퇴직자에 의한 정보 유출 대책은? 정보 유출의 위험과 조사 사례를 소개합니다.

최근 기업의 기술정보나 영업정보가 외부로 유출되는 정보유출 사건이 연이어 보도되면서 정보 보호 강화가 화두로 떠오르고 있다. 정보 유출의 주요 원인 중 하나는 퇴직자에 의한 것이다. 이 글에서는 퇴직자에 의한 정보 유출로 인한 위험과 이를 예방하기 위한 대책을 설명하고, 실제 발생한 정보 유출과 그 조사 사례도 소개한다.

기업 내 정보 유출 사례 중 가장 많은 것은 '중도 퇴직자'에 의한 것

2020년 국내 기업의 영업비밀 유출 발생 현황을 조사한 독립행정법인 정보処理推進機構(IPA)의 보고서에 따르면, 가장 많은 정보 유출의 원인은 '중도퇴직자'로 전체 조사 대상의 36.3%로 2016년의 28.6%보다 증가한 것으로 나타났다. 모든 기업은 평소에 중도퇴직자에 의한 정보 유출에 대비하여 대책과 대응 방안을 마련해야 한다.

참고: '기업 영업비밀 관리 실태조사 2020' 보고서 참조
https://www.ipa.go.jp/archive/security/reports/2020/ts-kanri.html

퇴직자에 의한 정보 유출이 기업에 미치는 리스크

퇴직자에 의한 정보 유출은 막대한 피해를 가져온다. 구체적인 영향과 위험에 대해 설명합니다.

개인이나 타사로부터 손해배상을 청구당할 리스크

퇴직자에 의한 정보 유출도 유출된 기업에 대해 개인이나 기업으로부터 손해배상 청구를 당할 위험이 있습니다. 퇴직자가 고객이나 직원의 개인정보를 빼내어 악용할 경우, 피해자인 개인이 피해를 입어 기업에 손해배상을 청구할 수도 있습니다.

유출된 정보가 거래처의 중요한 기업 정보인 경우, 내용에 따라서는 거액의 손해배상 청구로 이어질 가능성도 있습니다.

노하우 및 영업비밀 유출로 인한 경쟁력 저하 리스크

고객이나 거래처가 아닌 자사의 중요한 영업비밀이 유출된 경우에도 그 피해는 이루 헤아릴 수 없습니다. 자사 고유의 노하우가 유출되어 경쟁력이 저하될 가능성도 있습니다.

비방 및 유언비어에 대한 리스크

금전적인 피해가 발생하지 않더라도 피해는 입게 됩니다. 기업으로서의 정보관리 능력을 의심받게 되고, 회사의 신뢰는 땅에 떨어지게 됩니다. 비방이나 유언비어에 노출될 위험도 있습니다.

행정기관으로부터 시정권고, 시정명령 또는 형사처벌을 받을 수 있습니다.

개인정보보호법에 따라 개인정보가 유출되면 손해배상 외에도 국가로부터 출입검사나 시정권고 및 시정명령을 받을 수 있습니다. 위반 시에는 징역이나 벌금형에 처해질 가능성도 있어 개인정보를 취급하는 사업자는 더욱 신중해야 합니다.

퇴직자에 의한 정보 유출 대책

최악의 상황을 피하기 위해서라도 퇴직자에 의한 정보 유출 대책은 최우선적으로 추진해야 할 과제입니다. 대책으로는 정보 접촉 및 반출을 제한하여 위험을 줄이고, 방범 카메라나 출입기록을 통해 억제력을 높이고, 사내 교육이나 서약서를 통해 직원들의 의식을 고취하고 주지시키는 것이 효과적입니다.

기밀 정보에 대한 접촉과 반출을 제한한다.

중요한 정보에 접근할 수 있는 사람을 제한함으로써 정보 유출의 위험을 줄일 수 있다. 데이터를 반출한 사람을 쉽게 파악할 수 있기 때문에, 만약 정보 유출이 발생했을 때 대응에도 도움이 된다.

방범 카메라 설치 및 출입 기록하기

데이터에 접근할 수 없거나 물리적으로 반출할 수 없는 상황에서도 PC 화면이나 중요 서류를 촬영하는 등의 범행은 가능하다. 보안 구역에 대한 접근 제한을 강화해 중요 정보에 사람이 접근하지 못하도록 하는 것도 효과적이다. 보안 카메라를 설치하여 IC카드 정보와 함께 사무실 출입 상황을 모니터링할 수 있다면 정보 유출이 발생했을 때 범인 색출에 도움이 될 뿐만 아니라 범죄를 억제하는 데도 도움이 된다.

사내 교육 및 비밀유지 서약서를 통한 의식 고취하기

사내 규정으로 정보 유출에 대한 처벌을 정의하고 사내 교육 등을 통해 널리 알린다. 비밀유지 서약서를 전 직원과 체결하는 것도 효과적입니다. 정보유출을 하면 막대한 손해배상 책임을 지게 되고, 이는 퇴직 후에도 예외가 아니라는 것을 직원들에게 인식시키는 것이 억제력이 될 수 있습니다. 또한, 기업의 경영적으로도 타격이 크다는 것을 주지시킴으로써 다른 직원들의 내부고발을 유도하는 효과도 있습니다.

퇴직자에 의한 정보 유출 조사는 '포렌식 조사'가 효과적이다.

그럼에도 불구하고 정보 유출이 발생했을 때 기업이 해야 할 일은 '포렌식 조사'이다. 포렌식 조사는 사건과 관련된 정보를 수집, 분석하여 부정행위의 증거를 밝히는 조사를 말한다. 정보 유출은 데이터 형태로 유출되는 경우가 많은데, 이 경우 디지털 기기에 저장된 정보에서 부정행위의 증거와 경위를 찾게 된다.

포렌식 조사는 자체적으로 진행하기보다는 조사 업체에 의뢰하는 것이 좋다. 조사 업체가 보유한 전문 소프트웨어와 AI를 활용하면 효율적이고 규모에 맞는 비용으로 조사를 진행할 수 있다.

기업에서 발생한 퇴직자에 의한 정보 유출과 포렌식 조사 사례 소개

구체적으로 어떤 조사를 하는지 설명하기 위해 실제 기업에서 발생한 정보 유출과 포렌식 조사 사례를 소개합니다.

프론테오가 처리한 사례] 직원에 의한 기밀정보 반출

전 직원 A가 경쟁사로 이직한 지 2년 후, 유사 제품이 무단으로 제조되어 해외에서 판매되고 있는 것이 발견되었고, A가 사용하던 PC의 로그에서 퇴직일 며칠 전에 대량의 데이터가 복사된 것이 발견되었다. 그러나 데이터가 방대해 내부 조사가 어려웠고, 정보 반출을 특정하기 위해서는 '본인과 영업비밀의 동작을 특정하는 것이 필요하다'는 법원의 견해가 있었다.

그래서 제3자성을 확보하기 위해 조사 전문 업체인 프론테오에 포렌식 조사를 의뢰했다. 자체 데이터베이스 구축, 외장형 HDD와 USB의 대량의 로그 데이터 등을 조사한 결과, 약 30만 건의 데이터를 USB 메모리에 복사하고, 며칠 후 외장형 HDD를 네트워크 케이블을 뽑은 후 삭제하고, 관련 없는 프로그램 파일의 쓰기와 삭제를 약 120시간 동안 반복한 사실을 확인했다. 라는 사실을 확인하게 되었습니다.

퇴직자에 의한 정보 유출 조사는 AI를 활용한 포렌식 조사 실적이 있는 프론테오에 맡기세요

프론테오는 2003년 설립 당시부터 일본 포렌식 조사의 선구자로서 다양한 기업의 과제 해결에 힘써왔다. 뛰어난 경험을 바탕으로 한 기술과 노하우는 정평이 나있습니다.

자체 개발한 AI 엔진 KIBIT을 활용하여 문서 검토 시 대폭적인 노동력 절감과 비용 절감을 실현하는 등, 사건 대응 경험과 자체 AI 엔진을 결합하여 타사에는 없는 높은 정밀도와 효율화를 실현하고 있습니다.