 가용성을 유지하기 위하여 권하 없는 접속, 이용, 공개, 방해, 변경

   및 파괴로부터 정보 및 정보시스템을 보호하는 것

4) 기업보안과 산업보안의 대상의 차이

- 기업보안의 대상 : 기업의 존립이나 명예, 영리와 관련이 있는 것은 기업보안의 대상

- 산업보안의 대상 : 기업뿐만 아니라 국가의 산업계 취약점이나 산업계의 발전 전략까지도 보안 관리

                            의 가치가 있다면 산업보안의 대상

인용 및 출처 : 산업보안의 이론과 실제(정진홍)

1. 산업기밀 보호규정(이하 "규정"이라 함) 제정/시행 가이드

- 규정은 본사, 지사, 연구소, 공장 등 사업장의 형태, 규모, 특성 등을 고려하여 제정

- 기본적인 사항은 단일 사규로 통일

- 지엽적이거나 일시적인 부분은 지침이나 지시의 형태로 보완

- 신중히 검토하여 실현 가능한 내용으로 규정하여야.

- 너무 잦은 개정은 안정성을 저해하고 혼란을 가중시킴

- 임직원이 숙지할 수 있도록 지속적인 회람과 교육 필요

- 기업의 변동상황 발생시 마다 실정에 적합하도록 보완, 개정하여야.

- 직원들이 자의적으로 해석하거나 변칙적으로 수행할 수 없도록 명확하고 세부적으로 규졍하여야.

- 최소한의 통제로 최대의 효과를 거두는 것을 목표로 시행가능한 부분만 포함하여야.

2. 규정에 반드시 포함되어야 하는 내용

1) 자산에 대한 분류 기준을 명확히 수립

- 기준에 맞도록 자산별 등급의 분류 및 표시에 관한 사항이 포함

2) 산업기밀 유출방지 및 보호를 위한 내부조직의 구성 및 운영방안

- 산업기밀 보호조직의 위치, 업무범위, 업무방법 등 역할 및 책임을 규정

- 조직을 구성하는데 필요한 인력 명시

- 외부 기관(정보수사기관, 유관부처 등)과의 공조 및 연락체계 유지를 위한 비상연락망 명시

3) 인력 관리

- 인력의 분류

채용 예정자

현 직원

퇴직자(예정자)

외부인(외주업체 직원, 컨설턴트 등)

외국인(외국인 연구원, 산업연수생 등)

- 각 인력별 적절한 관리대책 명시

산업기밀보호 서약서 징구

퇴직자의 퇴직후 동향 파악 등

- 기밀유출 사전방지 대책

임직원에 대한 직무발명보상 제도 등 안정감을 부여

4) 침입 방지

- 중요 시설 및 설비가 무엇인지 정의

- 각 시설 및 설비에 맞는 보호조치 규정

- 화재, 정전 등 재해 발생시 피해를 줄일 수있는 장비에 대해서 보호조치 명시

5) 정보시스템 관리방법과 보안대책

- 메일로 통한 산업기밀 유출 방지를 위한 외부로 발송되는 메일 등 보안대책 포함

6) 산업기밀 유출 및 침해사고 발생시 대응 및 복구방법

- 시나리오 형식으로 규정

- 최초 사고발생을 인지한 시점부터 증거의 확보, 법적 대응, 복구까지 일련의 과정에 대해 구체적으로

   명시

- 사고발생 원인 및 취약점 분석하여 다시 규정에 반영

7) 산업기밀보호 관련 교육, 규정에 대한 이행실태 점검

3. 산업기밀의 유출방지 및 보호조직의 역학과 책임

인용 및 출처 : 산업보안의 이론과 실제(정진홍)

                    위험성 평가  - 일반 가이드, issa (international social security association)

                    무형자산의 분류와 경제적 특성(김홍수 책임연구원)

  보안경제학(서승우 서울대 교수)

  위험분석 기법과 보안컨설팅 동향(이수영 인포섹 이사)

  보안 수준 점검 및 보안 마스터플랜 수립 방법(박형근 IBM)

산업기밀의 유출 및 침해를 막기 위해서는 

- 보유하고 있는 모든 자산(유무형 자산을 모두 포함)을 분류

- 각 자산의 위험도 평가

- 위험도가 높은 자산항목에 대하여 예방대책 강구, 지적재산권 강화가 가능한 부분은 권리화

1. 보유 자산의 분류

1) 자산의 종류 [ 기준 : 국제 정보보호 표준규격(ISO/IEC 27001)]

2) 무형 자산의 종류 (출처 : 무형자산의 분류와 경제적 특성, 김홍수 책임연구원)

2. 위험성 평가

- 해당 자산이 침해 되었을 경우 얼마만큼의 피해를 줄 수 있는지를 최대한 객관화하여 산정

- 평가 결과 중 높은 위험성을 가졌다고 평가를 받은 자산에 대해서는 예방대책을 실행

1) 위험성 평가 및 위험 저감 방법론 

출처 : 위험성 평가  - 일반 가이드, issa (international social security association)

절차를 찾다가 보안과 직접 관련이 없는 문서에서 발견했고 참고가 될거 같아 첨부

2) 위험성 측정

가. 위험 측정 = 자산가치 X 위협 X 취약성 X 빈도

보안 경제학 책에서는 각종 빈도, 자산가치, 위협, 취약성이 나왔으나 그것을 어떻게 조합해야하는지 몰랐을 때 IBM 박형근 (Security Plus 대표 운영자) 님의 문서에서 저런 산식을 제공해서 참고함

나. 자산가치

a. 보안 측면에서의 자산가치, 금전적 측면에서의 자산가치, 비지니스에 미치는 영향 정도에 따른

   자산가치 등이 있으나 여기서는 금전적 측면에서의 자산가치로 함

b. 금전적 측면에서는 다음의 비용을 포함

- 사고 발생 시 정보 자산의 복구나 대체에 드는 비용

- 규정이나 법 위반 시 벌금이나 과징금의 규모

- 해당 자산에 대한 접근이나 사용 시 필요한 비용

- 해당 자산의 설치, 운영, 유지, 보수를 위한 시간적 비용

- 사고 발생 시 해당 자산으로 인해 발생하는 생산성 감소 및 업무 지연 정도

c. 금전적 자산가치

보안 경제학 책의 금전적 자산가치 등급을 그대로 참조

다. 위협

a. 위협원은 손해를 야기할 수 있는 잠재성을 갖는 환경, 주체 또는 사건으로 정의

b. 가능한 위협원의 주체로는 해커, 전문적 범죄자, 테러리스트와 내부자, 악의가 있거나 불만을 

   품은 내부자, 업무상 태만, 비의도적으로 보이는 과실 등

c. 위협 등급

보안 경제한 책에서는 위협 등급에 대해서는 나오지 않고 위협원 분류가 있어서 나름대로 등급순으로 정리한 것임

라. 취약성

- 취약점 점검과 확인 과정을 통해 취약성의 심각도를 판단

보안 경제학 책의 내용을 그대로 참조한 것이며, IT 시스템에 대한 취약성 이야기이나 범용적으로 해석할 수 있을 듯 하다.

마. 빈도

- 단위는 일정 기간 동안 발생할 빈도 또는 단위 기간당 발생할 확률값으로 나타낼 수 있다.

보안 경제학 책의 내용을 그대로 인용함

3. 자산의 권리화

- 산업기밀 유출의 주요 원인 중 하나로서 권리 설정의 소홀

- 기술 개발단계에서는 성공 여부가 중요하기 때문에 권리 설정을 통한 기술유출 차단을 등한시

- 실제 연구개발한 사람들이 그 성과를 권리화하는데 적극적으로 참여하도록 유도가 필요

1) 각종 권리의 설정 방법

가. 특허권

- 새로운 발명을 한 사람이 그 발명을 공개하는 대가로 독점권을 갖기 위해 국가(특허청)에 일정한

   양식 및 절차에 따라 신청

- 특허권을 획득하였을 경우 특허법에 의해 보호를 받을 수 있기 때문에 특허도용 및 침해시 민/형

   사적 제재를 가할 수 있다.

나. 실용신안권

- 실용신안 등록절차는 별도의 심사가 없어 특허제도와 차이.

- 존속기간은 출원일로부터 10년

- 법적인 효력은 특허권과 거의 유사

- 최소한의 등록방식 심사와 기초적인 심사만을 거쳐 선 등록하는 제도에 의한 권리는 발생

- 제3자에 대하여 권리행사를 하기 위해서는 기술평가를 청구해 등록 유지결정을 받아야 한다.

- 기술평가제도 : 선 등록제도에 의한 부실한 권리의 행사가 발생할 수 있으므로 등록된 

   실용신안에 대해 청구가 가능하며 기술평가 결과에 따라 등록유지결정 또는 등록취소가 결정

다. 의장(다지안)권

a. 유사 디자인 제도

- 디자인 등록 출원한 기본 디자인을 변경한 디자인을 등록함으로써 디자인권의 모방, 도용

   을 사전에 방지

b. 한 벌 물품 디자인 제도

- 한 벌로 판매되고 한 벌로 사용되는 물품으로서 전체적인 통일성이 있는 경우

c. 비밀 디자인 제도

- 디지안권 설정 등록일로부터 3년 이내의 기간 동안 디자인 공보 등에 공고하지 아니하고 

   비밀상태로 둘 수 있도록 한 제도

- 일종의 블랙박스 전략

d. 디자인 무심사 등록제도

- 등록률이 높은 일부 품목에 대하여는 기본 요건만을 심사하여 등록

- 직물지, 벽지, 합성수지지 등

- 실체적 요건 심사에 소요되는 시간 축소 효과

e. 복수 디자인 등록 출원 제도

- 디자인 무심사 등록출원에 한하여 20건 이내의  디자인을 하나의 출원서로 출원

- 출원절차 대폭 간소화

- 비용부담 경감

f. 부분 디자인 제도

- 물품의 부분(예 : 커피 잔의 손잡이부 등) 에 관한 디자인도 등록을 받을 수 있도록 한 제도

라. 저작권

a. 일반적인 저작물의 등록

b. 프로그램 저작물의 등록

2) 권리의 미설정과 산업기밀 보호

- 공지기술(Public Domain) : 연구개발 성과를 특허 등으로 출원하지 않고 실시하면 그 내용이 물품 

   제조과정이나 상품판매 등 기업활동을 통하여 불특정 다수인에게 알려지게 되는 것.

- 공지기술화된 연구개발 성과는 신규성이 상실되었으므로 특허 등의 권리설정으로는 보호가 안됨

- 기술연구개발성과에 대해 특허 등 권리설정을 하지 않았으나 공개하지 않고 비밀로 간직하였다면

   '영업비밀' 로 보호 받을 수 있다.

강사 : Temple Univ. Fox School of Business 유영진 교수

내용 : DESIGN

나의 결론

"디자인은 Limited Resource 로 최상의 답을 찾아가는 공감 프로세스이다."

1. 

애플의 조나단 아이브가 아이패드 출시 전 인터뷰에서 기자가 아이패드는 "usb 도 없고, 화면도 작고, 키보드도 없고 블라 블라 뭐뭐가 없다... 성공할 수 있겠냐?"

조나단 아이브는 아이패드가 성공할 수 있는 이유가 "usb 도 없고, 화면도 작고, 키보드도 없고 블라 블라 없어서 성공할 수 있다" 고 인터뷰

물건을 이쁘게 만드는게 디자인이 아니고 디자인은 생각하는 프로세스이다. 그 프로세스는 design goal 을 만든다.

아이패드, 아이폰이 성공할 수 있었던 것은 단순히 곡선, 직선, 재질로 이쁘게 함이 아니다. 어떠한 목표(design goal)을 생각하고 구상한 것이 혁신이 되었기 때문이다.

아이폰이 단순히 전화라고 생각하지 않고 작고 이동성이 있는 컴퓨터로 생각했기에 지금의 아이폰이 나온 것이고 그것이 곧 Design 이고 Design Goal 이다.

2. 

회사를 나가는 사람들은 변명을 한다. 예산도 없고, 사람도 없고, 다른 부서 협조도 없고 등을 변명을 하지만

디자인은 원래 Limited Resource 로 하는 것이고 그러함에 따라 생각을 하게 되고 Good, Better, Best 가 아닌 Bester Solution 이 나오는 것이다.

어느 조직에서나 Resource 의 제약은 있다. 만약 예산, 인력 등의 제약이 없다면 돈으로 때려 받고 사람으로 메꾼다면 그 조직은 발전할 수 있을까?

발전이 없고 도태만이 있을 것이다. Limited 란 것이 스트레스, 갈등이 될 수 있지만 불가능의 이유는 될 수 없는 것이다.

Bester 란 단어는 없다. 하지만 Best 를 지나 더 좋은 솔루션을 의미함.

3. 

Design 은 믿음이다.

어려운 과정을 거쳐 하나의 솔루션이 나올 경우 옳지 못한 경영자는 그것이 답이므로 선택을 하지만 디자인 경영 관점에서는 어려운 과정에서 태어난 산출물을 다시 없애고 다시 생각해야한다. 한번 디자인이 나왔으므로 다음 디자인은 더 좋은 것이라고 생각할 수 있다. 이것이 곧 믿음인 것이다.

간혹 임원분들이 말도 안 되는 것을 요구하거나 물어보거나 한다.

주말 근무, 밤샘을 해서 나온 산출물인데 인정은 커녕 다시 또는 결과물에 대해 폄하를 한다.

개인적으로 그런 것에 대해 나도 분노 게이지가 올라갈 때가 있지만 어쩌면 그러한 것이 경영자가 가져야 할  "디자인 경영" 이 아닌가 한다.

담당자는 문제 해결에 촛점이 잡혀 이것이 최상인지 인지 못한다. 최상의 디자인을 찾게 해주는 것이 경영자의 역할이다.

4. 

열쇠를 고리에 끼는 열쇠 고리(Key Chain) 이 있다.

이것을 판매하는 사람은 그저 열쇠고리를 판다.

하지만 리서치를 해서 열쇠 고리에 대해 사람들의 이야기를 들어보자. 열소 고리가 어떤 의미가 있는지...

아이와의 추억, 소개팅 등을 연상할 것이고 그렇게 연상된 것을 다시 하나의 단어로 축약해서 광고 카피로 쓸 수 있다. 예를 들어 나에게 있어 "안전", "추억", "사랑", "첫사랑" 등등

디자인 경영을 하는 사람은 열쇠 고리 하나 가지고 사람들의 감성을 자극하는 광고 카피를 만들 수 있다.

5. 

디자인은 무엇인가?

"transformations of existing conditions into preferred ones" - Herbert A. Simon

6. 

Design Attitude

"Creativity is not a talent. It is a way of operation"

스티브 잡스는 빌 게이츠처럼 훌륭한 개발자는 아니다. 그는 슈퍼 사용자다. 이건희 회장도 마찬가지다.

가장 많은 컴플레인을 제기하는 슈퍼 고객이 조직에 가장 도움이 되는 고객이다.

디자인은 해보고 느끼고 보여주는 것.

- 사막의 이집트 피라미드를 생각해라

- 피라미드의 상단을 칼로 잘라봐라

- 위에서 바라봐라, 무엇이 보이는가

- 그 안으로 들어가봐라. 무엇이 보이는가

그것을 그림으로 그려봐라.

디자인은 Reframe 이다.

- 옆에서 보고, 뒤에서 보고, 사각에서 보고, 멀리서 보고, 가까이서 보고

- 그러면서 새로운 것을 창조하는 것이다.

애플은 아이튠즈를 오픈하기 전에 왜 10대들이 MP3 를 사지 않고 불법으로 다운로드 받는지를 조사했다.

조사결과 10대들은 신용카드를 가질 수 없어서 불법으로 다운로드 받는다고 결론. 스티브 잡스한테 법을 개정해야 한다고 보고. 스티브 잡스는 다시 답을 찾으라 했다.

결국 애플은 리서치를 통해 어른들은 불안해서 아이들에게 신용카드를 줄 수 없고, 아이들은 신용카드가 필요한데 부모들은 주지 않고 그러니 불법으로 파일을 구한걸로 결론.

이를 해결하기 위해 애플은 "allowance account" 를 만들어서 부모들은 이 계정으로 매달 일정 금액을 넣어주고 아이들은 이 계정으로 아이튠즈에서 음반을 구매.

디자인은 공감이다.

Limited 가 있다고 해서 현실적으로 불가능한 대안을 제시하는 것이 아니라 갈등이 있는 이유를 갈등 소유자의 입장에서 생각하고 이해하고 보고 느끼고 했을 때 Bester 대안이 나오는 것이다.

경영자는 전문가일 필요가 없다.

오히려 모르기 때문에 여러 가지 관점으로 볼 수 있다.

우리는 때로 전문가라는 틀에 갇혀 있어 생각을 더 확장 못하는 경우가 있다.

때로는 그 전문가란 것이 시스템을 구축하거나 장비를 사거나 할 수 있다. 하지만 전혀 예상치 않은 방법으로 대안을 구현할 수 있고 적용할 수 있다.

Red Mango 는 대한민국에서 1등 아이스크림 매점이다.

왜 그러한가.

레드 망고는 사람들이 왜 아이스크림 매장을 찾는지, 와서 무엇을 하고, 이야기 하는지를 지켜봤다.

우리 나라 사람들은 사진 찍기를 좋아하고 서로 공유한다. 그런데 일반적인 매장은 아이스크림이 이쁘게 나오지 않는 획일적인 조명이거나 또는 플래시를 터트릴만큼 어두운 조명이다.

그래서 각 테이블의 천장에 조명을 비추는 방식으로 해서 플래시가 터지지 않으면서 아이스크림이 이쁘게 찍히는 매장 인테리어를 했다.

6.

디자인은 상대방의 입장에서 느껴야 해결점이 보인다.

우리는 지하철 환승역에서 사람들이 많이 뛰는 걸 본다. 

왜 뛰는가?

내가 타려는 열차가 언제 오는지, 어디쯤 왔는지를 모르는 것이다. 정보의 부재로 불안해서 일단 빨리 가보자는 생각에 무작정 뛰는것이다.

환승이 시작될 때 환승할 기차의 지금 위치, 도착 예정시간 정보를 알려주면 사람들은 뛰지 않을것이다.

이것이 디자인이다!

아이들과 엄마는 쇼핑몰 가기를 원한다. 쇼핑몰은 집에서 차로 20분 거리에 있다.

쇼핑몰에 가는 동안 아이들은 차 안에서 어서 빨리 가자고 하고 때로는 아이들끼리 싸운다. 이미 엄마는 그러한 것에 지치고 화가 난 상태라 쇼핑몰에 도착하자마자 필요한 것만 사들고 빨리 나온다.

쇼핑몰은 고객을 최대한 오래 머무르게 해야 하는데 엄마는 빨리 나오려 한다.

아이들이 쇼핑몰에 도착하는 동안 엄마의 컨디션에 악영향을 주지 않기 위해 쇼핑몰 쿠폰북에 아이들을 위한 게임(숨은 그림찾기, 퍼즐 등)을 제공하면 아이들은 엄마에게 스트레스를 주지 않을 것이고 엄마는 차분한 마음으로 쇼핑을 길게 할 수 있다.

남자들은 배우자의 옷 사러갈 때 뻘쭘하고 시간 보내기가 곤란한 경우가 많고 더러는 짜증을 낸다.

옷 가게에서 이러한 남편들을 위해 배려(휴식처, 신문, 음식 등)를 위한 서비스를 제공한다면 기분 좋아진 남편들은 와이프의 옷 구매에 지갑을 쉽게 열 것이다.

애플이 아이튠즈에서 10대들의 음반 구매를 위해 부모의 마음과 아이들의 마음을 모두 고려해서 별도의 계정을 만든것도 이에 해당하다.

결국 디자인은 상대방을 이해하고 공감하고 몸으로 실천함으로써 해결점을 찾는 것이다.

내가 직접 모바일로 주문을 해봐야 불편함을 알 수 있고 내가 타사의 키보드 보안  프로그램을 설치해서 사용해봐야 고객/직원들이 보안 프로그램으로 얼마나 불편한지 아는 것이다.

정책을 기획하고 시행할 때도 머리에서 입에서 나오는 정책이 아닌 처음부터 끝까지 구상한 정책을 내가 직접 해본 뒤에 불편하고 비합리적인 것을 느껴야(Feedback) 최상의 솔루션이 나오는 것이다.

그것이 디자인 경영이다.

7. ask why five times

인도는 가장 추운날이 영상 4도이다. 이런 나라에서 부동액 처리가 왜 필요한가?

인도에서 생상되는 차량 생산 프로세스에서 이런 것은 빼는 것이 효율적인 것이다.

타이레놀은 병안에 넣고 이동시 약이 깨짐에 따라 솜을 넣었다. 그리고 깨짐 방지를 위해 코팅을 했지만

여전히 직원들은 솜을 넣었다. 왜 라고 말하는 직원이 있은 후에야 솜을 뺐다.

왜 라고 묻는 것이 디자인의 시작이다.

인용 및 출처 : 알기쉬운 개인정보보호의 이해와 활용(저자 : 이기혁, 이강신, 박진식, 최일훈)

개인정보의 유출로 집단소송이 가능함에 따라 피해 보상금이 기업의 재무와 주가에 직접적인 영향을 미치고 있다. 따라서, 기업의 입장에서는 피해 보상금 또는 위자료 판단 기준를 살펴봄으로써 "보안 경영" 측면에서 어떠한 대비를 해야하는지 검토할 필요가 있다.

1. 개인정보 유출사고 단계별 위자료 산정시의 고려요소

2. 개인정보 유출 사례에서의 위자료 산정시 고려요소

K 은행의 경우 주민번호까지 유출되었지만 주민번호가 아닌 민감정보가 유출된 L 전자의 위자료가 더 크게 나왔다. 각 사의 대응/조치 소요 시간이 1시간 이내와 55분/1시간 38분 차이는 있지만 민감정보를 더 중요시 하는건 아닌지 생각이 든다

3. 개인정보 유출 사고시 기업의 책임을 줄이기 위한 전략

우리나라의 법원의 태도는 기본적으로 정보를 유출한 기업에 대해 상당히 관대

기업이 개인정보 유출 사고에 대해 면책되거나 책임이 경감되도록 하기 위해서는 모든 단계의 요소들에 대해 모든 사항을 고려하여 전사적 차원의 노력을 기울어야 한다.

1) 사고발생 이전 단계

- 개인정보 수집을 최소화

- 수집된 정보를 암호화

- 침해사고가 발생할 수 있는 가능성을 점검

- 개인정보 영향평가를 통해 개인정보를 활용하는 새로운 정보시스템의 도입, 기존 정보시스템의 중대

  한 변경시 시스템의 구축 운영이 개인정보 관련 법률에 부합하는지 점검

- 개인정보 라이프 사이클에 따라 개인정보에 미칠 영향에 대해 미리 조사, 분석, 평가

수집과 암호화, 취약점 점검은 다들 많이 하지만 상시적인 영향평가와 라이프사이클을 통한 분석은 자체적으로 하기엔 부담도 되지만 나름의 프로세스를 만들어 적용해보고 차후 전문업체를 통해 보완해 나가면 좋을거 같다.

일단 업무 중심적(계좌 개설, 금융상품매매 등의 whole process) 으로 필요한 개인정보 수집 여부, 이용 여부, 제공 여부 등으로 따져봐야겠다.

2) 사고발생 단계

- 최대한 사고를 빨리 탐지

- 안전하게 사고 경위를 기록

- 네트워크와 시스템으로부터 침해사고 관련 증거들을 수집

- 개인정보 유출 탐지 모니터링 시스템 구축

- 시스템을 종료하지 않은 상태에서도 실시간으로 사고에 대한 증거를 수집할 수 있는 디지털 포렌식

  기술가 요구됨

- 이상 징후와 사고 당시의 시스템 및 네트워크 상황을 안전하게 로그로 기록하고 무결성을 보장할

  수 있는 시스템 필요

개인정보 유출 탐지 모니터링 시스템은 이전에도 내 블로그에서도 이야기했지만 업무 시스템에서개인정보를 엑셀로 다운로드 받는걸 DB 이력으로 저장하고 해당 파일을 DRM 의 암호해제를 하고 다시 그 파일을 메일/USB 등으로 유출하는지 모니터링할 수 있다. 

파일명 변경 등에 대해서는 파일에 대한 인덱싱, 해시값등을 통해 고민을 해볼 필요가 있겠다

3) 사고 이후 사후처리 단계

- 피해가 다른 영역으로 전파되거나 2차적인 피해가 발생하지 않도록 차단

- 개인들이 피해로부터 회복할 수 있도록 지원

- 신속하게 관련 기관에 사고발생 신고

- 디지털 포렌식 기술을 통해 사고관련 증거를 수집, 분석함으로써 피해재발 방지대책 및 피해 경감

  을 위한 조치

- 신속하게 피해자 개개인에게 개별적으로 피해 사실을 통지

- 피해 사실을 본인이 확인할 수 있는 본인 피해 확인 서비스를 제공

- 아이디, 비밀번호를 변경하도록 요청

EBS, Nate 에서 내 개인정보가 유출되었는지 알려주는 팝업창을 본거 같은데 다 저러한 이유때문있구나.

일반 기업체의 보안 담당자들도 디지털 포렌식 기술 습득이 필요해질듯 싶다.

출처 및 인용 : 라영주 인포섹 컨설턴트, 개인정보보호 실천가이드 中

  이창범, 개인정보 보호법 中

1. 개인정보보호 내부관리계획

개인정보 보호법 시행령

제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행

1) 기업/기관 내에서 효과적으로 개인정보보호 활동을 시작하기 위해서는 가장 먼저 내부관리계획을 

    수립해야 한다.

2) 개인정보보호 내부관리계획 : 해당 조직의 특성이 반영된 내부 기준으로서의 개인정보보호 

    정책(Policy)이나 지침(guideline)을 의미.

3) 단편적이고 단발적인 보안 대책이 아닌 체계적이고 개인정보보호 실천을 위해 반드시 필요하다.

4) 개인정보 안전성 확보 조치 중의 <내부관리계획>은 개인정보 보호책임자 지정, 개인정보 보호 책임자

   와 개인정보취급자으 역할, 책임, 안전성 확보에 필요한 조치, 개인정취급자에 대한 교육 등에 관한 사항

   이 포함된 중/장기 관점의 계획이라고 할 수 있다.

개인정보 보호책임자의 업무 중 <개인정보 보호 계획>은 매년 반복적으로 수립해야 할 개인정보 보호

교육, 시스템 정기점검, 시설/장비 도입 및 교체, 개인정보 처리관행 개선 등에 관한 사항이 포함된 

연도별 계획이라고 할 수 있다.

<내부관리계획>은 개인정보처리자가 내부 "규정" 또는 "지침"의 형태로 수립/운영

<개인정보 보호 계획>은 개인정보 보호책임자가 입안의 책임을 지며 보통 "계회", "사업" 등의 형태로 존재

2. 내부관리계획 예제

제1장 총칙

제1조(목적)

제2조(적용범위)

제3조(용어정의)

제2장 내부관리계획의 수립 및 시행

제4조(내부관리계획의 수립 및 승인)

제5조(내부관리계획의 공표)

제3장 개인정보보호책임자의 의무와 책임

제6조(개인정보보호책임자의 지정)

제7조(개인정보보호책임자의 의무와 책임)

제8조(개인정보취급자의 범위 및 의무와 책임)

제4장 개인정보보호 조직 구성/운영

제9조(개인정보보호 조직)

제10조(역할별 의무와 책임)

제5장 개인정보의 처리단계별 기술적/관리적 보호조치

제11조(물리적 접근제한)

제12조(개인정보취급자의 접근 권한 관리 및 인증)

제13조(개인정보의 암호화)

제14조(접근통제)

제15조(접근기록의 위변조 방지)

제16조(보안프로그램의 설치 및 운영)

제17조(출력복사시의 보호조치)

제6장 정기적인 자체감사

제18조(자체감사 주기 및 절차)

제19조(자체감사 결과 반영)

제7장 개인정보보호 교육

제20조(개인정보보호 교육 계획의 수립)

제21조(개인정보보호 교육의 실시)

제8장 개인정보보호 유출 시 사고 대응

제22조(개인정보 유출 탐지 시 보고체계 수립)

제23조(개인정보 유출 탐지 시 통보 등 처리체계 수립)

개인정보 보호 계획 예제 (출처 : 페이스북 지인)

1. 내부/외부 규정 및 지침 제정 현황

1.1 내부 규정 및 지침

1.2 개인정보보호 규정 및 지침

1.3 기타법령 관련

1.4 내부 규정 개정 계획

2. 개인정보보호 운영현황

2.1 개인정보보호협의회 운영 현황

2.2 이사회 보고

2.3 CISO, CPO 선임 현황

3. 개인정보보호 내부통제

3.1 내부통제 현황

3.2 외부수탁업체

3.3 본사/지점

4. 기타점검

4.1 개인정보관리 자가 점검

4.1.1 '2012 개인정보관리 자가 점검결과

4.1.2 '2013 개인정보관리 자가 점검계획

4.1.3 미완료 항목에 대한 이행현황 및 계획

4.2 개인정보보호 수준 자가진단

4.2.1 '2012 개인정보보호 수준 자가진단 결과

4.2.2 '2013 개인정보보호 수준 자가진단 계획

5. 보안 취약점 점검 수행 결과/계획

5.1 주요 취약점 점검 결과

5.1.1 금융보안연구원/코스콤 취약점 점검 결과

5.1.2 상반기 취약점 점검 결과

5.1.3 연간 취약점 정기평가 점검 결과

6. 개인정보보호 KPI 현황

6.1 '2012 측정결과

6.2 '2013 계획

7. 개인정보보호교육

7.1 '2012 교육실시 결과

7.2 '2013 교육실시 계획

8. '2013 개인정보보호 관련 프로젝트 

3. 개인정보보호 조직 구성

- 개인정보보호 책임자(CPO)를 지정

- 관련 부서들을 총괄/조율

- 개인정보보호 업무를 수행하는 실무 담당자 구성

- 개인정보보호 책임자는 임원이나 정보주체의 고충처리를 담당하는 부서의 책임자가 바람직

- IT보안부서, 개인정보취급부서, compliance 대응부서 등 관련 조직을 중식으로 협의체 정례화

4. 개인정보 흐름 및 위험 분석

- 개인정보 흐름 분석은 개인정보 생명주기(Life Cycle : 수집 - 저장 - 이용 - 제공 - 파기)에 따라 개인정보

   의 최초 수집 채널, 보유 형태, 개인정보 처리자의 이용/제공 현황, 파기 방법 등을 분석

- 개인정보 흐름상에서 상존하는 취약점 식별

- 취약점의 위험 분석을 통해 발견된 高 위험군의 서비스나 또는 업무 프로세스, 개인정보 처리자 등에 대해

   서는 보호조치를 집중 적용/관리가 필요

- 업무 목적 내에서 필요한 최소한의 개인정보를 도출함으로써 불필요하거나 과도한 개인정보의 수집을 원

   천적으로 제한토록 할 수 있다.

5. 개인정보보호법에 따른 기술적 보호대책

2011년 버전의 책 내용이라 보완이 필요.

일단 대략적인 관점에서 정리 ㅜㅜ