보안사고, 그것이 알고싶다 ③DLP 솔루션 사용으로 비밀관리성
게시일2023. 12. 27.
포스팅 뷰2603
‘보안사고, 그것이 알고싶다’를 통해 유출 사례와 영업비밀 관리 방법을 소개해 드립니다.
이번 시간에는 ‘DLP 솔루션 사용으로 비밀관리성 요건이 인정’된 사례를 살펴보고, 주요 쟁점을 살펴보도록 하겠습니다.
가장 먼저 진행해야 하는 보안 업무로는 무엇이 있을까요?’
‘보안솔루션 도입이 필수일까요?’
보안 업무를 처음 맡게 된 담당자분들에게 가장 많이 들었던 질문입니다. 가장 우선적으로 진행해야 하는 보안 업무로는 이렇게 4가지를 뽑을 수 있는데요.
- 사내 보안 교육을 통해 직원들의 보안 의식 제고
- 사내 보안규정에 따른 보안 정보 구분 및 관리
- 물리적 보안을 강화(입/출입 통제)
- 우리회사에 맞는 최소한의 보안 솔루션 도입
보안을 위해 큰 비용을 들이지 않아도 괜찮습니다. 하지만 최소한의 보안 솔루션 도입은 관리자의 업무를 편하게 해줄 뿐만 아니라, 혹시 모를 보안 사고를 위한 최소한의 보호장치가 되어주기 때문에 보안솔루션 도입은 선택이 아닌 필수입니다.
‘보안사고, 그것이 알고 싶다’ 이번 시간에는 영업비밀 유출 실제 사례를 살펴보며, 보안솔루션의 필요성을 재고해 보고자 합니다.
오늘은 DLP 솔루션 사용으로 인해 비밀관리성 요건이 인정된 사례에 대해 살펴보려고 합니다.
대부분의 보안 담당자분이 DLP 솔루션을 이미 사용하고 계시거나 그게 아니시더라도, DLP 솔루션 도입을 한 번쯤은 고민해 보셨을 거로 생각합니다.그래서 그런지 법적 분쟁이 터졌을 경우 DLP 솔루션이 어떤 도움을 줄 수 있는지 많은 분이 궁금하셨습니다.
사례를 통해 우리 회사에서 필요한 보안 솔루션이 무엇인지, 보안 솔루션 도입 시 고려해야 할 부분은 무엇인지, 도입 후 어떻게 활용해야 할지 알아보시면 좋을 것 같습니다!
사건 개요 >
주식회사B는 화장품 연구개발 및 OEM, ODM 제조 등을 영위해 온 회사입니다.
A씨는 주식회사B의 메이크업 제품연구소 유분산파우더 팀장으로 근무하면서 립스틱, 마스카라 등을 개발하는 업무를 담당하다가 이후 퇴사 후,
동종 업계 주식회사 D에 입사하여 메이크업 팀장으로 근무하였습니다.
A씨는 퇴사 전, ERP 데이터베이스에 있는 화장품의 원료, 함량, 공정 순서, 배합 비율 등이 기재되어 있는 화장품 처방자료 118개를 개인 H계정에 업로드하였습니다.
보안점검 과정에서 해당 사실이 발견되어 파일이 삭제되었으나, H 기능으로 인해 ‘휴지통’ 폴더에 해당 파일이 남아 있었고,
A씨는 퇴사 이후 자신의 집에서 H계정 접속 후 해당 파일을 개인 PC에 저장하였습니다. 그뿐만 아니라, 퇴사 이후 회사 그룹웨어 어플리케이션에 접속하여
수신한 메일에 첨부되어 있던 ‘L’ 제품의 배합 비율, 함량 등이 기재되어 있는 화장품 성분표를 다운로드하여, 개인 드라이브에 업로드 하였습니다.
이러한 방식으로 A씨는 총 493회에 걸쳐 화장품 처방자료 등 피해회사의 영업비밀 자료가 저장된 파일을 유출하였으며,
이직한 회사에서 그 유출한 파일을 동종 상품 개발 시 무단 사용하기도 함으로써, 부정한 이익을 얻었습니다.
주요 쟁점 및 판결 요지 >
주식회사B는 아래와 같은 보안장치를 마련하여 회사 자료를 비밀로 관리하였습니다.
- 자료 유출을 방지하는 DLP 솔루션과 문서 중앙화 솔루션을 운용하며 사내 생성된 자료를 관리하며 매주 보안점검 실시
- 핵심기술인 화장품 처방전은 별도로 ERP에 DB로 저장한 후, 열람 권한을 차등화하여 관리
- 주기적인 정보보안 교육을 진행
- 임직원들로부터 회사의 자료를 무단 반출하지 않겠다는 내용의 비밀유지 서약서 작성
이러한 사실들을 입각하여 A씨는 퇴사 시 업무상 취득한 자료를 반환하거나 폐기해야 할 임무가 있음에도,
이를 위배하고 주요 자산을 외부로 무단 반출함으로써 피해회사에 상당한 손해를 가했음을 판단하였습니다.
시사점 >
이 사건은 부정경쟁방지법이 적용되는 사안이었는데, 영업비밀의 ‘비밀관리성’ 요건을 판단함에 있어서 ‘비밀로 관리'되기만 하면 그 요건을 충족하는 상황이었습니다.
법원은 '비밀관리성' 요건 판단 시 피해 회사가 외부저장장치를 통한 자료 유출을 방지하는 보안프로그램 DLP 솔루션 운용을 통해 사내에서
생성된 자료를 관리하였다는 점 등을 고려하였다고 직접 언급하고 있어, 법원이나 수사기관이 DLP 솔루션을 정확히 파악하고 있을 뿐만 아니라
그 운용에 따른 보안 효과까지도 인정하였다는 점에서 상당한 의미가 있습니다.
보안 솔루션 도입만으로 보안 사고를 100% 막을 수는 없습니다. 보안 솔루션을 어떻게 사용하는지도 중요합니다.
이번 사건의 경우, 보안 솔루션에 의해 회사 기밀을 개인 계정에 저장한 이력을 발견하였음에도 확실한 삭제를 하지 않아, 결국 유출 사고까지 발생했습니다.
따라서 ①보안 솔루션 도입 시 공신력 있는 솔루션을 도입할 것, ②이상 징후 발견 시 후속 조치를 체계적으로 진행할 것을 기억하셔야 합니다.
게다가 보안 솔루션 사용을 통해 혹시 모를 보안 사고가 발생하여 법적 다툼을 하게 되더라도 어렵지 않게 비밀관리성 요건에 충족시킬 수 있습니다.
하지만 이런 법적 분쟁이 일어나지 않는 것이 가장 좋겠죠 :]
이러한 법적 다툼을 방지하기 위해서는 “오피스키퍼”와 같이 수많은 기업으로부터 선택받아 검증된 DLP 솔루션을 도입하고, 이를 이용하여 퇴사 예정자 PC를 철저히 단속해야 합니다.
업무의 유연성을 위해 ‘허용’ 정책을 사용하셨더라도 퇴사가 결정된 직원 한해서는 개별 설정을 통해 전체 ‘차단’ 정책을 내리고, 문서백업 기능을 활용하여 자료 원본을 남기시는 것을 추천해 드립니다.
통합PC보안이 가능한 DLP 솔루션 오피스키퍼는 7가지 보안 기능을 하나의 솔루션으로 통합 제공합니다. 국내에서 가장 많은 고객사를 보유하고 있어, 더욱 안전하고 편리합니다.
NO. 1 DLP 솔루션 오피스키퍼를 통해 회사의 영업비밀보호를 강화해 보세요.
📌 위포커스 특허법률사무소 영업비밀 Maker [바로가기]
📌 무료로 배포하는 보안가이드 [다운로드]
'위포커스 특허법률사무소 이동환 변리사' 검수
bySunny