국가 연구개발(R&D) 사업과 각종 투자·사업 평가가 빠르게 증가하고 있다. 정부와 공공기관은 공정하고 객관적인 평가를 위해 제도와 절차를 지속적으로 고도화하고 있으며, 평가위원 선정과 운영 과정에서도 많은 노력을 기울이고 있다.
그러나 이러한 제도적 노력과는 별개로 평가관리시스템 자체의 보안 수준은 여전히 사각지대에 놓여 있는 경우가 많다.
R&D를 수행하는 기업은 수개월 이상 준비한 사업계획서를 제출한다. 이 문서에는 핵심 기술, 연구인력 구성, 사업화 전략, 재무 계획 등 기업의 경쟁력을 좌우하는 정보가 집약돼 있다. 즉 사업계획서는 단순한 제출 문서가 아니라 기업의 미래 가치가 응축된 핵심 자산이다.
하지만 실제 평가 환경을 들여다보면 구조적인 취약점이 반복적으로 나타난다. 일부 기관은 보안 소프트웨어(SW)를 적용하고 있으나, 단말기 수급 문제로 인해 렌털 장비를 사용하거나 PC를 활용하는 사례도 존재한다. 평가 편의를 위해 사업계획서를 파일 형태로 제공하는 과정에서 외부 저장매체나 개인 장비로의 복사가 발생할 수 있는 구조도 여전히 남아 있다.
또 평가 과정 중 화면 촬영이나 출력물 반출과 같은 비정형적인 정보 유출 경로에 대한 통제도 충분하지 않다. 이는 특정 개인의 윤리 문제로만 볼 수 있는 사안이 아니다. 모든 평가자의 행위를 완벽히 통제하는 것은 현실적으로 불가능하며, 결국 시스템 차원의 통제 구조가 부재한 것이 본질적인 문제다.
현재 일부 평가 시스템에서는 파일 열람 기간 제한이나 접근 권한 설정 등의 방식이 활용되고 있다. 그러나 이러한 방식은 화면 촬영, 캡처, 출력물 유출과 같은 다양한 경로를 근본적으로 차단하기에는 한계가 있다. 특히 최근에는 인공지능(AI) 기반 이미지 처리 기술이 발전하면서 단순한 가시성 워터마크만으로는 충분한 보호가 어려운 상황이다.
이제 평가 보안은 '신뢰'가 아닌 '구조'로 설계해야 한다. 보안 서약서나 사후 점검에 의존하는 방식에서 벗어나, 평가 환경 자체를 통제하는 접근이 필요하다. 평가 단말기의 표준화, 외부 매체 사용 통제, 화면 및 출력물에 대한 식별과 추적, 캡처 및 촬영에 대한 기술적 대응 등 통합적인 보안체계가 마련돼야 한다.
특히 단순히 보이는 표시를 넘어 유출 이후에도 추적이 가능한 비가시성 기반 보호 기술과 같은 새로운 접근이 요구된다. 이는 단순한 보안 기능이 아니라 평가 시스템의 신뢰성을 유지하기 위한 필수 요소다.
R&D 평가뿐만 아니라 투자심사와 기술평가 등 다양한 의사결정 과정에서 평가 시스템은 핵심 인프라로 자리 잡고 있다. 만약 평가 과정에서 정보 유출이 반복된다면 기업들은 핵심 기술 공개를 꺼리게 되고, 이는 결국 국가 혁신 생태계 전반의 위축으로 이어질 수 있다.
공정한 평가를 위한 제도는 이미 상당 수준 갖춰졌다. 이제는 그 제도를 뒷받침할 보안 인프라의 수준을 끌어올릴 시점이다. 평가자의 윤리를 강조하는 것만으로는 한계가 있다. 기술과 시스템을 통해 유출이 어려운 구조를 만드는 것, 그것이 평가관리시스템이 나아가야 할 방향이다.
고준용 시큐어링크 대표 junyongko@securelink.co.kr