삼성전자 내부기밀 91차례, 일본에 컨설팅 업체 차려, 브로커로 활동한 삼성전자 前 직원

: 일본에 컨설팅 업체 차려, 브로커로 활동한 삼성전자 前 직원

26일 알려진 바에 따르면, 서울중앙지검 정보기술범죄수사부는 지난달 일본에 컨설팅 업체를 차리고 브로커로 활동하면서 삼성전자 내부 기밀을 91차례 유출한 혐의로 구속 기소된 前 직원 A씨에 이어, 공범으로 지목된 또 다른 前 직원 B씨도 불구속 상태로 재판에 넘겼다.

주범 A씨는 삼성전자에서 20년 넘게 근무하였으며 2011년부터 일본인 동업자와 함께 일을 벌인 것으로 밝혀졌다. 일본 현지에 특허 컨설팅 업체를 만들고 스스로 특허 브로커로 활동한 것이다. A씨는 삼성전자 IP 센터에서 근무하며 내부 임원회의 자료를 활용해 대외비 자료를 유출한 혐의를 받고 있다. 유출된 것으로 우려되는 자료에는 특허 분석과 관련된 정보가 담겨 외부로 유출될 경우, 회사에 타격을 줄 수 있는 기밀이 포함된 것으로 알려졌다. 삼성전자 내부에서도 대외비로 지정하고 열람 및 유통을 제한하는 등 이미 엄격한 보안 규정을 두고 있었다.

이뿐만 아니라 2019년 A씨는 부서를 옮기게 되면서 필요한 특허 정보를 확인할 수 없게 되자, IP팀의 B씨에게 부탁하여 내부 정보를 제공받은 혐의도 밝혀졌다.

 : 기업 내부기밀 유출 사건의 반복... 그러나 공개를 꺼리는 기업들

삼성전자 내부 직원의 내부기밀 유출은 이번이 처음이 아니다. 2022년 반도체 기술과 관련된 회사 보안자료에 접근하여 이를 촬영한 것이 적발된 사례도 있었다. 당시, 퇴사를 앞둔 직원이 수시로 보안자료를 확인한 것에 수상함을 여긴 회사는 해당 직원을 불러 내부 조사를 하면서 이와 같은 사실이 드러난 것으로 알려졌다. 이처럼 숱하게 발생하고 있는 내부 기밀 유출 사건은 다른 기업에서도 여지없이 확인해 볼 수 있다.

지난달, 한국항공우주산업에서 KF-21 개발에 참여한 직원 C씨가 인가받지 않은 USB를 외부로 반출하려다 적발되었다. 국정원과 방사청에서는 기밀로 분류된 자료를 반출하려던 것으로 보고 있으며, 해당 USB에는 KF-21 관련 기밀자료만 수천건에 이르는 것으로 알려져 논란이 되었다. 대규모 자료 유출 사태는 사전에 방지하였으나, 내부적으로 데이터 복제를 막지 못한 내부 보안 문제가 여실히 드러나 비판의 목소리가 커졌다.

국정원에 따르면 2019년부터 2023년까지 해외 기술 유출 건은 96건이며 피해 규모는 25조원에 이르는 것으로 밝혀졌다. 그러나 수사당국은 피해 규모가 이보다 훨씬 더 클 것이라 예측했다. 내부 기밀 유출 사실을 확인하였음에도 불구하고 신고 후 불이익 발생, 주가 하락, 또 다른 형태의 기술 유출 등을 우려하여 피해를 감수하더라도 외부에 유출 사실을 공개하지 않으려는 기업들도 상당수 있기 때문이다. 그러나 사실을 숨기기만 해서는 숱하게 발생하는 내부 기밀 유출 사건을 해결할 수 없다. 또한 재발 방지를 위한 시스템 재정비를 해서는 기업의 협조가 필수적이지만 피해 사실을 숨기는 경우, 기업의 협조를 기대하기 어려워 재발 방지 시스템 구축에 대한 우려의 목소리도 이어지고 있다.

 : 내부 보안 문제, 종합적으로 점검하고 해결책 강구해야...

점차 기업의 기술을 유출하는 방식이 진화함에 따라 2, 3차 피해를 막기 위해서는 재발 방지가 필수적이다. 소 잃고 외양간 고치기식의 조치는 향후 더 큰 문제를 야기 할 뿐이다. 그러므로 아직 일어나지 않은 일이라고 하여 안일하게 생각할 것이 아니라, 사전에 문제를 점검하고 발생할 수 있는 만일의 사태를 대비하는 것이 중요하다.

특히, 이번 사건은 국내 굴지의 기업 삼성전자에서 일어난 내부기밀 유출사건이기에 많은 이들이 주목하고 있다. 최근 삼성전자에서는 스마트반지 '갤럭시 링' 디자인을 공개하고 인공지능 AI를 바탕으로 한 차세대 통신 기술 6G를 연구하는 'AI-RAN 얼라이언스' 창립 멤버로 참여하는 등 IT 기술의 혁신을 선도하고 있다. 그렇기에 더욱이 내부 보안을 철저하게 관리하여 이와 같은 일이 반복되지 않도록 내부 보안 시스템을 종합적으로 점검해야 한다.

한편, 2020년에는 재택근무 기업이 늘어남에 따라, 재택근무 시 정보 유출이 가능한 경로를 통제하여 정보 유출을 방지할 수 있는 DLP 솔루션(내부정보유출방지)을 사용하는 기업도 있었다. 외부 PC로부터 내부 클라우드 접속이 필요하다면 관리자의 사전 허가가 있어야 하고, 일정 시간 동안 PC 사용이 없다면 화면보호기 기능을 사용하여 정보를 보호하는 등의 조치를 취하는 것이다. 이외에도 메모리 액세스 제어, 데이터 암호화 등의 메모리 보호 기술을 도입하거나 데이터 분석을 통해 임직원의 이상 행동 패턴을 감지하고 사전에 경고하는 시스템을 도입한 경우도 있었다.

인공지능(AI) 챗봇이 이용자의 데이터를 유출할 수 있다는 우려의 목소리도 커지고 있다. 실제로 구글의 모회사 알파벳의 경우, 자사 직원들에게 AI 챗봇에 기밀정보를 입력하지 말라는 지침을 내렸다. 직원들이 입력한 정보를 AI 챗봇이 학습하여 재생산함으로써 외부로 내부 정보가 유출될 위험이 있기 때문이다. 이처럼 기업은 다양한 형태로 내부 기밀이 유출될 수 있다는 점을 염두에 두어야 한다. 아무리 철저하게 회사 보안망을 구축하고 시스템을 점검하더라도 예상치 못한 점에서 피해가 발생할 수 있는 것이다. 이뿐만 아니라 임직원의 비밀 유지 서약서 작성 등의 예방 조치를 취하더라도 유혹의 손길에 쉽게 빠질 수 있다. 그러므로 기업의 소중한 자산을 스스로 지키기 위하여 지속적으로 보안체계를 강화하고 기술 발달에 따른 위협에 발 빠르게 대응하는 것이 필요할 것으로 보인다.