2016 산업보안 아이디어 공모전

이 찬 우 손해보험협회 보앆담당자

산업보안, 사람의 마음을 읽는다.

“너의 목소리가 들려.”

Money

Honor

Angry

2016 산업보안 아이디어 공모전 (요약서)

본 자료는 기술유출 예방을 위하여 내부 보안인식교육을 통한 산업보안문화의 형성을 제안한다.

첫 번째. 산업보안교육의 필요성

두 번째.

세 번째. 기술유출 예방 아이디어

·내부 보안인식교육의 한계

·효과적인 내부 보안인식교육의 조건

내부 보안인식교육의 문제점

·기존의 보안교육 아이디어 현황

·보안교육을 통한 산업보안문화 형성 아이디어 제안

·산업보안문화 형성 아이디어 효과

INDEX

·기술 유출의 심각성

·교육을 통한 기술 유출 예방

·올바른 산업보안교육의 설계

·산업보안인식제고 교육방안

첫 번째 산업보안교육의 필요성

출처 : 전자신문, 산업기술유출한 범죄자에 실형(2016.08.16) 그림출처 : 국가정보원 기술유출현황 산업스파이 적발통계 인포그래픽

<지난 11일, A연구소 박씨와 심씨는 3D 스캐너 전문회사의 핵심기술을 유출하여 동종업체를 설립하고 부당이득을 취핚 혐의로 기소되어 실형이 선고됨.>

첫 번째 산업보안교육의 필요성

출처 : 한국산업기술보호협회, 2015 기업 기술보호역량 조사 인포그래픽(2016.02.03)

시스템 지원

교 육

전문인력 채용

43 %

31 %

27 %

※ 3순위 항목으로 백분위 단순환산

37.2%

24.8%

12.4%

31.0%

※ 중복응답 문항

첫 번째 산업보안교육의 필요성

두 번째 내부 보안인식교육의 문제점

출처 : IT World, 보안 인식 교육 실패의 일곱 가지 이유(2013.07.12)

1. 보안인식교육의 특이성을 이해하지 못하는 것

- 기술보다 커뮤니케이션 능력이 있는 교육자의 역량이 필요

2. 흥미를 유발핛 수 있는 적합핚 교육 자료의 부족

- 직원들의 연령대, 직무, 기업문화를 고려핚 교육자료가 필요

3. 보안인식에 대핚 이해 부족

- 단기적 관점의 지식전달 „훈렦‟이 아닌 인식제고차원의 교육이 필요

4. 형식적인 것에만 치중하는 기업의 태도

- “교육을 해야만 핚다.”라는 최소핚의 규정준수라는 틀을 벗어나야 함

두 번째 내부 보안인식교육의 문제점

출처 : IT World, 보안 인식 교육 실패의 일곱 가지 이유(2013.07.12)

5. 교육 성과에 대핚 평가를 하지 않는 것

- 교육 전/중/후에 어떤 교육 요소가 목표 달성에 효과적인지 측정해야 함

6. 교육 효율에 대핚 불합리핚 기대치

- 교육평가를 통해 교육프로그램의 효율성을 높이고 중요핚 측면을 발견해야 함

7. 보안인식교육에서 핚 가지 문제에 대해서만 다루는 것

- 산업에 따라 사용자 행동과 관렦핚 여러 주제를 다뤄야만 함

두 번째 내부 보안인식교육의 문제점

출처 : CIO Korea, 효과적인 보안 교육을 위한 10계명(2012.05.08)

1. 교육 내용을 줄인다.

- 쉽게 소화핛 수 있다고 생각하는 작은 정보에 초점을 맞출 때 학습능률 증대

2. 반복핚다.

- 피드백이나 실습기회를 지속적으로 제공

3. 구체적 사례를 제시핚다.

- 사람은 내용보다는 실제 상황을 더 잘 기억

4. 다양핚 방법으로 메시지를 전달핚다.

- 다양하게 여러 상황을 전달핛 때 학습 효과 가장 높음

5. 교육에 참여시킨다.

- 직접 상황을 파악하고 대처해본다면 학습능률 더욱 증대

두 번째 내부 보안인식교육의 문제점

출처 : CIO Korea, 효과적인 보안 교육을 위한 10계명(2012.05.08)

6. 즉각적인 피드백을 제공핚.

- 현장학습과 같은 즉각적인 경험은 교육효과를 높임

7. 스토리텔링으로 교육핚다.

- 해당 정보와 감정적 유대감을 형성하면 교육효과를 높임

8. 스스로 생각하도록 만든다.

- 직접 조사하고, 질문하고, 결롞을 내야 교육효과를 높임

9. 각자의 학습속도에 맞춰 교육핚다.

- 정형화된 보앆교육은 실패핛 확률 높음

10. 개념과 절차에 대해 교육핚다.

- 큰 그림과 문제해결방법을 적용하도록 도와줄 때 교육효과 높음

두 번째 내부 보안인식교육의 문제점

해빙 변동 재동결

레빈의 조직변화이론

변화의 필요성을 자각하는 해빙단계

변화하기 위해 태동하는 변동단계

변화한 마음을 굳게하는 재동결단계

두 번째 내부 보안인식교육의 문제점

스스로가 변화의 필요성을 인식한다.

변화 안내자 역할을 자처한다.

외부적 동기부여를 통해 내적인 오너쉽을 상기시켜라.

가장 어려운 단계이므로, 인내를 가지고 점짂적 개선을 향하라.

해빙 변동 재동결

두 번째 내부 보안인식교육의 문제점

개인의 외부적인 동기부여가 갖춰졌다.

새로운 젂제와 가치관을 통해 만족감과 자아실현 욕구를 충족한다.

조직 저항력이 감소하고, 수용이 증가한다.

새로운 태도와 새로운 행동을 시작한다.

최고관리자의 합의를 도출하고 확장시켜 나갂다.

변동 재동결 해빙

두 번째 내부 보안인식교육의 문제점

초기의 추상적 일반적 목표가 점차 구체적이고 특정적인 목표로 발현된다.

새로운 사회관계가 재편성된다.

외부적 동기요인이 내부적 동기요인으로 젂홖된다.

습관적인 규범 및 규칙으로 자리잡는다.

재동결 해빙 변동

“산업보안문화”의 필요성 대두

효과성 제고

• 내부 보앆인식교육의 7가지 핚계를 규명

성공요인 분석

• 효과적인 내부 보앆 교육을 위핚 성공요건 10가지 분석

조직변화 방법

• 레빈의 해동이롞 - 태동 - 변화 - 재동결

기술보호의식 제고를 위핚 산업보안문화의 형성이 필요

두 번째 내부 보안인식교육의 문제점

세 번째 기술유출 예방 아이디어

CSO 및 산업보안관리사 양성교육

내부 보안 인식 제고 교육

수요 맞춤형 파견 교육

산업보안 내부강사양성

교육

집합교육

• 전문강사 초빙

• 외부위탁

• 내부 전문가

• 그룹 스터디

온라인교육

• 보안의식제고 영상

• 기술 교육

• 시연 영상

“수단에 따른 분류” “목적에 따른 분류”

세 번째 기술유출 예방 아이디어

01 정규직 우리는 애사심과 주인의식을 가지고 우리의 비전과 사명을 달성할 것이다.

02 계약직 우리는 자기주도적이며 도전정신을 가지되 계약에 대한 사회적 책임을 다할 것이다.

03 파견직 우리는 주어진 전문업무에 최선을 다하고, 새로운 역량을 개발하기 위해 노력할 것이다.

04 위촉직 우리는 사회적 명예, 인성, 가치관, 자긍심을 토대로 올바른 기업의 방향을 제시할 것이다.

05 아르바이트 우리는 건전한 윤리, 올바른 가치 판단의 기준을 갖고 양심에 어긋나지 않게 주어진 업무에 최선을 다할 것이다.

06 외주인력 우리는 프로젝트의 완수를 위하여 상호 간 존중하며, 기업의 윤리를 준수할 것이다.

세 번째 기술유출 예방 아이디어

01 정규직 우리는 애사심과 주인의식을 가지고 우리의 비전과 사명을 달성할 것이다.

B2 물리적접근성 직책과 역할에 따라 제한구역 및 통제구역에 대한 물리적 접근권한이 높음.

B3 데이터접근성 비밀취급등급에 따라 개인정보 및 영업기밀에 대한 데이터 접근권한이 높음

B1 심리적안정감 근로기준법과 노동조합 등 법적인 보호장치가 있으므로 안정감이 높음.

A1 업무성과만족도 회사의 핵심업무를 진행하고,기업의 KPI에 따른 성과체계에 따라 평가되므로 만족도가 높음.

A2 직무만족도 전문성있는 직무를 담당하고,직무에서 비전가치를 발견할 수 있으므로 만족도가 높음.

B4 내부시스템이해 정보시스템 및 핵심기술에 접근하기 위한 내부시스템이나 보안에 대한 이해도가 높음.

A3 보수만족도 인사규정 및 연봉체계에 따른 보장된 급여를 받으므로 만족도가 높음.

A4 업무환경만족도 근로를 위한 복지제도와 업무환경이 잘 갖춰져 소속감이 높으므로 만족도가 높음.

세 번째 기술유출 예방 아이디어

02 계약직 우리는 자기주도적이며 도전정신을 가지되 계약에 대한 사회적 책임을 다할 것이다.

B2 물리적접근성 시간과 역할에 제한적이지만 사무공간과 같은 물리적 접근권한은 높음.

B3 데이터접근성 핵심업무를 하지 않고, 비밀취급인가를 받기 힘들기 때문에 핵심정보에 대한 접근권한은 낮음.

B1 심리적안정감 계약기간이 만료되고 재계약문제와 근무태만 시 계약해지에 대한 스트레스가 있으므로 안정감은 낮음.

A1 업무성과만족도 회사의 핵심보조업무를 진행하지만, 단기적이고 성과로 연계되지 않으므로 만족도는 보통.

A2 직무만족도 한가지 업무에 초점이 맞춰져 다소 장기간 전문성있는 직무를 담당하기 때문에 직무만족도는 높음.

B4 내부시스템이해 내부 비즈니스에 대한 깊은 이해보다는 절차와 맡은 업무를 기본으로 하기 때문에 이해수준은 보통.

A3 보수만족도 전문성과 능력에 따른 탄력성있는 연봉처우가 가능하지만 만족도는 보통.

A4 업무환경만족도 최소한의 보조근로를 위한 업무환경이 갖춰져 있지만 소속감이 낮으므로 만족도가 낮음.

세 번째 기술유출 예방 아이디어

03 파견직 우리는 주어진 전문업무에 최선을 다하고, 새로운 역량을 개발하기 위해 노력할 것이다.

B2 물리적접근성 파견근무장소와 기간이 제한되어 있고 제한구역 및 통제구역에 대한 물리적 접근권한이 낮음.

B3 데이터접근성 보조업무를 주로 담당하기 때문에 핵심정보에 대한 접근권한은 낮음.

B1 심리적안정감 파견기간이나 근로목적이 만료되면 계속근로가 보호되지 않으므로 안정감이 낮음.

A1 업무성과만족도 단기 전문업무를 진행하고, 성과로 연계되진 않으므로 만족도가 낮음.

A2 직무만족도 전문성있는 직무를 담당하지만 담당기간이 짧고 업무보조성격이 짙기 때문에 만족도는 보통.

B4 내부시스템이해 짧은 근무기간과 보조업무성격이 짙기 때문에 정보시스템 및 핵심기술에 이해도는 낮음.

A3 보수만족도 파견목적과 기간에 따른 급여가 산정되기 때문에 보수가 일정치 않으므로 만족도 낮음.

A4 업무환경만족도 파견이라는 특수성 때문에 장소가 제한되어 있고, 짧은 근무기간으로 업무환경 만족도는 낮음.

세 번째 기술유출 예방 아이디어

04 위촉직 우리는 사회적 명예, 인성, 가치관, 자긍심을 토대로 올바른 기업의 방향을 제시할 것이다.

B2 물리적접근성 중요업무를 맡고 있지 않으므로 제한구역 및 통제구역에 대한 물리적 접근권한이 낮음.

B3 데이터접근성 중요업무를 맡고 있지 않으므로 개인정보 및 영업기밀에 대한 데이터 접근권한이 낮음.

B1 심리적안정감 계약직원과 마찬가지로 해촉에 대한 이슈가 있지만 명예직이므로 안정감은 보통.

A1 업무성과만족도 업무라기보다는 조언, 감수의 성격이 강하고 성과를 산정하기 어렵기 때문에 만족도는 낮음.

A2 직무만족도 조언자로서의 방향성 설정과 기업의 비전가치 수립에 느끼는 만족도는 높음.

B4 내부시스템이해 예외사항이 존재하기 쉽고, 내부시스템을 이용할 기회가 적은 직무특성상 다소 이해도가 낮음.

A3 보수만족도 명예직으로서 보수보다는 명예와 자긍심을 토대로 하기 때문에 만족도는 낮음.

A4 업무환경만족도 사회적 지위를 보장하기 위해서 업무환경은 잘 갖춰져 있기 때문에 만족도는 높음.

세 번째 기술유출 예방 아이디어

05 아르바이트 우리는 건전한 윤리, 올바른 가치 판단의 기준을 갖고 양심에 어긋나지 않게 주어진 업무에 최선을 다할 것이다.

B2 물리적접근성 근무 사무실이나 비품을 다루는 구역 외에 제한구역 및 통제구역에 대한 물리적 접근권한이 낮음.

B3 데이터접근성 사무보조업무를 담당하기 때문에 개인정보 및 핵심정보에 대한 접근권한은 낮음.

B1 심리적안정감 보통 단기로 계약하고, 기간과 상관없이 바뀔 수 있으므로 안정감이 낮음.

A1 업무성과만족도 사무보조업무를 주로 진행하고, 성과와는 연계되지 않으므로 만족도는 낮음.

A2 직무만족도 기본적인 문서작성 및 사무실 내 정리 업무 등 보조업무를 담당하기 때문에 만족도 낮음.

B4 내부시스템이해 짧은 근무기간과 보조업무성격이 짙기 때문에 정보시스템 및 핵심기술에 이해도는 낮음.

A3 보수만족도 법정시급을 기준으로 월급으로 계약하고, 만족도는 낮음.

A4 업무환경만족도 사무실에서 근무하지만 자리가 정해지지 않거나 최소한의 사무비품과 PC만 구비되어 업무환경 만족도 낮음.

세 번째 기술유출 예방 아이디어

06 외부인력 우리는 프로젝트의 완수를 위하여 상호 간 존중하며, 기업의 윤리를 준수할 것이다.

B2 물리적접근성 프로젝트 근무장소와 기간이 제한되어 있고 제한구역 및 통제구역에 대한 물리적 접근권한이 낮음.

B3 데이터접근성 프로젝트 관련 업무만 진행하기 때문에 내부핵심정보에 대한 접근권한은 낮음.

B1 심리적안정감 정식으로 회사에 소속되어 있고 프로젝트성격의 파견근무이기 때문에 안정감은 높음.

A1 업무성과만족도 프로젝트 완수에 따른 품질과 납기준수율에 따른 성과가 연계되기 때문에 만족도는 높음.

A2 직무만족도 전문성있는 직무를 담당하고 다양한 프로젝트를 경험해볼 수 있으므로 만족도는 높음.

B4 내부시스템이해 프로젝트 진행을 위한 보안절차에 대한 이해를 기본으로 하기 때문에 정보시스템 및 핵심기술의 이해도는 낮음.

A3 보수만족도 프로젝트 준수에 따라 보수가 정해지고 능력에 따라 대우받을 수 있으므로 만족도 높음.

A4 업무환경만족도 프로젝트 진행을 위한 공간 특성 상 임시환경이기 때문에 업무환경 만족도는 낮음.

세 번째 기술유출 예방 아이디어

A. 내적 심리요인 분류 B. 외적 환경요인 분류

X

Y

Z

Q

X : 물질적(보수만족도, 업무환경만족도)

Y : 가치적(업무성과만족도, 직무만족도)

Z : 인적 요인(심리적안정성, 내부시스템이해)

Q : 기술적 요인(물리적접근성, 데이터접근성)

높음 높음

높음 높음

낮음 낮음

낮음 낮음

정규직

계약직 파견직

위촉직

아르바이트 외주인력

정규직

계약직

파견직

위촉직 아르바이트

외주인력

세 번째 기술유출 예방 아이디어

출처 : 조선비즈, “크라우드 소싱, 사람을 읽는다.”(2013.11.22)

세 번째 기술유출 예방 아이디어

[통합형]

협업형

크라우드

소싱

풍부핚 데이터를 수집

끊임없는 검증

우수핚 정보 창고

“다수의 집단지성이

참여핚 기본적인 크라우드 소싱형태”

[통합형]

통합선택형

크라우드

소싱

“다양핚 선택이 가능핚 크라우드 소싱형태”

[선택형]

의뢰인선택

크라우드

소싱

“집단지성의 대안 중 최적의 선택이 가능핚 크라우드 소싱형태”

[선택형]

대중선택형

크라우드

소싱

“참여자 개개인의 아이디어가 융화된 크라우드 소싱형태”

다양핚 개성을 졲중

각자의 필요에 따라 선택

여러가지 옵션을 제공

집단지성의 여러 대앆이 졲재

의뢰인의 최종선택이 필요

적정 수준의 보상

집단지성의 여러 대앆이 졲재

대중이 직접 평가

대중의 만족도 최우수

세 번째 기술유출 예방 아이디어

크라우드 소싱

협업형

통합선택형

의뢰인선택형

대중선택형

보안교육 적용

1. 교육사항 판단

2. 옵션 설정

3. 성과체계

4. 아이디어 채택

GAP 분석

GAP 분석

GAP 분석

GAP 분석

크라우드 소싱 형태를 활용한 보다 발전된 참여형 보안인식교육의 설계가 가능!

집단지성을 활용하여 교육의 목적, 주제, 시간, 강사, 테마, 참여방법 등을 정함

다양한 개성을 존중하여 교육의 옵션, 요구사항, 수강형태 등을 정함

참여자의 성과에 따라 KPI와 연계시키거나 적절한 보상체계를 구축함

참여자의 아이디어의 제안체계와 실무도입 성과에 따른 사후관리를 구축함

집단지성 활용

세 번째 기술유출 예방 아이디어

세 번째 기술유출 예방 아이디어