우키의 보안이야기

   한국타이어의 기술정보를 경쟁업체에 빼돌린 한국타이어 전 임직원에게 영업비밀의 ‘유출’ 혐의만 인정돼  징역형이 선고되었습니다.    이들은  기술정보를 경쟁업체에 빼돌려 [부정경쟁방지 및 영업비밀에관한법률 위반]으로 구속ㆍ기소되었었습니다.
 
    조모씨 (58)  임직원  징역 1년 6월,  집행유예 3년, 사회봉사 80시간
    김모씨 (43)  실무직원  징역 10월,  집행유예 2년

   재판부는 “조 씨 등이 유출한 정보들은 사내에서 비밀로 분류된 자료들로 영업비밀 유출로 볼 수 있다”고 판결했습니다.  또한 “한국타이어에 오랫동안 몸담으면서 회사가 영업 비밀을 개발하기 위해 노력한 것을 알면서도 유출해 죄질이 좋지 않다”며, “국가기술 수준의 도태는 물론 도덕적 해이마저 우려되므로 엄히 처벌할 필요가 있다”고 설명했습니다.   하지만 “영업비밀의 사용은 이 비밀을 기업 활동에 직ㆍ간접적으로 사용하는 구체적 특정이 가능한 행위를 가리킨다”며, “조 씨가 해당 자료를 수시로 열람ㆍ검토한 것은 사실이지만 이를 사용했다는 뚜렷한 증거가 없어 이 부분은 무죄다”고 재판부는 밝혔습니다.

   국내기업끼리의 정보유출사고가 생기면  대부분   [부정경쟁방지및 영업비밀 보호에 관한 법률]에 의해 처리되는 듯합니다.  해외로 국가의 중요정보가 유출되면 [산업기술의 유출방지및 보호에 관한 법률]에 의해 처리되고 있구요.. 어쨋든 관련 법률을 잘 알고있어야 할 것 같습니다.

   일부 조항을 소개해봅니다……  영업비밀이 무엇인지는 알아야겠죠..  위에서 유출에 관한 유죄가 입증된 것은 사내에서 비밀로 분류된 자료를 유출시켰기 때문입니다.  회사에서 실제로 중요한 자료라고 하더라도  그것이 영업비밀로 명시되지 않고 또 비밀로 분류되어 최선의 노력으로 보호되고 있지않다면  법에 의해 처벌할수 없다고 합니다.

======================================= 
부정경쟁 방지및 영업비밀 보호에 관한 법률
========================================

제 2조(정의)
2.  “영업비밀”이라 함은 공연히 알려져 있지 아니하고  독립된 경제적 가치를 가지는 것으로서 상당한 노력에 의하여 비밀로 유지된 생산방법,판매방법 기타 영업활동에 유용한 기술상 또는 경영상의 정보를 말한다.

보안공지메일은  최소한의 노력으로도 어느정도 효과를 거둘수있는 좋은 방법입니다.
보안교육을 하기위해 골치가 아픈 분들에게 조금이나마 도움이 될까하여 올려봅니다.
제 경우 처음엔 바이러스,스팸메일등의 기술적인 보안공지메일을 많이 보냈었는데요…
차츰  보안인식을 높이기위한 메일을 많이 보내게 되더군요..
보안인식을 얼마나 높일수있느냐가   관건이라고 하겠습니다.

   고객의 프라이버시를 지키기위한 개인정보 보호 컨퍼런스가 열린다고 합니다. 올해 GS칼텍스 사건이후로  고객정보보호및 Database보호 관련 기업들이 바쁘게 움직이고 있는 것 같습니다.    소만사에서 주최하고   KISA에서 후원한다는 군요.. 소만사는  정보유출을 막기위한 여러가지 솔루션들을 보유한 중견 보안기업이라고 할수있죠.. 최근에 Privacy-i라는 제품및 database보안솔루션 검토 관계로  영업직원을 만난적도 있었답니다.   

컨퍼런스명:  제 1회 고객의 프라이버시를 지키기위한 소만사 개인정보보호 컨퍼런스
일시: 2008년 10월 29일 (수) 13:30- 17:00
장소: 삼성동 코엑스 4층 그랜드컨퍼런스 룸

  많은 투자를 해서 보호대책을 세웠더라도  유출사고는 발생할 수 있다는데 어려움이 있습니다. 유출사고를 막기위해  최신 보안동향을 학습하고  사전에 고객프라이버시를 지키기위해  개인정보유출방지를 위해 최선의 투자와 노력을 기울여야  합니다. 또 만에 하나 유출이 일어났을때를 대비해서 어떤 것을 준비해야 하는지, 그리고  현재 우리 회사에서 준비하는 대응책들이 효과적인 것인지 하는 질문에도 좋은 답변이 될 것이라고 합니다.   이메일을 통해 컨퍼런스 일정을 안내받게 되었는데요.. 바로 사전 등록을 했답니다.

사전등록 웹페이지:  http://www.somansa.co.kr/conf_regist.asp
 
행사 어젠다:

    내년부터 인터넷 사이트 가입할때  주민번호를 쓰지 않도록 하는 망법개정안을 방통위에서 준비중이라는 기사를 읽게
되었습니다.   이 개정안의 골자는 일정규모이상 사이트의 신규 가입자가 주민등록번호나 대체수단중 하나를 자유롭게 선택, 실명확인
과정을 거친후 회원가입을 하도록 한다는 것입니다. 대체 수단으로는 아이핀, 공인인증서, 휴대폰 인증등이 포함된다고 합니다. 

 
당초 방통위는 하루 방문자 수 10만명 이상의 사이트에 주민번호 대체수단 제공 의무를 부과할 예정이었으나 최근 개인정보 유출
사고가 계속 이어지면서 그 대상을 대폭 확대하기로 한 것으로 함께 전해지고 있습니다.  아울러 방통위는 이미 사이트에 가입한
이용자가 원할 경우에 저장된 주민등록번호를 삭제한 뒤 대체수단을 활용해 실명확인을 하는 방안도 함께 추진하고 있는 것으로 알려진
상태다.  방통위의 관련 법 시행령 개정안은 규제개혁위원회와 법제처의 심사를 거친 뒤 국무회의 의결을 차례로 거친 뒤 내년에
정식 시행될 예정이라고 합니다. 방통위 홈페이지에 가서 실제 예고문을 확인했는데  예고문의 양이 상당히 많더군요..  ^^  보안관리자님들 께서는 필히 읽어 보셔야 할듯 싶습니다.

  방통위 홈페이지: http://kcc.go.kr
  081008 정보통신망법 재입법 예고안 공지글 및 파일다운로드  <<  링크보기 >>

이 게시글 일부를 발쵀해봅니다.    이 게시물엔  hwp파일로 된 세부 입법예고안이 첨부되어 있습니다.
주민번호 관련글은 48,49 페이지에 수록되어 있습니다.  첨부파일은 114쪽으로 구성되어 있습니다 ㅠ ㅠ
==============================================
◎ 방송통신위원회공고 제2008-56호

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 전부를 개정함에 있어 국민에게 널리
알려 이에 대한 의견을 수렴하고자 그 개정이유와 주요내용을 행정절차법 제41조의 규정에 의하여 다음과 같이 공고합니다.

2008년
10월 8일
방송통신위원회

정보통신망 이용촉진 및 정보보호 등에 관한 법률 전부개정(안) 재입법예고

Ⅰ.
개정이유
개별 법률에 산발적으로 흩어져 있는 정보통신망에 관한 사항을 이 법으로 통합함으로써 체계적인 정책 추진을 가능하게 하고, 급격히
증가하고 있는 개인정보 유출, 불법 유해정보의 유통 등 인터넷 역기능 문제를 예방대응할 수 있는 조치를 정비함으로써 안전하고 건강한 인터넷
이용환경을 조성하고자 함
 이하 생략……..

   과거 CRM열풍의 영향으로 기업들은  고객정보를 과도하게 수집해왔습니다.  필요하든 필요하지 않든 다양한 고객정보를 수집했고 이를 마케팅수단으로 활용해왔습니다.  물론 여러가지 효과도 본 것이 사실일 것입니다.   하지만 축적된 고객정보가 이젠 기업을 되려 불안에 떨게 하는 큰 불안요소가 되고 있습니다.  관리되지 않은 고객정보는 오히려 기업에 독이 될수도 있다는 사실을 GS칼텍스는 우리에게 알려주었습니다.
 
  GS칼텍스에서의 고객정보 유출 사건이후  행안부에서는 부랴 부랴 대책회의를 열었고  각 기업의 보안관리자들을 소집해서 집체교육까지 시켰더랬습니다.  교육명은 [민간기업 개인정보보호 실천 결의 대회및 인식 제고 교육] 이었죠..  9월 30일 (화) pm14:30부터 17:50 까지 코엑스 그랜드 볼룸 103호에서 진행되었었습니다.  행안부 주최, KISA 주관이었구요.. 아는 분이 참석했는데   현장에서 개인정보보호 실천 결의문까지 함께 결의했다고 합니다.

  아래에 결의문을 개제해봅니다. 아래 내역은 모든 보안관리자들이 알고  실천해야 할 부분이기도 하고  또 행안부에서 의지를 가지고 실행하려고 하는 내용이니깐  알아두시면 좋을듯 합니다. ^^  보안관리자 교육에 포함시켜도 좋을듯 싶습니다.

  감사받을때 제일먼저 질문받는 것 중에 하나가  “귀사에는 보안관리규정이 있습니까?”라는 것입니다.  문서가 있다는 것이 일단 출발점입니다. 문서조차도 없다면 이 회사는 아예 관리노력을 하고있지않고 또 관리되지도 않는다고 인식되어 지고 맙니다.  보안관리규정 문서들을 제출할수 없다면   그 결과는 ‘신뢰할수없음’ 판정을 받게 되겠죠..  일단 문서는 모두 갖추어 놓고 보아야 합니다.

  먼저 문서화된 규정들이 있는지 확인하고  그 다음에 그 문서대로 규정이 실제로 지켜지고 있는지 점검하는 작업을 하게 됩니다. 실제로 보안규정을 직원이 알고있는지,,   규정이 현장에서 제대로 지켜지는 설치된 시스템및  운영 기록물을 찾게 됩니다.   보안 관리 규정을 잘 만들어 놓는 다는 것은  회사가 신뢰할수있다고 평가받을 수 있는 첫걸음임을 인식해야 할 것 같습니다.

  보안관리 규정은 기업의 정보자산을 보호하기위해 가장 기본이 되는 것입니다.

  ▶ 보안관리규정 작성 원칙
   1. 내용이 모호해서는 안되며, 표현이 정확해야 함
   2. 이해하기 쉬워야 함
   3. 선언적이기보다는 구체적인 실행이 가능해야 함
   4. 내용이 자세하게 언급되어 있어야 함

  ▶ 보안관리규정에 포함되어야 할 사항
 
1. 보안업무의 분류
   2. 보안업무의 조직및  기능
   3. 자산의 분류와 관리
   4. 인적 자원관리
   5. 시설관리및 침입방지
   6. IT 보안관리
   7. 보안규정 위반자 조치사항
      위 사항들이 포함되어 있어야 합니다.

  ▶ 보안관리규정의 개정과 공지
 
1. 보안관리규정은 주기적으로 개정해야 함.
  2. 보안관리규정이 개정되었을때 모든 임직원에게  그 내용을 공지해야함.
   3. 보안규정을 적용함에 있어서 만들어지는 지침, 절차들도 임직원들이 그 내용을 인지할수있게 조치해야함

실재로 보안관리규정을 만들려고 하면 쉽지않다는 것을 많이 느낍니다. 뭔가 많이 정리해야할 것 같기는 한데 막상 정리하려면  정리가 잘 안됩니다.  어디엔가 좋은 템플릿이 있다면 하고 인터넷을 뒤지게 되죠..    최근 중소기업청 주관으로 교육받은 내용중에 좋은 보안관리규정 샘플이 있어서 여기 소개합니다.

1506970389.doc
 

중소기업 기술유출 대응매뉴얼에 수록된 보안관리규정 샘플을 Microsoft Word버전으로 작성했습니다.

중소기업기술정보진흥원 디지털 경영센타에서 주최하는  교육을 참석하게 되었습니다.

온라인 7시간 강의,  오프라인 14시간 강의가 아래 교육에 소요됩니다.

“2008 산업보안교육 보안담당자과정” 3회차 교육

◈ 교육일자 : 2008년10월07일(화) ~ 2008년10월08일(수)
◈ 교육시간 : 10:00 ~ 18:00 (13:00~14:00 점심시간)
◈ 교육장소 : 중소기업기술정보진흥원 디지털경영센터 세미나실 (익스콘벤처타워 9층)

중소기업기술정보진흥원에서 사전교육으로 온라인 교육을 받게 하고 있습니다.
7과목으로 구성된 보안 온라인 교육과정이 제공되는데  꼭  오프라인 교육을 받지않더라도
온라인 교육만으로도 좋은 교육이 될듯합니다.  강의은 플래시로 작성되어 있습니다.
실제로 들어보니 상당히 잘 만들어진 온라인 교육이었습니다.

아래 사이트에 접속하여 회원가입후 무료교육을 받을수있습니다.
저는 08년 산업보안과정 1단계와 2단계를 신청하여 수강할수있었습니다.

1. 사이트:   http://www.edutipa.com
2. 수강신청: 과정안내 > 전문교육 > 산업보안과정 [2] 에서 [신청]버튼을 클릭
3. 수강하기: 마이페이지 > 수강과정 > 08년 산업보안과정 클릭
아래는 플래시로 만들어진 강의를   재미있게 수강하고 있는 장면입니다.  내용도 알차답니다.