[ET시론]해외사업장 보안 위험과 관리의 중요성

최근 국내 기업들은 해외 주요 기업과의 기술 제휴와 함께, 현지 시장수요에 맞춤화된 제품을 민첩하게 생산하기 위한 목적으로(생산기지 이전) 해외사업장을 설립하고 있다.

관련 문헌에 의하면 2022년 기준 해외 진출기업 수는 1만1567개이며, 베트남(31.6%), 중국(18.4%), 인도네시아(8.8%), 미국(6%), 일본(4%) 순으로 제조업(46.4%) 중심 해외 진출이 진행됐다. 한편 기업의 해외 진출 방식으로는 기업 인수합병, 현지 기업과 합작법인 설립, 해외 지사 및 법인 설립, 기술수출 및 이전 등 다양한 방식이 존재하며, 이를 통해 특히 제조업의 경우 생산활동을 해외로 이전시킴으로써(offshoring) 생산의 국제화와 함께 국제적 수준의 공급망을 확보할 수 있게 됐다.

그러나 이렇게 해외로 진출한 기업들은 국내 본사에 비해 상대적으로 제한된 자원을 가지며, 이로 인해 중소기업은 물론 대기업의 해외사업장 또한 보안 위험에 쉽게 노출될 수 있다. 세부적으로 모기업의 해외사업장을 실제로 방문한 결과, 해외 현지에서 채용된 인력의 이동, 생산 장비의 이용과 생산 공정 과정에서 공유되는 경험적 지식의 유·노출, 한정된 수준의 정보시스템 구성 환경에 따른 기술적 취약점 등이 존재하고 있었다.

일반적으로 국내 본사와 해외사업장에서 발생할 수 있는 보안 위험은 전반적으로 유사하나, 해외사업장 고유의 보안 위험도 별도로 존재한다. 국내와 차별되는 해외사업장에서 발생할 수 있는 고유한 보안 위험에는 다양한 형태가 존재한다.

해외 진출 국가에 대한 정보의 부족으로(상표 선 출원 주의, 강제 인증 제도 등) 과도한 기술자료 요구에 따른 법적 분쟁 발생 시 법적으로 보호받지 못하고 있으며, 이전 기술의 범위 및 시기 등에 대한 불명확한 계약 조건으로 기술의 유출 위험 가능성이 존재한다.

또 해외 현지에 파견된 본사 직원이 해임되는 과정에서 해당 기업에 불만을 품고 기술정보를 탈취해 경쟁사에 유출하거나, 제품생산에 참여하는 직원에게 공정별로 제조 방법(recipe)을 파편화해 관리하도록 하고 있지만, 직원들의 변심과 합심으로 각각의 정보를 조합해 기술정보를 유출하는 사례도 조사됐다.

해외 제품전시회 현장 및 이동 중에 제품이 분실되거나, 핵심 부품을 밀반출하여 경쟁 기업의 완제품 생산을 도운 사례도 발견됐다. 또 설계 도면과 함께 생산 부품·장비 등의 불량 폐기물에 남아있던 기술정보가 역공학(Reverse Engineering)을 통해 유출되기도 했으며, 심지어 해외사업장 자체의 보안 규정이 없는 곳도 조사됐다. 전반적으로 국내 본사와 비교해 해외사업장 구성원들의 보안 의식과 공감대 수준은 매우 낮은 상태다.

해외사업장에서 발생할 수 있는 보안 위험을 최소화하기 위해 국내 환경과는 다른 해외사업장을 대상으로 한 몇 가지의 고유한 대응 방안을 제안하고자 한다. 먼저 해외사업장이 위치하는 국가의 기술보호 정책에 대한 사전이해도를 높일 필요가 있다. 해외로 진출해 기술을 제휴하거나 제품을 생산하고자 하는 기업은 해당 국가적 수준의 기술보호에 관한 법·제도를 숙지해야 한다. 또 해당 국가의 기술보호 인식과 문화 수준을 사전에 파악할 필요가 있으며, 요구되는 별도의 보안인증 요건은 없는지 확인해야 한다.

해외사업장 보안위험 사례, 해외사업장 보안관리 방법

다음은 해외사업장에 대한 보안관리 체계화(구조화)를 진행해야 한다. 이를 위해 무엇보다 해외사업장에 대한 보안관리를 전담하는 인력이나 조직을 구성할 필요가 있다. 해외사업장 보안 전담 인원은 보안 관련 이해도가 높은 주재원과 함께 현지 채용 인력으로 균형감 있게 구성하는 것이 적절하다.

보안 담당자를 중심으로 해외 진출국의 관습이나 문화를 참고해 해외사업장 고유의 보안 규정을 설계하고, 다양한 관점에서 분석된 보안 위험을 최소화하기 위한 목적으로 보안 환경을 구축할 필요가 있다. 또 보안 담당자는 정기적 보안감사 활동과 함께 국내 본사와의 원활한 소통과 위험정보 공유노력이 매우 중요하다.

세 번째로 전자적 형태의 기술정보에 대한 안전한 유통 체계를 마련해야 한다. 무엇보다 해외사업장에서는 연구개발 정보는 되도록 제외하고, 생산 공정 및 제품 등에 대한 최소한의 정보만 활용될 수 있도록 정보환경을 조성해야 한다. 아울러 국내 본사에 비해 상대적으로 자원이 부족한 해외사업장에서는 생산·활용되는 모든 정보를 관리하기란 쉽지 않기 때문에 정보에 대한 중요도를 기준으로 등급화를 진행하고, 정보의 등급별로 차별화된 보안정책이 적용돼야 한다.

세부적으로 정보 자체에 대한 평가와 함께, 해당 정보를 처리하는 업무의 중요도, 그리고 실제적인 정보처리를 담당하는 부서의 중요도 등을 고려해 입체적인 정보 등급화 과정이 진행돼야 한다. 이러한 과정을 통해 등급화된 정보는 차별화된 접근 권한이 내재화된 보안시스템이 적용된다.

네 번째로 보안 항목으로 소개하지만, 가장 중요한 항목이라고 볼 수 있는 것이 인력에 보안관리다. 현지 인력에 대한 채용과 보안 서약서 작성, 보안 교육 진행 등은 국내 본사의 보안 활동과 유사하지만, 생산 공정 방법에 대한 상호 정보 공유의 금지 규정은 반드시 포함돼야 한다('생산 공정 방법은 보여주지도, 보려 하지도 않는' 분위기를 조성).

또 현지 채용 인력은 단편적인 업무 처리 중심으로 운영하고, 기술과 관련된 업무는 되도록 배제하는 것이 적절하다. 마지막으로 해외사업장에서의 퇴직자(예정자)에 대한 보안관리를 위해 해당 직원이 반납한 자산에 대한 보안점검뿐만 아니라, 동종업계 취업금지 및 동종업무 수행금지 등에 관해 별도 약정으로 관리될 수 있도록 노력해야 한다.

다섯 번째로 해외사업장에 대한 물리적 보안조치가 요청된다. 대부분 기존의 물리적 보안 조치와 유사하지만, 해외사업장 특성상 단독 건물이 아닌 여러 기업과 동일 건물에 입주하는 경우가 많아서 통제구역을 세분화하여 관리할 필요가 있다. 특히 연구개발 및 생산 공정 지역에 대한 다중의 접근통제 환경을 구축할 필요가 있으며, 허가되지 않은 다양한 이동 저장매체에 대한 엄격한 관리가 요청된다.

국내 기업의 해외 진출은 오래 전부터 이뤄지고 있지만, 해외사업장을 중심으로 한 외부 기관과의 업무 협업과 현지 인력 채용에 따른 보안 위험성이 높아지면서 해외 진출에 따른 피로감도 높아지면서 국내로 복귀하고자 하는 움직임도 나타나고 있다.

이러한 흐름에도 해외사업장을 통해 이뤄지는 수출 편의성과 저임금 등의 이점으로 인해 아직 많은 기업이 해외사업장을 운영하고 있으며, 또 다른 국가를 대상으로 진출계획도 수립하고 있다. 이처럼 해외 진출은 이익을 추구하는 기업에 있어 매력적인 선택지이므로, 안전하게 그리고 지속 가능한 방향으로 해외사업장을 운영하고 관리하는 방안을 고려해야 한다.

그러한 방향에서 해외사업장에 대한 보안관리가 무엇보다 중요한 요소로 위치하게 된다. 세부적으로 자원이 부족한 해외사업장은 선택적인 보안 활동이 요청되며, 해외사업장이 위치한 해당 국가의 언어, 종교, 국민성 등이 반영된 맞춤형 보안관리가 필요하다. 한국기업의 세계화는 국가적 수준에서 매우 중요한 발걸음으로 인식되고 있으나, 해외사업장에 대한 선제적인 보안 환경 구축을 통해 이러한 해외 진출의 움직임이 또 다른 기술 유출의 사례로 다가오지 않기를 소망해 본다.

장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr

〈필자〉현재 중앙대 산업보안학과 교수 및 연구처장으로 재직하고 있으며, 한국산업보안연구학회 학회장을 역임했다. 현재 4단계 BK21 '사이버 물리공간 청정화 연구사업단' 단장을 수행하면서, 미래 융합 공간에서의 오염요소(기술유출과 탈취, 사이버범죄 등)를 최소화하기 위한 다학제적인 연구를 진행하고 있다. 현재 2019년부터 한국공학한림원 기술경영정책분과 일반회원으로 활동하고 있다.